» Общие вопросы про AD (Active Directory) - часть II

to ALL

Можете что подсказать по репликации между контроллерами домена?

DC1 DC2

Tempter
http://sysadmins.ru/post9540240.html

to serg53

Это всё читал... Вот ещё и nslookup:

Microsoft Windows [Version 10.0.9901]
(c) 2015 Microsoft Corporation. All rights reserved.

C:\Windows\system32>nslookup
Default Server: dc1.ums.local
Address: 10.10.100.2

> f9249d4c-e4dc-4ee7-8e25-6b75b7bbec1b._msdcs.ums.local
Server: dc1.ums.local
Address: 10.10.100.2

Name: dc1.ums.local
Address: 10.10.100.2
Aliases: f9249d4c-e4dc-4ee7-8e25-6b75b7bbec1b._msdcs.ums.local

> a167467d-5cae-4212-8019-84b7d7df1a11._msdcs.ums.local
Server: dc1.ums.local
Address: 10.10.100.2

Name: dc2.ums.local
Address: 10.10.100.3
Aliases: a167467d-5cae-4212-8019-84b7d7df1a11._msdcs.ums.local

И ещё ipconfig /all с обоих DC:

DC1 DC2

Tempter

Сервера пересылок, я так понимаю имеется ввиду DNS, это единственное место где в домене должны быть прописаны DNS'ы провайдера (надеюсь
Цитата:

2 ip-адреса провайдера

- это они и есть)

В целом, еще можно глянуть какие ошибки фиксируются в логах событий на обоих серверах в момент ошибки


Цитата:

Синхронизация раздела: CN=Schema,CN=Configuration,DC=ums,DC=local СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Ошибка обращения к серверу a167467d-5cae-4212-8019-8 4b7d7df1a11._msdcs.ums.local (сетевая ошибка): 1722 (0x6ba): Сервер RPC недоступен.

И кстати, как себя чувствует служба

Удаленный вызов процедур (RPC)

Какое их состояние на обоих контроллерах? (менять пока ни чего не надо - только состояние )

to NskRonin



Работают...

Tempter

Под логами я подразумевал "Просмотр событий" или журналы системы.

Мой компьютер - ПКМ - Управление \ Диагностика \ Журналы*

*(могу ошибаться под рукой 2008 сейчас нет)

to NskRonin

Вот причина?..

Tempter

Да. Если порт RPC закрыт - это может быть причиной.

такой вопросик
если случайно удалил учетку юзверя на одном контроллере AD, но есть еще один другой и с ним синхронизация пока не произошла - можно както поднять учетку с помощью контроллера-2, чтобы не лезть в морг на контроллере 1?
и какие шаги нужно предпринять?

Добрый день, коллеги! встала задача ознакомиться со структурой домена в организации (1 лес, 1 домен), с группами, пользователями, GPO и прочими объектами. Подскажите с чего начать, а может есть какие то алгоритмы и методики... Средства построения древовидных структур групп и так далее. В общем нужно понять что там понакрутили предыдущие админы и как все работает, чтоб в итоге понять почему что то не работает. Спасибо

Добрый день!

Есть большая сеть все ip прописаны в ручную!

Хочу поделить сеть и поднять Vlan!

Поднял DHCP server, нужно чтоб группы пользователей получала ip от DHCP servera, а другие пока оставались в прежний сети!

Как это можно сделать через Active Directory групповую политику?

artclub
Вам этого в принципе не стоит делать, пока не разберетесь с основами или не наберете опыта, если сеть и впрямь такая большая.

Просто на лицо отсутствие как знаний, так и опыта. Если вы сейчас начнете играть с параметрами политик, не настроив правильно перед этим коммуникационное оборудование, то получите не сеть, а не пойми что, где все придется делать с "нуля". Это мое личное мнение.

Кто подскажет как грамотно через Active Directory - групповую политику сделать изменения чтоб группа пользователей начала получать ip от DHCP servera?

Заранее спасибо!

Цитата:

группа пользователей  начала получать ip

У вас адрес присваивается пользователю !!!???
У меня как то не так, все больше сетевому интерфейсу, и все больше еще далеко до входа пользователя в систему... Да и мои DHCP понятия не имеют, кто такие есть доменные пользователи.
Боюсь, что через доменные политики и грамотно-никак.

Но никто вам не мешает:
- задать вручную резервирование (сопоставление mac-адреса сетевой карты и ip адреса),
создать несколько "областей" c разными пулами адресов , а если ваш сервер на windows 2008 и выше-то есть еще и фильтры,
и уж если у вас уже есть vlan-ы, то можете сделать хоть отдельные dhcp-сервера в разных сетях... А еще в DHCP есть такие штуки как классы и, например, суперобласти - с их помощью тоже можно порулить. И если у вас "умное" сетевое оборудование, то еще эту проблему можно решать настройками на свичах.

Вот групповыми политиками на пользователях- нет, не подскажу...

artclub Вешаешь в политику скрипт для netlogon, в скрипте ака в батнике пишешь что-то типа
netsh interface set interface name = "Подключение по локальной сети" admin = DISABLED
netsh interface ip set address "Подключение по локальной сети" dhcp
netsh interface set interface name = "Подключение по локальной сети" admin = ENABLED
для пущей важности можно добавить еще:
shutdown /r

Команды Netsh для интерфейса IP
https://technet.microsoft.com/ru-ru/library/cc738592%28WS.10%29.aspx

Имей ввиду, что "Подключение по локальной сети" должно быть набрано в нужной кодировке.
Если с интерфейсами баловались , тогда названия будут другие, типа
"Подключение по локальной сети 2"
"Подключение по локальной сети 3" и так далее
Потому в батнике лучше прописать сразу 3-4 команды с этими названиями

P.S.
потренируйся на тестовой машине
возможно
netsh interface set interface name = "Подключение по локальной сети" admin = DISABLED
netsh interface set interface name = "Подключение по локальной сети" admin = ENABLED
и не нужны, сам проверишь

Укажите пожалуйста что почитать про доступ пользователей к своим данным, с любого компьютера в сети. Или, например, про перекидывание его по РДП на свой комп, когда он авторизуется на любом другом компе.

wwladimir
ipmanyak

Добрый день!

Хочу уточнить что я собираюсь поделить сеть, приобрели умное оборудование cisco, хочу разделить сеть на Vlan!

Начальство хочу поместить в одни Vlan а пользователей в другой, серверы и другой оборудование в другой Vlan!

Хочу в Active Directory создать группу и туда поместить тех пользователей который должны получать IP по DHCP и прописать или скриптом или в настройках групповой политики чтоб пользователи этой группы начали получать IP по DHCP!
может мне в эту группу добавить их компьютеры то же?!

Кто это уже делал, подскажите как где и что нужно настроить?
Поделитесь плизз!

Добавлено:
я в DHCP уже задал вручную резервирование (сопоставление mac-адреса сетевой карты и ip адреса)

artclub

Зачем огород городить? Пусть циска раздает DHCP

CISCO VLAN: http://xgu.ru/wiki/VLAN_в_Cisco
CISCO VLAN DHCP: http://habrahabr.ru/post/113431/
http://www.cisco.com/c/en/us/td/docs/routers/access/1800/1801/software/configuration/guide/scg/dhcpvlan.html

Цитата:

пользователей который должны получать IP по DHCP

Я вот все равно ваших "хотелок" не понимаю. Ну нет в АД у пользователя атрибута IP...
Варианты решения для компьютеров я прошлый раз "намекнул"-гуглите

wwladimir
serg53

Извиняюсь не пользователя, а компьютера!


Хочу в Active Directory создать группу и туда поместить компьютеры которые должны получать IP по DHCP и прописать или скриптом или в настройках групповой политики чтоб компьютеры этой группы начали получать IP по DHCP!





Добавлено:
кто подскажет как можно поставить скрипт а на StartUp (Computer Configuration)

если можно очень подробно!

Можно я же чуть подробнее?
Ответе себе на вопрос- до того как примениться скрипт или обьект ГПО ваши компьютеры
уже будут иметь IP адрес ?
А без него, например, они смогут обнаружит контролер домена ?
Где они возьмут себе адрес ? (Я вижу три простых варианта-либо DHCP, либо автоматом APIPA, либо статика)
Значит скриптом мы можем только ПОМЕНЯТЬ уже присвоенный адрес. Идите сюда- и используйте ...assign a computer a static IP address?
Обрабатывайте напильником, получившийся vbs в netlogon и применяйте. Но DHCP здесь будет уже не причем.
А вот желание использовать возможности "эктив директори" на уровне существенно более низком-сетевом, мне не понятно. Там же есть свои "кошерные" инструменты и механизмы.

wwladimir

Есть возможность через Active Directory настроить так, чтоб после перезагрузки комп перешел в состояние получения IP автоматом?

artclub

Нет

Возьми набор скриптов для изменения сетевых настроек удаленного компа http://rghost.ru/7hnVdRkSp

serg53

Не подскажешь как и куда нежно прописать эти скрипты?

Может ссылку покажешь где об этом описано?

Добавлено:
ipmanyak

У вас есть рабочий скрипт?
И как это правильно прописать "Вешаешь в политику скрипт для netlogon"?

artclub

Эти скрипты запускаются с копьютера администратора домена для изменения IP настроек удаленного компа

Цитата:

Есть возможность через Active Directory настроить так, чтоб после перезагрузки комп перешел в состояние получения IP автоматом?

Естественно, если вы запустите скрипт (руками ли, в консоли ли, через логонскрипт ли и т.п.),
по моей ссылке, пример которого написан Microsoft,
то компьютер, вернее его сетевой интерфейс (коих может быть больше чем один)
получит указанные в нем сетевые реквизиты.
Кто мешает скопировать в блокнот, поправить, переименовать в bla-bla.vbs и экспериментировать пока не заработает ?
Вообще по многим вашим вопросам гугль дает четкие и однозначные ответы.

wwladimir

Не судите строго, в гугль много все прочитал, но до конца не понял!

Я впервые скрипт хочу прописать!

Может у вас есть ссылка где подробно об этом описывается, поделитесь?!

artclub
Безумное количество информации здесь- Автоматизация администрирования
в 3 частях...
и Программирование "удобняшек" на VBScript в двух частях

wwladimir

всем спасибо, настроил все работает!

Подскажите пожалуйста, как можно реализовать такое:
есть локальные пользователи со своими настройками и профилями, вводим домен в организации. Как сделать, что бы доменные пользователи получили всЁ от своих локальных профилей? Это реально? ОС сервера 2012 R2 , клиентские ОС: Windows 7/8.1