» Общие вопросы про AD (Active Directory) - часть II

Добрый день!

Как быстро выключить обновления Windows у пользователей, как выключить сервис обновления у пользователей через групповую политику?

artclub гугль отменили? поиск - how to disable windows update from command line
или правишь реестр или в командной строке жмакай
sc config wuauserv start= disabled
можешь создать OU, запихать в нее компы и в политике к этому OU в адм. шаблоне компов Windows settings Scripts Startup поместить шару на батник с этой командой.

ipmanyak

Спасибо!
Нашел, настроил!

ipmanyak

Добрый день!

Нужен совет!

У меня есть домен контроллер + дополнительный домен контролер + RODC - контроллер "только для чтения"

хочу установить WSUS

можно WSUS поднять на одном из этих серверов,если да то на каком лучше из них, или лучше на отдельном сервере?

Прошу помощи. Есть AD, на сервере общая папка, доступная всем машинам в сети. На паре машин в последнее время стал отваливаться доступ к этой папке. Чтобы в нее попасть нужно вводить логин администратора домена. Еще заметил, что на этих компах IP адрес стал вида 172.18.57.*, а должен быть 172.18.0.*. Адрес сервера AD 172.18.57.1. Иногда проблема решается перезагрузкой, но после простоя общая папка опять не доступна.

ИМХО разберитесь сначала с IP-адресами. Скорее всего второй DHCP в сети появился.

Сделайте ipconfig /all в момент когда на машине появится адрес 172.18.57.*, посмотрите какой DHCP его выдал.

Спасибо. DNS в настройках адаптеров слетел.

Друзья. Подскажите как быть в следующей ситуации.
Было два DC, один из них умер "железом". В срочном порядке сделали второй DC основным (захватили все роли через ntdsutil). Оживили умерший сервак и встал вопрос, как его правильно вернуть в домен, ведь он считает, что он хозяин всех ролей, а не второй. Вывести, почистить AD от его следов и заново завести? Или есть более "цивилизованный" метод?

freewood
Я точно помню, что Микрософт его потом не рекомендует даже в сеть включать.
Разжалованный контроллер убить! Можно чистить, но быстрее систему переставить.
Там конечно кое-что от уровня домена зависит, но вот https://support.microsoft.com/en-us/kb/216498/ru

freewood
Майкрософт пишет, что ни при каких условиях нельзя вышедший из строя контроллер подлючать к той же сети, где его уже нету.

https://support.microsoft.com/ru-ru/kb/255504/ru


Цитата:

После получения роли FSMO контроллер домена, ранее являвшийся обладателем этой роли, не должен обмениваться данными с другими контроллерами домена в лесу. На таком контроллере домена необходимо отформатировать жесткий диск и переустановить операционную систему или принудительно понизить роль данного контроллера домена в изолированной сети и удалить метаданные этого контроллера домена с других контроллеров домена в лесу с помощью команды ntdsutil /metadata cleanup. Включение в сеть обладателя роли FSMO, роль которого была получена другим компьютером, может привести к тому, что до получения сведений о получении роли при входящей репликации данный контроллер домена продолжит функционировать в качестве хозяина операций. Наличие двух компьютеров, исполняющих одну роль FSMO, может привести к созданию участников безопасности, обладающих перекрывающимися пулами идентификаторов RID, а также к возникновению других проблем.

Первый раз такое вижу, на контроллере домена сеть определяется как public. Свежая виртуальная машина, домен живет около недели, пока для теста поднял и несколько рабочих станций вогнал. Чем это грозит и что делать?)

http://gyazo.com/4c03318a4847ed39ab5ddb4a057c8db4

Mr_Beer
Treat all future networks that I connect to as public, and don’t ask me again

attaattaatta
Спасибо за ссылку, но это для клиентов, а у меня на контроллере домена проблема с Windows Server 2012 R2

Mr_Beer
Я понимаю, что статья для клиентов, по сути это всего лишь параметры реестра. Вы пробовали применять фикс или сделать ручками из статьи ? Не получилось ?

attaattaatta
Фикс ругался на несовместимость, сейчас попробовал отключить и включить адаптер, как там рекомендуют и сеть стала доменной. Хотя до этого пару раз перезагружался, ничего не менялось, странно. Но в любом случае спасибо)

Есть доменая сеть с выделенным Direct Access сервером в Core установке, на котором также установлен DHCP. Расположен за NAT. PKI нет. Пока работает на самомподписанных сертификатах, после тестов будем покупать нормальный сертифкат.
Есть удалённый клиент с Windows 8.1 за двумя NAT-ми... С помощью Djoin добавил клиента в домен и после перезагруки залогинился доменным администратором. Потом и под новым неадминистративным пользователем.
При попытке пинговать сервера выяснилось, что DHCP не назначил IP адрес.
Т.е. клиент по Direct Access подключается (хотя в оснастке Direct Access клиента нет), пользователь логинится - а всё остальное не работает.

что не так?

anahaym
Если скрин с клиента, то dhcp вроде как назначил ему адрес. В любом случае DA может быть односторонним и на уровень выше нежели сессионые протоколы типа rpc.

Цитата:

Если скрин с клиента, то dhcp вроде как назначил ему адрес. В любом случае DA может быть односторонним и на уровень выше нежели сессионые протоколы типа rpc.

dhcp этот стоит в сети клиента. сеть DA 10.9.255.0/24
в смысле односторонним? при подключении к DA клиент должен получить доступ к ресурсам сети - одно направление, а администратор может управлять сервером - это обратное направление.
когда новый доменный пользователь заходит на клиенсткий комп - то проходит авторизацию на контроллере домена, но как он его находит? я не могу с клиента разрешить имя контроллера и пингануть по адресу тоже не могу.

anahaym
DA работает по 6 версии IP, ну и ip6 в 4 через интернет. Ваш DA адаптер судя по всему получил адрес

Посмотрите выполненны ли у вас все требования к DA серверу

https://ru.wikipedia.org/wiki/DirectAccess

Цитата:

Посмотрите выполненны ли у вас все требования к DA серверу  

да выполнены - он работает под управлением 2012 R2, а все необходимые требования есть в нём.
сейчас обнаружил, что у меня DHCP и в локальной сети не раздаёт адреса.

https://technet.microsoft.com/en-us/library/dn753677.aspx?f=255&MSPPError=-2147217396


Цитата:

The DirectAccess setup wizard will seamlessly configure protocol translation components as a background operation, without any need for administrative interaction. There are no configuration options exposed to the administrator. The setup wizard will automatically enable NAT64 and DNS64 if the internal interface of the DirectAccess server has an IPv4 address assigned. To support this functionality, the setup wizard will configure an IPv6 network prefix for NAT64. The wizard assigns the NAT64 prefix automatically, and applies it to all IPv4 ranges in the enterprise.

вот набросал статью в картинках. всё ли я правильно делаю?
в данном случае у меня два сервера за одним NAT, и клиент на другом конце NAT.

IPv4 адрес Direct Access сервера da2.domain.com прописан в hosts файле клиента.
На контроллере домена появились AAAA записи клиента. 2001 и fd3e.

но нет доступа к серверам. сейчас вообще статус connecting. Приэтом, при входе пользователя в систему, в аттрибутах его у.з. отмечается соответствующее время последнего входа в систему. Поменял у.з. пароль и поставил требование смены пароля - поменял на третий пароль, так как первый был в истории паролей. Значит политики работают.

Поэтому у меня вопрос: если политики работают, пользователи могут реистрироваться в системе - то почему они не видят сервера? ни пингом, ни через общие папки. Как комп-то тогда политики из SYSVOL загружает???

anahaym

Цитата:

Приэтом, при входе пользователя в систему, в аттрибутах его у.з. отмечается соответствующее время последнего входа в систему. Поменял у.з. пароль и поставил требование смены пароля - поменял на третий пароль, так как первый был в истории паролей. Значит политики работают.   Поэтому у меня вопрос: если политики работают, пользователи могут реистрироваться в системе - то почему они не видят сервера? ни пингом, ни через общие папки. Как комп-то тогда политики из SYSVOL загружает???

Репликация идет только в одну сторону имхо, для того чтобы в этом убедится, достаточго взглянуть на логи. Вообще в логах очень много должно быть у вас событий, в том числе и по DA.


Добавлено:

Цитата:

вот набросал статью в картинках. всё ли я правильно делаю?

Не понятно зачем офлайн вводить в домен если RA сервер поднят ? Подключитесь клиентом, да и вводите через установленное соединение в домен.

Цитата:

в данном случае у меня два сервера за одним NAT, и клиент на другом конце NAT.

Клиент у вас ЗА интерфейсом с трансляцией. Для DA нужно 2 адреса на таком интерфейсе.
Цитата:

На контроллере домена появились AAAA записи клиента. 2001 и fd3e.

Скорее на ДНС сервере, благодаря DHCP

Цитата:

но нет доступа к серверам. сейчас вообще статус connecting

Сетевые экраны, фильтры, acl и т.д может ?

Цитата:

Репликация идет только в одну сторону имхо

причём тут репликация? я не могу на сервер по шаре достучаться.

Цитата:

Вообще в логах очень много должно быть у вас событий, в том числе и по DA.

в логах нашёл ошибки недоступности контроллера домена, НО если я на КД меняю пароль пользователю, то на клиенте я могу зайти с новым паролем.


Цитата:

Не понятно зачем офлайн вводить в домен если RA сервер поднят ? Подключитесь клиентом, да и вводите через установленное соединение в домен.

а мне вот не понятно, как это вы делаете? вы вообще разворачивали Direct Access?


Цитата:

Клиент у вас ЗА интерфейсом с трансляцией. Для DA нужно 2 адреса на таком интерфейсе.

DA установлен не на NAT-е


Цитата:

Скорее на ДНС сервере, благодаря DHCP

какой DHCP сервер???? у клинта свой DHCP сервер, который ничего о домене с DA не знает


Цитата:

Сетевые экраны, фильтры, acl и т.д может ?

acl - если бы права были не правильный - домены вообще не работал.
сетевой экран есть конечно, на нём проброшен порт 443, больше для DA ничего не нужно

сейчас обнаружилось, что политика Direact Access почему-то не применяется.

anahaym

NAT это всего лишь технология/механизм, например DA может использовать эту технологию только с версии сервера 6.2

RA - Remote Access (Server), не обязательно это только Direct Access (Server), вы могли установить не толко DAS, но и RAS.

DHCP сервер служит для динамического назначения адреса клиентам, равно как может использоваться для регистрации в днс адресов без участия клиента.

Репликация может быть односторонней, если задумано архитектором сети/сделано специально/неправильно сконфигурировано.

Основывая на всем вышеперечисленном я и отправил вас к логам. Так как никакой дополнительной информации вы не даете для решения вашей проблемы.

Добавлено:
Мне кажется лучше решать проблемы по очереди, если у вас не работает direct access server или работает не тк, как вы задумывали, то лучше обратится к логам на самом сервер и клиенте. Далее уже диагностировать проблемы с доступом к ресурсам.

Цитата:

NAT это всего лишь технология/механизм, например DA может использовать эту технологию только с версии сервера 6.2

повторяю:

Цитата:

да выполнены - он работает под управлением 2012 R2, а все необходимые требования есть в нём.

Цитата:

RA - Remote Access (Server), не обязательно это только Direct Access (Server), вы могли установить не толко DAS, но и RAS.

как это мне поможет?

Цитата:

DHCP сервер служит для динамического назначения адреса клиентам, равно как может использоваться для регистрации в днс адресов без участия клиента.

повторяю: у клиента DHCP сервер в своей сети, а DNS, где была регистрация - в своей сети за NAT, и DHCP сервер ничего не знает про этот DNS. С чего бы ему там что-то обновлять?


Цитата:

Репликация может быть односторонней, если задумано архитектором сети/сделано специально/неправильно сконфигурировано.

Репликация между кем? и что реплицируется?


Цитата:

Мне кажется лучше решать проблемы по очереди, если у вас не работает direct access server или работает не тк, как вы задумывали, то лучше обратится к логам на самом сервер и клиенте. Далее уже диагностировать проблемы с доступом к ресурсам.

вот сейчас так и делаю.

Подскажите по команде dsadd. Нужно добавить пачку пользователей, есть батник примерно такого вида:
dsadd user "cn=0001,ou=WiFi,dc=domain,dc=local" -samid 0001 -upn 0001@domain.local -fn 0001 -display 0001 -disabled no -pwd fNWhbgIA -mustchpwd no -memberof "cn=WiFi_Auth,ou=WiFi,dc=domain,dc=local" -acctexpires never -pwdneverexpires yes -canchpwd no
dsadd user "cn=0002,ou=WiFi,dc=domain,dc=local" -samid 0002 -upn 0002@domain.local -fn 0002 -display 0002 -disabled no -pwd eMrWqxMi -mustchpwd no -memberof "cn=WiFi_Auth,ou=WiFi,dc=domain,dc=local" -acctexpires never -pwdneverexpires yes -canchpwd no
При этом пользователи добавляются в локальную группу безопасности WiFi_Auth и глобальную группу безопасности Пользователи домена.
Как сделать чтобы пользователи не добавлялись в глобальную группу безопасности Пользователи домена а в глобальную группу безопасности Гости домена?

Здравствуйте!
У меня чисто теоретический вопрос по сайтам AD.
Попал в контору, в которой есть 7 контроллеров домена и чуть побольше подсетей. Все DC, кроме двух, находятся в своих подсетях. Все подсети, это предприятия, географически распределены по разным регионам РФ. Сеть настроена, весь трафик идет с любого предприятия на любое же.
Непорядки: в AD подсети не описаны, все DC в одном Default-First-Site-Name. То есть здесь ничего не настраивалось.
Вопрос: если я разобью по сайтам\подсетям, то может ли возникнуть какой-либо форс-мажор? Я больше практик и охватить все взаимосвязи не имею возможности. Один из админов утверждает, что придется заново вводит всех в домен.
Я как-бы так не считаю, ибо домен останется как и был, просто появятся сайты, то есть топология AD будет соответствовать топологии сети.
Какие будут мнения?

Paromshick


Мое мнение, у вас есть все шансы классно оптимизировать трафик директорий между подсетями.

Добавлено:
DieMaN

Добавление в группу (добавляем в гостей) - https://community.spiceworks.com/how_to/50409-add-ad-user-to-groups-with-powershell

Смена Primary Group (устанавливаем основной) - http://www.indented.co.uk/2010/01/22/changing-the-primary-group-with-powershell/

Удаление из Пользователей домена - http://blogs.technet.com/b/heyscriptingguy/archive/2010/01/27/hey-scripting-guy-january-27-2010.aspx

Ну и нужно создать отдельный OU для таких пользователей и их рабочих станций и применить соответствующую политику к такому подразделению.

attaattaatta
Это я понимаю, если заранее спланировать архитектуру и всё такое.
Вопрос скорее из плоскости суеверия. Если готовый AD домен разбить по сайтам, ничего не случится? До сих пор я добавлял сайты с последующим включением в него DC и вводом тачек в домен. Они автоматом искали ближайший DC находили в своем будущем сайте и все ОК.
Просто не могу понять откуда инфа, что придется всех заново включать в домен? Если я скажу что-то типа, да ерунда это, понаверчу сайтов, и окажется, что таки надо выводить и вводить тачки... Их, блин, более 1000

Цитата:

Просто не могу понять откуда инфа, что придется всех заново включать в домен? Если я скажу что-то типа, да ерунда это, понаверчу сайтов, и окажется, что таки надо выводить и вводить тачки... Их, блин, более 1000

Ну надо проанализировать политики какие применяются в сети, особенно связанные с сетевыми настройками, в общем результирующие политики. Потом подсобрать инфу по скоростям м/у сетями. И так далее. А чтобы машина вдруг вылетела именно из домена, а не просто его потеряла, если вдруг с ДНС косяки, то даже не представляю как.