» Настройка Active Directory в Win2000 Server

Pazan
Active Directory Users and Computers->Свойства контейнера (OU или домена)->Закладка Group Policy. В основном поле окна отобразятся объекты GPO связанные с этим контейнером, выбираешь нужный, внизу из группы кнопок жмёшь на Properties, закладка Security. Далее всё стандартно, как с раздачей Permissions на NTFS томах.

В каждом новом отделе есть своя рабочая группа -- OTDEL-17...19.
ВОПРОС:
Можно ли добавить ПК с этих групп в домен AD, но в Сетевом Окружении они были видны как раньше -- OTDEL-17...19?

Pazan - в один домен нельзя. разве что по домену на отдел, но это глупость.. если не считать это бизнес требованием

kibkalo
Дебильная идея, конечно, а что если создать несколько подсетей?

Duke Shadow

Цитата:

Дебильная идея, конечно, а что если создать несколько подсетей?

в каждом отделе ставить серевер?

Duke Shadow - А причм тут подсети? Домен подразумевает разрешение имен через DNS (если речь не идет о НТ4). Или же придется сети разделять фильтрующим все кроме доменных аутентификаций сервером. в общем имхо мертвая идея.

Pazan

Цитата:

в каждом отделе ставить серевер?

Нет, просто каждый отдел поместить в свою подсеть. Например: Отдел1 - 192.168.1.х, Отдел2 - 192.168.2.х и т.д.

kibkalo

Цитата:

причм тут подсети? Домен подразумевает разрешение имен через DNS (если речь не идет о НТ4)

Это если по именам обращаться. А если тупо открыть "Сетевое окружение" и там попробовать нашарить все доступные компы, то, кажется, должны отображаться только компьютеры, находящиеся с данным в одной подсети. Разве нет?

Цитата:

в общем имхо мертвая идея

Не спорю. Если учесть ещё, сколько потом мороки будет - так вообще финиш. Сразу же написал, что идея - фонарь.
Интересует только один вопрос - будут ли компы из разных подсетей видеть друг друга в "Сетевом окружении". Просто есть пример перед глазами - две подсети, в каждой - по своему домену поднято, но физически - обе в один свитч приходят (вопрос почему - не ко мне - исторически так сложилось, более того - никакого отношения к той сети я не имею ), никаких фаерволлов на путях пакетов не стоит (по-крайней мере все коннекты на виндовые порты разрешены, да и порт-скан вряд ли врёт ), однако в Сетевом окружении - только компьютеры из данной подсети видны - к остальным, будь добр, по имени или ИПшнику.

kibkalo

Цитата:

если не считать это бизнес требованием

так и есть - так хотят все, чтобы юзверями управлять централизовано, а в Сетке видны были отдельные группы. Задача, мля...

Добавлено
Duke Shadow

Цитата:

Нет, просто каждый отдел поместить в свою подсеть. Например: Отдел1 - 192.168.1.х, Отдел2 - 192.168.2.х и т.д.

IP идут все последовательно, только диапазон 192.168.100.50...90 -- в домен AD не входят, а имеют свои рабочие группы...

Pazan

Цитата:

IP идут все последовательно, только диапазон 192.168.100.50...90

Ну так поменяй!
Осталось только высказываний kibkalo по этому поводу дождаться...

Duke Shadow - да что тут говорить то... Я уже говорил, что считаю эту идею бредовой! Если есть твердая необходимость, то можно разделить сеть на три подсети
192.168.100.48 / 240 (.49 - .62)
192.168.100.64 / 240 (.65 - .78)
192.168.100.80 / 240 (.81 - .94)
и поставить один three-homed сервер, смотрящий в каждую подсеть и маршрутизирующий запросы (но не броадкасты). Его же сделать контроллером (например) Работть видимо будет так как вам охота, но это бред! Проще имя компьютера делать с названием отдела, чтобы было видно...

kibkalo
Да вообще идея - тухляк. Но если человеку ТАК хочется - пусть возится. Интересовало чисто теоретически - будет ли работать.
В этом решении не то что камни - в нём целые скалы запрятаны. DHCP, например, будет раздавать адреса только в подсеть с первым IP (на виртуальные IP, кажется, только в 2003 сделали).

Цитата:

и поставить один three-homed сервер

А как решить ту самую проблему multi-homed browser? Чётко по статье в Knowledge Base?
Опять же - чисто академический интерес - может ещё кому такие же идеи в голову стукнут - хоть знать буду.
Спасибо.

2 Duke Shadow

Цитата:

компьютеры из данной подсети видны - к остальным, будь добр, по имени или ИПшнику

"Я не волшебник..."(c), но IMHO отображение компутеров в "Сетевом окружении" происходит по NetBIOS именам из своей подсети, потому как этот NetBIOS через TCP/IP, (например 255.255.255.0) и своей рабочей группы (домена). Т.е. Сетевое окружение\Workgroup_NetBIOS_Name\PC_Name.
И занимается этим некий masterbrouser для данной подсети. Microsoft Knowledge Base Article - 188305 (Browstat.exe utility from the Microsoft Windows Resource Kit).
А еще - некий файлик LMHOSTS... который, при некотором желании можно генерить каким угодно образом и подсовывать хоть на любую машину домена, хоть любому юзеру, вне зависимости от того, откуда он залогинился. Всех мастер_броузеров прибить, клиентов настроить и т.д.
PS А еще есть WINS про который я ничего не знаю, но кажется он это сможет... Короче, по моему проблема решаема, если будет техническое исполнение - поделитесь plz. Интересно, но времени нет.

как я понял, быстрее сделать так:
поставил сервер в отделе и запустил актив директори и создал поддомен в домене. Но, по-моему, что-то тут не совсем ГУТ. Очень долго выполняется вход в поддомен с домена поиск ПК. Как ускорить. И ещё: кто может прочитать логи по результатам тестирования ДНС и сети?

kibkalo
я уже писал, что поставил в одном отделе сервер 2000 и создал поддомен в актив директори. так вот с этого сервера я в домен вхожу, а с сервера в сервер поддомена войти не могу: "вход не выполнен: конечная запись указана не верно". шо делать?

Что ты имеешь в виду под
Цитата:

и создал поддомен в актив директори

и
Цитата:

а с сервера в сервер поддомена войти не могу

Давай по именам серверов и доменов распиши что надо.
Для входа в поддомены надо, чтобы зона поддомена была в основном днс, и зона основного домена была в поддоменном днс (хотя проще вообще использовать один днс сервер)
Но опять повторюсь, идея с несколькими доменами - тухляк.

kibkalo

Цитата:

Но опять повторюсь, идея с несколькими доменами - тухляк.

и шо делать?

Pazan - поставить руководство перед двумя альтернативами
1) единое управляемое решение, 2 контроллера, 1 домен, единое пространство имен
2) сложное решение, 6 серверов-контроллеров (ты в деньгах укажи), маршрутизирующие железки.
Имхо любой руководитель глянет на стоимость лишних четырех серверов и скажет, а ну нах эту идею с группами...

Pazan

Цитата:

ПРОБЛЕМА 1
В сети 2 сервера Вин2000. Один из них рулит Актив Директори как главный контроллер домена. Хотел второй сервак сделать вторым контроллером домена, но после запуска мастера Актив Директори на втором сервере пишет, что не удаётся подключиться к домену, хотя этот сервер в домен входит и проблем с ним нет. ЧТО ДЕЛАТЬ?

Выруби на втором DNS и попробуй еще раз.

кстати по проблеме с отображением компов в сетевом окружении у меня две подсетки маршрутизатором - DC, бродкаст не проходит, в сетевом окружении видны только компы из своей подсети
DHCP настраивается элементарно.
так что это в принципе выход

но есть проблемки, из одной из подсетей нельзя комп в домен добавить еще не копался почему, поскольку не часто приходится, хотя если просто логинися домееный комп все ОК.
так же политики там (во второй подсети через раз применяются)

в целом мне такая схема не нужна в наследство осталась.
Просто привожу как пример из опыта

Хотя мож у кого идеи есть почему так получается (с проблемками)

wchik - глянь, на обоих ли интерфейсах запущен ДНС или только на одном..

Объясните глупому по пунктам.

Есть комп, через который иммем выход в инет и раздаем его юзерам.
Имеется другой комп, на котором планируется возвести AD, DNS и далее по списку. Проблема - как прописать настройки DNS, чтобы он форвардил запросы клиентов на DNS провайдера. У клиентов DNS должен быть прописан "наш", а как тогда юзеры будут обращаться к инету? Ведь если "наш" DNS должет быть корневым (master или integrated), а не secondary, то прописать сервер для forward не получится.

Или я не прав ?

Оставь ему стандартные Root Hints , сделай праймари АД зону, назначь форвардера.

форвардер может быть назначен не для зоны (что, по-моему, есть извращение), а для сервера целиком.
dnscmd ВашServerName /ResetForwarders 17.19.65.9 17.95.66.253 (IP провайдерских DNS) /Slave /TimeOut 60

kibkalo
ДНС запущен на обоих интерфейсах (галка слушать все ИП стоит)
Я грешу на DHCP но опции прописаны одинаково, уж просто не знаю куда копать
спасибо

kojev

А зачем собственно такие сложности? Ставите клиенту адрес DNS провайдера как альтернативный DNS и все спокойно ходят в инет. Только на DC не ставьте так, а то его DNS будет пытаться передать данные на DNS прова.

PomidorOFF, трындец. За такие советы из рогатки убивать надо и увольнять без разговоров.
Теперь все Win2K и выше клиенты по умолчанию будут пытаться регистрировать себя не только не первом DNS(DNS AD), но и лезть к провайдеру.

PomidorOFF
RTFM: forwarding & zone transfer

Newbie777
LOL

1. Где найти пошаговую инструкцию по настройке ДНС в Вин 2003 сервер?
2. Не могу добавить ПК под WinNT в домен АD Windows 2003 Server -- не удается подключиться к домену (контроллер домена не найден и т.д.), стояла ОС Win98 -- всё работало, а теперь поставили НТ - и никак.
3. Где бы надыбать полные описания прав групп Администраторы, Администраторы домена, Администраторы предприятия вин2003 сервер?
4. Создал юзера в домене. Дефолтом он стал членом группы Пользователь. Добавил группу Администраторы. Даный пользователь не имеет полного доступа к ПК (установка/удаление драйверов, программ, политикам безопасности и т.д.). Шо делать?

А я со своим вопросом пришел:
При установке AD на сервак разделил саму AD и NTDS журнал на разные партиции винта. Теперь имею трабл с восстановлением сервака из образа (хоть ghost хоть TrueImage). Собственно вопрос: как перекинуть этот NTDS журнал на одну партицию с самой AD? Вот недавно накатил образ и чуть инфаркт не заимел: При загрузке "критическая ошибка в AD, треба перегруз в режиме восстановления каталогов". Слава богу Backup SysState делался ночью этого дня, его потом накатил и никаких проблемм.
Кстати Сервак Win2003 Ent Rus.

А вот другая история:

Стояла на серве у меня одно железо слабенькое, купил новенькое. Все бы хорошо, сделать второе железо доп.сервером, но шары-то на старом остануться, а все к названию сервака привыкли. Пришлось старому имя менять, потом новому имя сменить на имя старого. Ну и шары перетащить. Дак вот при восстановлении из бэкапа (см. история 1) он мне такое сообщение в event log записал:


Код: Тип события: Уведомление
Источник события: NtFrs
Категория события: Отсутствует
Код события: 13553
Дата: 04.08.2004
Время: 21:06:19
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Служба репликации файлов успешно добавила этот компьютер к следующему набору репликации:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

К этому событию относится следующая информация:
DNS-имя компьютера - "server.dom1.dom2.lan"
Имя набора репликации - "DOPSRV"
Корневой путь набора репликации - "c:\windows\sysvol\domain"
Путь конечной папки репликации - "c:\windows\sysvol\staging\domain"
Путь рабочей папки репликации - "c:\windows\ntfrs\jet"

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

mikas
http://support.microsoft.com/default.aspx?scid=kb;en-us;257420&sd=tech


Второй вопрос интереснее. честно говоря, я когда надо со старых железок на новые переносить ресурс обычно просто создаю на новом сервере кластерную группу с именем старого сервера и все в ней вертится. Это есть рекомендованный способ микрософта, глянь свежий File Server Migration Kit