» Общие вопросы про AD (Active Directory)

Цитата:

Не умею (некогда не делал)

Что конкретно? Если как восстановить - то если ты его форматнул и бекап не сделал, то никак.
Если про ADSI edit, то тут пробегало недавно. Поиск на www.microsoft.com, там же хелп. Тебе надо просто выкосить упоминания о fileserver2

вот что пышет windows 2003 DC

dcdiag /q
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source FILESERVER4
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source FILESERVER4
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
......................... republic.com.ge failed test FsmoCheck

sysge
Так, значит давай по порядку:
1. Пойди почитай книжки про AD
2. Пока будешь читать, кинь dcdiag и readmin /showrep сюда и перечисли какой сервер чем у тебя занимается. А то я уже запутался в твоих FILESERVER-ах.

sysge
кто у тебя сейчас выполняет роль Domain Naming Master?

все исправилась само сабои после чистки с ADSI edit (удалил все связанное с старым контроллером fileserver2)

функциональность домена поднялась на Windows2003 native mode

Domain Naming Master - fileserver4

DNS, DHCP - fileserver4

Infrastructure + Schema - fileserver15

остальное + Global Catalog (галочка) - fileserver4

DCDIAG больше не ругается вообше,

но одна проблема помоему связанная с DNS-ом


при создании нового пользователя консоль выводит следующее сообшение:

Windows cannot verify that the user name is unique because the following error occurred while contacting the global catalog:
The server is not operational.

Windows will create this user account, but the user can log on only after the user name is verifyed to be unique. Make sure the global catalog is available. For more information about troubleshooting this issue, see Windows Help.

и запись создается.

?

sysge


Цитата:

Windows cannot verify that the user name is unique because the following error occurred while contacting the global catalog:
The server is not operational

все-таки получается, что GC у тебя "отсутствует"

А делать то что? Можно его както создать?

сколько сетевых интерфейсов на твоем fileserver4?

sysge

Цитата:

функциональность домена поднялась на Windows2003 native mode

Цитата:

при создании нового пользователя консоль выводит следующее сообшение

появились универсальные группы...
Если у тебя 1 сайт, почитай это :
http://support.microsoft.com/default.aspx?scid=kb;en-us;241789

ну и заодно вот это:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/standard/proddocs/en-us/gc_role.asp

Спасибо всем. все работает на 5

sysge
Везет тебе! А я вот осознал необходимость GC когда начал ставить Exchange.


Возможно ли без GC поставить Microsoft Exchange?

fortune

Цитата:

Возможно ли без GC поставить Microsoft Exchange

а что мешает "поднять" GC..? ...1 галку поставить....
есть у тебя на контроллере домена, любом :
AD Sites&Services>правой кнопкой по NTDS Settings>properties>вкладка general> галка Global Catalog......?
на котором DC есть галка такая - тот и сервер GC.... если ни на одном нет, тады поставь на том на каком хочешь, но если контроллеров несколько, не ставь на одном контроллере GC и Infrastructure Master....

Проблема, к сожалению, не в том стоит галка или не стоит... GC просто нету, не успел он передаться с бывшего PDC на новый, и вопрос в том можно ли его воссохдать.

fortune

Цитата:

не успел он передаться с бывшего PDC на новый,

afaik, GC не реплицируется. GC создается из AD .....AD же на новом контроллере есть ?
что мешает поставить галку? или она стоит, но выдается ошибка, что не найден GC или что то такое ?

Цитата:

GC просто нету

как определил ?

скорее всего, определили он это через dcdiag...
Можно перехватить права GC и присвоить их любому котроллеру.
Если перехватил и галка стоит, а GC типа все равно нет, то лезь в DNS и ищи там _msdcs.domain и там смотри в разделе gc кто у тебя есть этот самый GC. Если на машине 2 интерфейса и на одном из них внешний IP, то там каше несколько иная.

TOHbI4

Цитата:

Можно перехватить права GC

поподробнее пожалуйста, как именно это делать?...... про перехват fsmo ролей знаю , а вот про это впервые услышал.....

провел небольшой эксперимент:
тестовая лаборатория: 2 сервака, оба Win2003SerEE. один из них- сервер GC.
cmd>dcdiag /f:c:\tmp\dctest1 - все ровно, ошибок нет.
Убираем галку с GC в AD S&S......
cmd>dcdiag /f:c:\tmp\dctest2 - обматерил, что сервер GC отсутствует....
гасим сервер на котором был GC. На втором ставим галку. Ждем 10 минут...
cmd>dcdiag /f:c:\tmp\dctest3 - все ровно, ошибок нет (кластер поругался, но это не считается ).....

TOHbI4

$ORIGIN _msdcs.appo.pu.ru.
$TTL 600 ; 10 minutes
b6288110-cfbf-48ca-a809-2e09ecb0881e CNAME shluz.cio.appo.pu.ru.
$ORIGIN _tcp.Default-First-Site-Name._sites.dc._msdcs.appo.pu.ru.
_kerberos SRV 0 100 88 ads.appo.pu.ru.
_ldap SRV 0 100 389 ads.appo.pu.ru.
$ORIGIN _tcp.dc._msdcs.appo.pu.ru.
_kerberos SRV 0 100 88 ads.appo.pu.ru.
_ldap SRV 0 100 389 ads.appo.pu.ru.
$ORIGIN domains._msdcs.appo.pu.ru.
_ldap._tcp.167dc6e7-30e7-42bd-a3f1-08e9a4d29532 SRV 0 100 389 shluz.cio.appo.pu.
ru.
_ldap._tcp.ffd26634-bb25-4d4e-ad85-b1afbe3aa75c SRV 0 100 389 ads.appo.pu.ru.
$ORIGIN _msdcs.appo.pu.ru.
e22177d6-73be-4ac7-9dd1-66424134c769 CNAME ads.appo.pu.ru.
_ldap._tcp.pdc SRV 0 100 389 ads.appo.pu.ru.

Че то я тут не вижу ничего про gc.....

Галка стоит на сервере ads

fortune
Естественно, что ты ничего про GC не видишь. Он у тебя им не является!
Он у тбя DFSN, DC, а вот GC у тебя кто-то другой.
G14

Цитата:

поподробнее пожалуйста, как именно это делать?...... про перехват fsmo ролей знаю , а вот про это впервые услышал.....

В AD Sites and Services ставишь что сервак GC
если после репликации он не становится GC, то 2 пути:
1 В оснастке AD Users and Comp на домене правой кнп мыши и там меняешь в разделе Operation Masters во всех закладках на свой сервак (там будет RID, RDC, Infrastructure).
Без этих ролей он не будет GC, даже если будет стоять галка что GC это он.
2. Ручками через ntdsutil -> seize RID, seize PDC, seize infrastructure
Я делал именно так в ситуации, когда основной сервак лег, а второй в домене на присваивание ему этой галки (GC) никак не реагировал, в логах говорил что типа не могет, ибо он где-то там запомнил что это типа не он и хочет инфу об изменениях слить тому старому GC. Команды типа seize GC нету... или я ее не нашел.

Добавлено:
Кстати, у меня была именно такая картина как у fortune. Подлечил имеено такими шагами. Потом еще DNS проверил, но про то я выше писал.

Вопрос такой:
Мой клиентский компьютер (Windows XP),
возникли проблемы при входе в домен (домен есть в сетевом окружении, но зайти в него не получается, пишет "Нет доступа к Mydomain. Возможно, у вас нет прав на использование этого сетевого ресурса... Превышен таймаут семафора.").
Возможно проблемы именно с тем чтобы его найти...
Как узнать какие компьютеры обслуживают конкретный домен?

TOHbI4

Цитата:

Команды типа seize GC нету

И не будет. За GC отвечает DNS.

Пример для зоны domain.rus.ru

Код:
_gc._tcp.site1._sites 600 SRV 0 100 3268 dc1.domain.rus.ru.
_gc._tcp.site2._sites 600 SRV 0 100 3268 dc2.domain.rus.ru.
_gc._tcp 600 SRV 0 100 3268 dc1.domain.rus.ru.

FreemanRU
C:\>ping fqdn_of_domain.lacal
Ping request could not find host fqdn_of_domain.lacal. Please check the name and try again.
и вообще, откуда б ему взяться??

Tropin

Цитата:

Ping request could not find host fqdn_of_domain.lacal. Please check the name and try again.
и вообще, откуда б ему взяться??

а ты вместо fqdn_of_domain.lacal что подставил (это dns имя твоего домена полное)? надо дефолтовое имя домена. И всё пингуется на ура - и пингуется именно твой DC.

FreemanRU

Цитата:

И не будет. За GC отвечает DNS.

Не только DNS. В Infrastructure указывается кто есть GC.

Проблема с GC решена добавлением в реестр ключа HKeyLocalMachine\System\CurrentControlSet\Services\NTDS\Parametrs\Global Catalog Partition Occupancy со значением 0. Кстати ручное исправление DNS зон к положительному результату не приводит.

глупый вопрос: а юзверь может быть только в одном ОУ!?

greenfox

Цитата:

глупый вопрос: а юзверь может быть только в одном ОУ!?

да, но политику можно прилинковать к любому числу OU

fortune

Цитата:

Кстати ручное исправление DNS зон к положительному результату не приводит.

Никто не предлагает править вручную. Есть такие глюки, как на компе GC, в его DNS GC, а в GC запись А показывает на другой комп.

А что можно сказать про схему AD с 2-мя контроллерами один из которых на 2000, а второй на 2003 (этот только мастер инфраструктуры)!? Схема будет работоспособная в будущем!?

greenfox
Да в принципе будет, тока зачем такое делать? Лучше уж 2000 до 2003 переставить и все. Один черт придется AD до 2003 подымать.

FreemanRU

Цитата:

Да в принципе будет, тока зачем такое делать? Лучше уж 2000 до 2003 переставить и все. Один черт придется AD до 2003 подымать.

jr/ Я просто читал где-то что когда в домене контроллеры на w2k и w2k3 то траблы есть... ну и типа люди не рекомендуют так делать...

И ещё вопрос: можно ли в домене приведённом выше грейдануть схему с 2000 на 2003!? Те что бы был не native mode 2000 а native mode 2003!? А то я schemaprep от 2003 запускал, вроде всё проходило нормально, но в св-вах так и стоит "native mode 2000".. непонятно расширилась схема или нет!?