» Общие вопросы про AD (Active Directory) - часть II

Про службу времени - на контроллере домена Win2003 запущена служба времени с такой конфигурацией

Цитата:

w32tm.exe /config /manualpeerlist:"ntp1.vniiftri.ru,0x8 ntp2.vniiftri.ru,0x8 ntp4.vniiftri.ru,0x8" /syncfromflags:manual /reliable:yes /update

Как правильно отконфигурить службу времени на разервном контроллере домена?

Гуру, помогите разъяснить ситуацию. С помощью GPO распространяется много всяческого ПО. Одним из приложений является архиватор 7-zip. После удаления его "вручную" на некоторых хостах, политика установки 7-zip через GPO к данным машинам не применяется. В чём причина, и как можно поправить?

В принципе, не критично, можно и ручками установить, но хотелось бы разобраться.

serg53
Если у Вас домен, то советую обратить свой взор на "ГП Default Domain Controllers Policy - Конф. компьютера - конф. windows - адм. шаблоны - система - службы времени виндоус"

Схема простая, на всех контроллерах включаем помимо клиента времени еще и сервер времени, в default domain policy включаем только клиента и настраиваем на contoso.com All Sync
Доменным контроллерам разрешаем исх порт 123 UDP на шлюзе.

Чтобы проверить что же получилось, на любом Windows компьютере домена меняем время, и либо его перегружаем, либо делаем w32tm /resync /rediscover

Ugly_Elvis

Вам как я понимаю не нужно повторное развертывание, поэтому объедените все компы для которых необходимо развертывание, в одну группу безопасности и создайте групповую политику нацеленную только на эту группу, далее просто разверните тот же пакет.

attaattaatta
Дык в том-то и дело, что не работает. Все эти действия, разумеется, были выполнены. Более того, было выполнено и повторное развертывание пакета. При этом RSoP сообщает, что якобы всё OK - политика применяется, но самом деле пакет не устанавливается.

Ugly_Elvis
А что RSOP говорит ?

attaattaatta
Такс... Вот тут уже интереснее. Результирующая политика к из оснастки AD Users and Computers говорит, что мол нефига - политика не применяется. Запустил gpresult локально на проблемной машине - в применённых политиках всё нормально, 7zip присутствует. Что-то непонятное.

Цитата:

7zip присутствует.

А политика которой он соответствует, та самая ?

Да, именно она.

Ну так если политика не применяется, значит повторно пакет не разворачивается, соответственно скопируйте политику с нацелеванием безопасности только на нужные компы и сделайте форсированное применение (управление гп - конетекстное меню политики - принудительно), и посмотрите результат.

Не фига. Не работает, хоть тресни

Добавлено:
В общем, проблема решилась радикальным образом - проблемные машины были выведены из домена и повторно введены. Не совсем удобное решение, но тем не менее...

clio77
погодь, а что скрывается за аббревиатурой "DS"?


В качестве DNS-сервера в любом случае указывать PDC.

доброго времени суток коллеги.
столкнулся с проблемой, прошу подсказать в чем дело.

нужно поставить AD на win2008 R2
сервер стоит гдето у провайдера. у меня туда доступ только по RDP.

IP он получает по DHCP, причем IP белый.
добавляю роль Active Directory Domain Services.
прохожу мастер, который сообщает пару варнингов насчет DHCP адреса, но пропускает дальше. после установки запускаю мастер dcpromo, который предлагает поставить DNS сервер. Имя домена указываю - domain.com. Мастер на это тоже говорит варгнинг:

Код:
A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.

Цитата:

IP он получает по DHCP, причем IP белый.

Контроллер домена в открытом интернете, а зачем?

GaDiNa
Вариант - использовать как хостовую машину для Hyper-V на которой разместить домен. По ДНС, скорее всего Вы пытаетесь использовать домен не приватный и при попытке обращения к верхнему уровню, естественно получате отлуп, решение, либо использовать ДНС серверы к которым есть доступ, либо состряпать свое доменное имя, и прописать в качестве ДНС сервера в настройках карты свой сервер.

Добавлено:

Цитата:

IP он получает по DHCP, причем IP белый.

Статика для контроллера обязательна, у Вас я предпологаю, заранее извиняюсь, если это не так, маловато опыта, по части создания контроллеров с динамическим IP.

Подмногните немного с репликацией DNS

Был поднят КД1 на Win2003 с DNS1
Поднял резервный KД2 на Win2003
Установил на нем DNS2 без создания зон
На КД1 добавил ДНС, порядок следования DNS1, DNS2
На КД2 добавил ДНС, порядок следования DNS1, DNS2

Вроде по описаниям все правильно

Теперь осталось настроить (проверить) репликацию DNS1-DNS2
где это можно глянуть?

serg53
Создать запись (например A) на одном, выполнить перезагрузку зоны на другом.

serg53
в Microsoft Windows Server 2003 Support Tools есть хорошая утилита replmon. Все наглядно видно

Valery12

Цитата:

Контроллер домена в открытом интернете, а зачем?

ахз.. не мое. попросили помочь так сказать.. я тож об этом подумал, но как говорится - глаза боятся, а руки делают.

attaattaatta
спасибо за подробности.
имя домена действительно использовалось уже существующее.

Цитата:

либо состряпать свое доменное имя, и прописать в качестве ДНС сервера в настройках карты свой сервер.

я уже на 5 раз переустановки этой кухни, указал имя домена - domain.local - та же фигня. абсолютно та же.. ACDU не открывается.


Цитата:

Статика для контроллера обязательна, у Вас я предпологаю, заранее извиняюсь, если это не так, маловато опыта, по части создания контроллеров с динамическим IP.

да чегоуж там, я DC краний раз ставил еще на 2000 вин, потом мигрировал на 2003.
не по винде я "ведущий спец"
но подумал - этож не сложно.. а вот про "статику" в 12 ночи както особо не задумываешься.
Так есть какойто workaraund для установки DC на этом сервере с такой настройкой сетевой карты ?
Это хостер видимо выдает такую конфигруацию.

GaDiNa
так domain.local обслуживается данным сервером ? что дает dcdiag, ipconfig /all, nslookup domain.local ??

attaattaatta

Цитата:

так domain.local обслуживается данным сервером ?

ну да !
dcpromo просит поставить DNS сервер, я соглашаюсь.
стандартная установка ж.


Код:
C:\>dcdiag

Directory Server Diagnosis

Performing initial setup:
Trying to find home server...
Home Server = srv
Ldap search capabality attribute search failed on server srv, return value =
81

Ребята, подскажите пожалуйста правильно ли я понимаю порядок действий для своей ситуации.

1. Переезжаем в новый офис и какое-то время оба будут рабоать паралельно - месяц например.
2. Есть один DC
3. Ставлю второй DC в сети на другом IP.
4. Забираю этот новый DC в новый офис на месяц и там с ним пробуем работу. Проверяем сеть и прочее, компьютеры вводим в домен.
5. Через месяц привозим всё со старого офиса и вот оба DC снова станут вместе рядом - что будет тогда ?
6. Вспомнил про Mikrotik EoIP - поидее это решает все проблемы.

Спасибо.

GaDiNa
ДНС слушается только ipv6 интерфейс (если не использутете ipv6 то отключите его протокол в свойствах сетевой)

Эвенты потому, что днс не пашет.

если между этими КД в разных офисах связи не будет то ничего не получиться.

attaattaatta
да. уже сам увидел этот ipv6
отрубил, ребутнул, жду пока загрузится..

UPD:
не помогло

dcdiag по прежнему говорит тоже самое.

но зато уже лукапится домен. в норм Ipv4 адрес.
ну и пингается..
но все равно ADUC точно так же не открывается и в логе есть ошибки, теперь такая:


Код:
Log Name: System
Source: NETLOGON
Date: 14.03.2012 09:31:47
Event ID: 5774
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: srv.domain.local
Description:
The dynamic registration of the DNS record 'domain.local. 600 IN AAAA 2002:576a:3eac::576a:3eac' failed on the following DNS server:

DNS server IP address: xxx.yyy.zzz.172
Returned Response Code (RCODE): 5
Returned Status Code: 10060

For computers and users to locate this domain controller, this record must be registered in DNS.

USER ACTION
Determine what might have caused this failure, resolve the problem, and initiate registration of the DNS records by the domain controller. To determine what might have caused this failure, run DCDiag.exe. To learn more about DCDiag.exe, see Help and Support Center. To initiate registration of the DNS records by this domain controller, run 'nltest.exe /dsregdns' from the command prompt on the domain controller or restart Net Logon service.
Or, you can manually add this record to DNS, but it is not recommended.

ADDITIONAL DATA
Error Value: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">5774</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-03-14T08:31:47.000000000Z" />
<EventRecordID>2485</EventRecordID>
<Channel>System</Channel>
<Computer>srv.domain.local</Computer>
<Security />
</System>
<EventData>
<Data>domain.local. 600 IN AAAA 2002:576a:3eac::576a:3eac</Data>
<Data>%%10060</Data>
<Data>xxx.yyy.zzz.172</Data>
<Data>5</Data>
<Data>10060</Data>
<Binary>0500</Binary>
</EventData>
</Event>

slech
У кого реплика выше тот и "папа", с него будет репликация произведена вторым контроллером. Подробнее можно почитать - http://technet.microsoft.com/en-us/library/cc772726(v=ws.10).aspx

очень долго грузится на "Please wait for the Group Policy Client" и в итоге ошибка в логе на Group Policy.. не может ее загрузить.

GaDiNa
Вы сначала создайте работоспособный ДНС сервер, а протом уже создавайте домен AD

attaattaatta
так что ему еще надо сделать ? DNS сервис запущен ведь..

вот еще что нарыл:


Код:
Log Name: System
Source: Microsoft-Windows-DNS-Client
Date: 14.03.2012 09:46:21
Event ID: 1014
Task Category: None
Level: Warning
Keywords:
User: NETWORK SERVICE
Computer: srv.domain.local
Description:
Name resolution for the name _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.local timed out after none of the configured DNS servers responded.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
<EventID>1014</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2012-03-14T08:46:21.558889000Z" />
<EventRecordID>2591</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="1100" />
<Channel>System</Channel>
<Computer>srv.domain.local</Computer>
<Security UserID="S-1-5-20" />
</System>
<EventData>
<Data Name="QueryName">_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.local</Data>
<Data Name="AddressLength">16</Data>
<Data Name="Address">020000357F0000010000000000000000</Data>
</EventData>
</Event>

Подняли резервный контроллер домена, сделали репликацию
Теперь будем тестировать резервный контроллер, отключив основной (типа совсем поломатый), проверять перенос схем и тд. Возник вопросик, когда резервный останется один как (где) удалить записи в домене, чтобы в домене остался только один контроллер. Основной пока включатся не будет - "сломан"

serg53
для 2003
в 2008 и старше вообще мышкой все делается

ну и seize ролей не забудь