» Общие вопросы про AD (Active Directory) - часть II

Lykym

Цитата:

Скорей всего ляжет,

мну тоже так кажется тогда другой вопрос - стоит ли пробовать поднять или сразу сказать им - капут

5555555
Если пробежаться по машина и завести их в домен заново то можно и поднять. Просто может и можно как то ключи сбросить, но я честно не знаю как. У мня раз упал контроллер(он был один), теперь на двух сижу.

Lykym

Цитата:

Если пробежаться по машина и завестиих их в домен

весело
правда говорят - кривоват был домен, но я бы хоть перетянул учетки да роли оттуда.. Пробовать сиды всем перебить? Так опять же обходить надо Мдасс..

5555555
Попробовать тебе ничего не мешает, ибо терять тебе нечего.
Скорее всего таки заведется, ибо SID-ы у компов остались теже, а это первое, что индентифицирует машинку на DC. Так что поднимай и пробуй.
Единственно уточни - DC ВООБЩЕ стоял с указаной даты или всё же работал?

FreemanRU

Цитата:

поднимай и пробуй.

скорее всего попробую, хотя бы из любопытства. ну отлупит он компы, более-то ничего вроде не должно криминального случиться именно для дальнейшей перерегистрации рабстанций.

Цитата:

ВООБЩЕ стоял с указаной даты или всё же работал?

К сож - работал сдох как три дня.

5555555
Машинок в конторе много? При первом запуске - погаси все, кроме одной, сразу увидишь результат. Что легло, конкретно, диск или система? Попытки восстановления были? Оно вообще хоть как-то грузится? Можно хоть что-то вытянуть со старой системы?

andrejvb

Цитата:

Машинок в конторе много?

только примерно знаю - немного около 30, но они, заразы, разбросаны на значительном удалении я конечно бэкдоров-то понапихаю , так и это надо походить
Цитата:

При первом запуске - погаси все,

в смысле шнуок повыдергивать из свича,.. можно, все равно все в дауне.

Цитата:

Что легло, конкретно, диск

пошмотрел - 5 райд, 2 из 3-х - в дауне, думал про принудительный подьем, но очевидно - бестолку.

Цитата:

Можно хоть что-то вытянуть со старой системы?

вот думаю, что из старого образа вытянуть, если не поднимется (а сомнения - большие -ненавижу в логах желтенькие, не говоря уже о красненьких)..

5555555

Цитата:

очевидно - бестолку

Ну эт не совсем очевидно Попробовать восстановить мона. Хотя, учитывая разгильдяйство конторохозяев, лучше поставить все заново (за бабки, ессесно).
Цитата:

вот думаю, что из старого образа вытянуть

Просто восстанови, а потом перевведи машинки в домен. Должно все заработать.

Уважаемые дамы и господа, подскажите пожалуйста. Есть 2 контроллера разных доменов. Требуется обьединить (т.е. сложить на каждом из них) все групповые политики, пользователей, компьютеры и т.д. Как это сделать дабы не потерять никакой информации ни на одном из серверов?
Если не сложно опишите что и где нужно прописать, что и как настроить. Спасибо!

Люди, не ругайте особо, хотел спросить кое-что. вот уже сколько дней пытаюсь сделать лабораторку, но не получается...
надо из файла *.ldf с помошю утилиты LDIFE сделать импортировать в AD.
Сделал файл, все точно написал код, как в книге написано, и выполню:

Цитата:

ldifde -i -f Newgroup.ldf -s server01

и получаю вот такую ошибку:

Цитата:

Не удается прочесть файл импорта Newgroup.ldf.
Журнал не был создан. Чтобы создать файл журнала,
укажите путь файла журнала с использованием параметра -j.

много вариантов пробовал, даже с операторами DSADD, DSMOD всегда требует какой-то файл журнала. что это вообше, понять немогу, и в этом книге на написано про эту ошибку и вообше про журнала..

Если не лень, обясните пожалуйста.

Добрый день.
Пытаюсь установить приложение acdsee 8, через GPO (в modifications добавляю acdsee.mst), после 2ух перезагрузок в логах появляется:
Failed to apply changes to software installation settings. The error was : The group policy framework should call the extension in the synchronous foreground policy refresh.
пытался применять и к компьютеру и к юзеру (домен админа даже давал юзеру), в логах тоже самое пишет.
Если на клиентской машине запустить:
msiexec.exe /i ACDSee80.msi TRANSFORMS=acdsee.mst /qb- то всё - ок, устанавливается без всяких вопросов.
При этом когда засовываю пакет msi (не acdsee, а местный каталог) созданный вручную (Adminstudio->repackage), то всё нормально устанавливается.
По ошибке в гугле нашёл: http://kb.iu.edu/data/amjd.html , сделал, не помогло...
Тут тоже проскакивало: http://forum.ru-board.com/topic.cgi?forum=8&topic=5933&start=400
но что-то ничего конкретного...
Может кто сталкивался с такой проблемой, подскажите плиз.
Заранее благодарен!

Извиняюсь, скорее всего к общим вопросам это не относится, удалите пожалуйста..

Вопрос такой, в сети есть два контроллера домена, один из них основной другой дополнительный, получилась дилема, не могу на него зайти по сети, на удаленный рабочий стол могу, так не получается пишет что проблема с правами доступа, все права стоят, я уже все облазил, репликацию проверил, бонально свитч и сетевуху тоже, может проблема в DNS, я не знаю короче че делать, просто у меня ночью скрипт перебрасывает базы на него, а он сбрасывает подключение, в event log не чего путнего не нашел, не знаю даже где начинать капаться ? пишет еще вот что вход в систему не произведен конечная запись указанна неверно.

Подскажите как сделать чтоб диски Д на всех компах входящих в домен были в полном доступе для пользователя, автоматически публиковались в AD и все пользователи домена имели к ним полный доступ по сети.

Еще хочется чтоб принтеры автоматически устанавливались на компьютеры находящиеся в одном OU

Calc1uM
Попробуйте включить "Удаленный доступ и маршрутизацию" на этом сервере. Делается через соотв. оснастку в mmc.

BucherA
Если я правильно понял треба чтобы все разделы Д на всех компах расшаривались для всех пользователей домена? Если так, то делается это банально через закладки "Общий доступ" и "Безопасность".
зы: Если не секрет - зачем это?

А как выйти из ситуатции,почему то при первом подключении нового пользователя к домену выдает ошибку: "Не подключился к домену.Привешен количество пользователей для входа.....и т.д.",а когда отдал домен админовские права,то потом без проблем подключился.что делать,может быть более удобное решение есть?

На втором Контроллере домена периодически вылетает ошибка о том, что не удалось получить сертифика Контрллер домена.... в ГП включена автоматическая подача заявок

Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Контроллер домена (0x80070005). Отказано в доступе.

Народ как решали данный момент, может кто в курсе?

Цитата:

Народ как решали данный момент, может кто в курсе?

totalart, общие проблемы всегда решаются примерно так

Народ, помогите добрым советом, тупому нубу!

Стоит Win2k3 Server c поднятым AD (подымал не я). Все пользователи имеют права пользователей, но при этом у них есть возможность сохранять/удалять данные на винте. При создание нового пользователя, изначально он таких прав не имеет и дабы все работало (хотя бы элементарно принималась почта) приходиться давать новому пользователю права администратора, что не есть хорошо.... Подскажите где можно произвести тонкие настройки прав пользователя? Причем если бы это регулировалось групповыми политиками, то тогда бы новый пользователь при введении в домен уже бы имел такие же права как и все остальные. В чем косяк-то?

immotus
Любое повышение привилегий пользователей может навредить системе. Лучше решить проблему так, чтобы не тре6овалось давать пользователям доступ.

Цитата:

хотя бы элементарно принималась почта

Чем принимается? Тот же аутлук создает свои хранилища в папках пользователя, бОльшие права ему не требуются.

Цитата:

приходиться давать новому пользователю права администратора

Уж лучше на самой машине дать полный доступ пользователю на диски (кроме системного).

immotus,дай на машине права админа... Правая щелчок на "моём компе",далее управление,далее юзвери и группы... там пользователи даёшь права админа,на локальную машину...

Leo1000
S4astliff4ik
А что если в Restricted Group добавим пользователя или машину:

GPO>Computer Configuration>Windows Settings>Restricted Group ?

настроил перенаправление папок простого типа (все в одно место)
но почемуто не срабатывает
папку расшарил на сервере -дал полный доступ клиентам к ней (на вкладке доступ-разрешения)
в настройках политик указал путь к ней по сети но что то не работает

вроде заработало
перенес компьютер из папки Computers в OU на которой настраивал политики и вроде заработало - хотя не пойму почему ведь вроде политики настраивал для пользователей а не для компьютера

и еще хотел узнать почему применяются политики хотя орг единицу переместил за пределы предыдущего места расположения

ali1977
Если не ошибаюсь -

Цитата:

и еще хотел узнать почему применяются политики хотя орг единицу переместил за пределы предыдущего места расположения

по моемому-GPO для OU остается для него даже при move.То есть ГПО OU всегда связан с только с OU.

rkhodjaev

Цитата:

по моемому-GPO для OU остается для него даже при move.То есть ГПО OU всегда связан с только с OU.

а мне кажется политика распространяется на домен сайт и орг единицу
и поэтому при выведении оргединицы из вышестоящей орг единицы- на нее ведь не должны действовать старые политики

ali1977
Вообще политика состоит из двух частей, одна часть применятся для компьютера, другая для пользователя. Перенаправление папок работает только для пользвователя. Я это к тому что компьютер можно убрать из OU, а пользователя оставить и политика всеравно будет применятся на пользователя(та ее часть что отвечает за пользователя).


Добавлено:

Цитата:

а мне кажется политика распространяется на домен сайт и орг единицу
и поэтому при выведении оргединицы из вышестоящей орг единицы- на нее ведь не должны действовать старые политики

Может не произошло еще обновление политики, или не перезгрузил компьютер, или не зашел/вышел пользователем. Можно еще gpupdate /force на клиенте сделать.

ali1977

Цитата:

при выведении оргединицы из вышестоящей орг единицы- на нее ведь не должны действовать старые политики

Да если OU1 выводится из какой либо OU,то для OU1 не будет действовать политики OU,но свои политики OU1 остается!

Случилось страшное. В сети два сервара с AD, после нештатного выключения питания и простоя около суток перестали работать оба сервера. Не запускаеться AD и DNS.
Сеть лежит полностью. Откаты с backup-a не помогают. Голову уже сломал что делать.
Где рыть что делать пересоздавать AD геморно слишком большая сеть? Помогите плиз.
Поискал почитал подобного случая не нашол

PS до этого пара програмеров меняли сервера ролями (дня за 3 до аварии) но все работало и машины перезагружалиь нормально.

Netdiag.exe: (сетевой кабель от сетевки отключен)

Computer Name: S01
DNS Host Name: s01.vbh.local
System info : Microsoft Windows Server 2003 (Build 3790)
Processor : EM64T Family 15 Model 6 Stepping 5, GenuineIntel
List of installed hotfixes :
Q147222


Netcard queries test . . . . . . . : Passed
GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
[WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Intel(R) PRO/1000 PM Network Connection' may not be working.



Per interface results:

Adapter : Подключение по локальной сети 2

Netcard queries test . . . : Failed
NetCard Status: DISCONNECTED
Some tests will be skipped on this interface.

Host Name. . . . . . . . . : s01
IP Address . . . . . . . . : 192.168.0.10
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.10
Primary WINS Server. . . . : 192.168.0.10
Dns Servers. . . . . . . . : 192.168.0.10
192.168.0.13




Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{1E8B795F-09C9-4D6B-9625-F2112E007B46}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Failed
[FATAL] All adapters are autoconfigured.
The DHCP servers are unreachable. Please check cables, hubs, and taps.



IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Failed

[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Failed
[WARNING] Cannot find a primary authoritative DNS server for the name
's01.vbh.local.'. [ERROR_TIMEOUT]
The name 's01.vbh.local.' may not be registered in DNS.
[FATAL] Could not open file C:\WINDOWS\system32\config\netlogon.dns for reading.
[FATAL] Could not open file C:\WINDOWS\system32\config\netlogon.dns for reading.
[FATAL] No DNS servers have the DNS records for this DC registered.


Redir and Browser test . . . . . . : Failed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{1E8B795F-09C9-4D6B-9625-F2112E007B46}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{1E8B795F-09C9-4D6B-9625-F2112E007B46}
The browser is bound to 1 NetBt transport.
[FATAL] Cannot send mailslot message to 'VBH*' via browser. [ERROR_INVALID_FUNCTION]


DC discovery test. . . . . . . . . : Failed
[FATAL] Cannot find DC in domain 'VBH'. [ERROR_NO_SUCH_DOMAIN]


DC list test . . . . . . . . . . . : Failed
'VBH': Cannot find DC to get DC list from [test skipped].


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Skipped
'VBH': Cannot find DC to get DC list from [test skipped].


LDAP test. . . . . . . . . . . . . : Failed
Cannot find DC to run LDAP tests on. The error occurred was: Указанный домен не существует или к нему невозможно подключиться.


[WARNING] Cannot find DC in domain 'VBH'. [ERROR_NO_SUCH_DOMAIN]


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

Dcdiag.exe


Domain Controller Diagnosis

Performing initial setup:
The directory service on s01 has not finished initializing.

In order for the directory service to consider itself synchronized, it must

attempt an initial synchronization with at least one replica of this

server's writeable domain. It must also obtain Rid information from the Rid

FSMO holder.

The directory service has not signalled the event which lets other services

know that it is ready to accept requests. Services such as the Key

Distribution Center, Intersite Messaging Service, and NetLogon will not

consider this system as an eligible domain controller.
The directory service on S01 has not finished initializing.

In order for the directory service to consider itself synchronized, it must

attempt an initial synchronization with at least one replica of this

server's writeable domain. It must also obtain Rid information from the Rid

FSMO holder.

The directory service has not signalled the event which lets other services

know that it is ready to accept requests. Services such as the Key

Distribution Center, Intersite Messaging Service, and NetLogon will not

consider this system as an eligible domain controller.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\S01
Starting test: Connectivity
The host 9d9a8573-bb26-4c48-a48c-8e7959750cbc._msdcs.vbh.local could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(9d9a8573-bb26-4c48-a48c-8e7959750cbc._msdcs.vbh.local) couldn't be

resolved, the server name (s01.vbh.local) resolved to the IP address

(192.168.0.10) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... S01 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\S01
Skipping all tests, because server S01 is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : vbh
Starting test: CrossRefValidation
......................... vbh passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... vbh passed test CheckSDRefDom

Running enterprise tests on : vbh.local
Starting test: Intersite
......................... vbh.local passed test Intersite
Starting test: FsmoCheck
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1355
A Good Time Server could not be located.
Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
A KDC could not be located - All the KDCs are down.
......................... vbh.local failed test FsmoCheck

Здравствуйте, прошу прощения за такой вопрос:
"Подскажите пожалуйста как можно перезагрузить глобальный каталог?"
(перезагрузку сервера не предлагать)

Господа, доброго времени суток!

Такая задача.
Есть AD, поднятая на w2k3, с кучей пользователей и компов. Нужно сделать так, чтобы новые учётные записи компов, входящих в домен создавались не в OU Computers, а в каком-нибудь другом OU, например в OU Temp. Можно ли такое организовать и каким способом? Помогите - буду признателен.

Заранее благодарен за советы и помощь!