emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD)   Предыдущая часть этой темы здесь. Всего записей: 11860 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008

ali1977 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а как настроить контроллер чтобы клиенты у которых время сбилось по какой либо причине корректировал время клиентов в любом случае а то тут у одного клиента пишет что часы не синхронизированы с контроллером Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 14:00 19-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ali1977   Вообще-то клиенты в сети с AD должны синхронизировать время с контроллерами домена по-умолчанию (т.е. никаких лишних телодвижений делать для этого не нужно). Скорректируйте время ручками (разница с контроллером домена не должна превышать пяти минут). И нужно выяснить, по какой причине сбилось время. Либо юзер шаловливыми ручками испортил, либо проблема с CMOS.   Можно попробовать поставить на клиента и на сервер стороннее ПО, например Tardis, но это моветон. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 14:32 19-09-2008

ali1977 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom   Цитата: Вообще-то клиенты в сети с AD должны синхронизировать время с контроллерами домена     я тож надеялся на чуство долга у компьютеров и контроллера но видимо не всегда стоит полагаться на них а где можно проверить на контроллере службу синхронизации времени (может она выключена))) Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 15:08 19-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ali1977 Цитата: а где можно проверить на контроллере службу синхронизации времени (может она выключена))) В оснастке Службы. "Служба времени Windows" w32time. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:17 19-09-2008

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: я тож надеялся на чуство долга у компьютеров и контроллера если разница времени больше 5 минут (по умолчанию) - синхронизации не будет. можно попробовать в логон-скрипте использовать net time... Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 15:21 19-09-2008

KDSKDS Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: можно попробовать в логон-скрипте использовать net time... Каким образом может выполнится логон скрипт, если авторизации не пройдёт и никакого логона не будет? Как вариант - зайти локальной учёткой и дать команду net time Всего записей: 47 | Зарегистр. 18-01-2005 | Отправлено: 06:36 20-09-2008

sarti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тэк-с... С чего бы начать... В общем, передо мной, как в больнице, лежит на боку изнасилованный одним оленем DC (WS2003SP1R2/ru), с потрёпанным реестром (к примеру: при установке серверных приложений вываливаются диалоги с текстами типа "приложение не предназначено для установки на данную о/с, серверная о/с не обнаружена", и т.п.), с запартаченным MSI (куча ошибок при установке любого софта, при этом update/re-install службы не помогает, а иногда и вовсе вываливается). Более того, через раз в журнале отмечается ошибка чтения ntfs. Прогон раздела с помощью ADD 10.x помогает, но на час-полтора максимум. По ходу, конец винту, добили его.   Накат SP1-2/R2 поверх существующих ничего не даёт (как, впрочем, и ожидалось). Восстановление DC из образа чревато (хз, что тут намутили ещё, да и образ не первой свежести), system-state отсутствует, точки отката тоже, поэтому хотелось бы уточнить: сейчас подниму резервный DC, перекину все роли (благо dcdiag/netdiag не выдают пока никаких критически тяжёлых ошибок), но перекидывать буду на WS2003SP2R2/en.   Отсюда вопросы: есть ли подводные камни при таком раскладе (сам миграцию проводил лишь с "en" на "en", "ru" по личным причинам и в личных целях не юзаю с прошлого века), и какие именно кусты из реестра и adsi (adsiedit.msc) будут реплицированы? В моей ситуации это важно, т.к. хозяин, т.е. олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений, которые, конечно же, не забэкапил и не записал. Нигде не могу найти подробную инфу, везде лишь мануал по репликации, и ни слова о том, что именно реплицируется (по шагам и параметрам), так, в общих чертах, а мне бы (чтобы драгоценные часы не тратить на чужую работу) просто хотелось бы удостоверится перед началом действий, что они будут не зря.   Времени не хватает (своей работы достаточно, а тут ещё подкинули проблем), поэтому экспериментами, честное благородное, заниматься самому край. Может, кто такое проходил уже, поделится инфой? Всего записей: 1972 | Зарегистр. 04-08-2006 | Отправлено: 08:48 22-09-2008

ali1977 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sarti вроде есть утилита ADMT называется специально для миграции пользователей и прочей херни с одного контроллера на другой ставишь прогу на оба контроллера и потом добавляешь учеткиадмина на обоих (чтоб доверие было ) и польется инфа с одного на другой контроллер Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 17:21 22-09-2008

snovitsi Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sarti А в чем вопрос то?   Если ты хочешь поднять второй контроллер в уже сужествующем домене, то так и делай.   поднимешь дополнительный контроллер в домене (про DNS тоже незабудь) и захватишь им все роли, сделаешь его глобальным каталогом   потом первый контроллер домена понизишь до обычного сервера и после этого его смело может переинсталить   ali1977 ADMT необходима для миграции пользователей "и прочей херни " между доменами для операций внутри домена она не нужна Всего записей: 76 | Зарегистр. 07-08-2006 | Отправлено: 17:37 22-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору snovitsi Цитата: А в чем вопрос то? Читайте внимательно: Цитата: ...но перекидывать буду на WS2003SP2R2/en.   Отсюда вопросы: есть ли подводные камни при таком раскладе (сам миграцию проводил лишь с "en" на "en", "ru" по личным причинам и в личных целях не юзаю с прошлого века), и какие именно кусты из реестра и adsi (adsiedit.msc) будут реплицированы? В моей ситуации это важно, т.к. хозяин, т.е. олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений, которые, конечно же, не забэкапил и не записал.     sarti   Никакой миграции в вашем случае нет. Ставьте второй контроллер домена, ждите завершения репликации (пройдет быстро), переводите роли и можете понижать первый контроллер до рядового сервера. Язык систем не важен (про SID'ы ведь знаете?).   Цитата: олень, судя по текущим ошибкам и ругачку на отсутствие прав при некоторых операциях, не глядя грохнул несколько значений О каких значениях идет речь? С этим может быть хуже, т.к. на новом контроллере будет копия старой базы AD.   Я советую вам убить лес и создать все по-новой. Долго. Но не факт, что будет быстрее, если продолжите воевать с глюками старого домена.     ali1977 Цитата: специально для миграции пользователей и прочей херни с одного контроллера на другой   Нет никакой миграции с одного контроллера на другой в одном домене. На двух контроллерах после репликации будет одна база AD. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 20:17 22-09-2008

Oldster Старик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sarti Если после переезда с одного DC на другой DC глюки остануться - сбрось все политики безопасности (была утиль от MS), если и это не поможет - сноси этот домен и поднимай заново... Имхо так быстрее будет, чем разбираться с косяками. Советую скриптами вытащить всех юзеров чтоб потом всех внести в новый домен. ---------- Ой не TCP моё IP (C) Диман Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 08:02 23-09-2008

aak1980 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос к админам от начинающего. Есть офисный домен hipper.com один контроллер домена w03dc01.hipper.com он же DNS DHCP домен локальный не зареген в инете. к нему приконнектено 15 тачек. И есть удаленный склад где есть рабочая группа из 8 компов. Между офисом и складом есть достаточно широкий канал, только не всегда работает. Нужно приконнектить склад к офису. Как правильно организовать соединение, на складе лучше создать дополнительный контроллер домена скажем w03dc02.hipper.com или создать поддомен домена hipper.com??? Объем трафика репликации между точками впринципе не важен. Важно чтобы тачки на складе могли регится хотябы на складе при отсутствии соединения офис-склад. Всего записей: 52 | Зарегистр. 24-11-2006 | Отправлено: 12:56 23-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору aak1980   Создать два сайта: один - ваша ЛВС, второй - ЛВС склада. В ЛВС склада поднять второй контроллер домена и дать ему роли ГК и DNS-сервера.   Вообще хорошо бы книжку вам почитать о планировании AD. Рекомендую купить или скачать где-ниубдь ебуки Зубанова и "Планирование, внедрение и поддержка инфраструктуры AD" (экзамен 70-294). ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 13:28 23-09-2008

sarti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ali1977, snovitsi, что перехватит - сомнений нет, вопрос в том ЧТО он перехватит... Боюсь, если корневой будет реплицирован целиком - то и весь мертвяк DC за собой и на новый DC утащит, со всеми вытекающими... А с нуля домен поднимать - это уже не моя забота, в конце концов, моя хата с краю, да и вообще в другой деревне )))     veryom, SID SID'ом, просто здесь мне нужно было чужое мнение на происходящее, с локализацией немало различных проблем, да и всё-таки мне иногда удобнее спросить хоть кого-нибудь прежде, чем самому лисапед выдумывать Всего записей: 1972 | Зарегистр. 04-08-2006 | Отправлено: 09:05 24-09-2008

aak1980 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom   Цитата: Создать два сайта: один - ваша ЛВС, второй - ЛВС склада. В ЛВС склада поднять второй контроллер домена и дать ему роли ГК и DNS-сервера.   а этот второй DNS сервер должен быть вторичным? Всего записей: 52 | Зарегистр. 24-11-2006 | Отправлено: 11:57 24-09-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору aak1980 Цитата: а этот второй DNS сервер должен быть вторичным? Т.к. DNS-сервер у вас будет на контроллере домена, то создавайте зоны сразу интегрированными в AD. Цитата: Сервер DNS, интегрированный с Active Directory, помещает информацию о зонах DNS в хранилище Active Directory. При использовании служб DNS, интегрированных с Active Directory, серверы DNS запускаются на одном или нескольких контроллерах домена и не требуют настройки топологии репликации. Выгоды: упрощение администрирования, повышение безопасности, уменьшение трафика. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 12:22 24-09-2008

aak1980 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom   спасибо за опративные ответы,   объясните пожалуйста смогу ли я пускать трафик репликации между контроллерами домена через site to site VPN ISA?   понимаю что много у меня много тупых вопросов но я не админ к сожалению Всего записей: 52 | Зарегистр. 24-11-2006 | Отправлено: 16:13 24-09-2008

icydrago Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Блин... Я уже затрахался... 22.30 уже, хотя из офиса в 18.00 надо было уйти... Суть проблемы: Что-то сделал на контролере домена (скорее всего что-то, связанное с ДНС-сервером. Потом днс полностью переустановил, и он начал работать) и теперь комп, который отключил от домена при поключении к нему-же говорит: "именам пользователей не сопоставлены коды защиты данных". В журнаое на контроллере ничего не пишет... Помогите, пожалуйста!!!     Добавлено: Хм... Пробывал в АД создать компьютер с именем, а он сказал, что такое имя уже существует, но в списке его нет...   Добавлено: Да, и с таким именем я не вносил компьютер в домен... Я просто в керио винроут фаервол прописал название... Думал прокатит...   Добавлено: Хм... Действительно. С любым другим именем комп создаёт, а именно с  этим - нет. Причём он говорит: "Не удалось создать новый объект-компьютер, поскольку пред-виндовс 200 имя компьютера уже используется."   Добавлено: Мне кажется, что надо удалить эту пред виндовс-2000 запись и всё заработает... Как это сделать? p.s. Радмин рулит Всего записей: 78 | Зарегистр. 04-12-2007 | Отправлено: 23:37 24-09-2008 | Исправлено: icydrago, 23:41 24-09-2008

rkhodjaev Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У меня вчера такие вопросы возникли... 1) Что будет,если переименовать имя компьютера,который выполняет роль DC. 2) Не могу найти хорошую инфу об анализе логов в АД.Так как у меня включены все аудиты,но не знаю как проверить,кто когда зашел и на какой комп....и т.д. То есть было бы хорошая инфа,желательно на русском. Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 09:17 26-09-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование