Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
clio77



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
reenoip

Цитата:
ты выпилил, что ли?

видимо уже пора выпить- метры с гигами путаю.
 

Цитата:
Но это при условии, что никаких FS и TS ролей,

да, да я это учел.
 
 
 

Цитата:
 Но вот DHCP в таком случае я навесил бы на PDC - чтобы однажды утром банальная авторизация на контроллере (на случай внезапного вылета твоего рядового сервера, назначающего адреса) не превратилась в извращённые мучения. Пусть лучше кто раздаёт адреса - тот сам по ним и авторизует клиентов в каталоге, чтобы далеко не ходить.

 
если за PDC оставить DNS и поднять еще один на DS, то имеющимся в локалке рабочим группам прописывать первичный DNS лучше  PDC~а или DS~а?  
На DS планируется WINS, шлюз, WWW

Всего записей: 2441 | Зарегистр. 27-10-2003 | Отправлено: 07:11 01-03-2012 | Исправлено: clio77, 07:17 01-03-2012
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Про службу времени - на контроллере домена Win2003 запущена служба времени с такой конфигурацией

Цитата:
w32tm.exe /config /manualpeerlist:"ntp1.vniiftri.ru,0x8 ntp2.vniiftri.ru,0x8 ntp4.vniiftri.ru,0x8" /syncfromflags:manual /reliable:yes /update
 

 
 
Как правильно отконфигурить службу времени на разервном контроллере домена?  

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 13:25 01-03-2012 | Исправлено: serg53, 13:29 01-03-2012
Ugly_Elvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Гуру, помогите разъяснить ситуацию. С помощью GPO распространяется много всяческого ПО. Одним из приложений является архиватор 7-zip. После удаления его "вручную" на некоторых хостах, политика установки 7-zip через GPO к данным машинам не применяется. В чём причина, и как можно поправить?
 
В принципе, не критично, можно и ручками установить, но хотелось бы разобраться.

Всего записей: 192 | Зарегистр. 26-01-2012 | Отправлено: 13:37 01-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
serg53
Если у Вас домен, то советую обратить свой взор на "ГП Default Domain Controllers Policy - Конф. компьютера - конф. windows - адм. шаблоны - система - службы времени виндоус"
 
Схема простая, на всех контроллерах включаем помимо клиента времени еще и сервер времени, в default domain policy включаем только клиента и настраиваем на contoso.com All Sync  
Доменным контроллерам разрешаем исх порт 123 UDP на шлюзе.
 
Чтобы проверить что же получилось, на любом Windows компьютере домена меняем время, и либо его перегружаем, либо делаем w32tm /resync /rediscover
 
Ugly_Elvis
 
Вам как я понимаю не нужно повторное развертывание, поэтому объедените все компы для которых необходимо развертывание, в одну группу безопасности и создайте групповую политику нацеленную только на эту группу, далее просто разверните тот же пакет.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 13:56 01-03-2012 | Исправлено: attaattaatta, 14:00 01-03-2012
Ugly_Elvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
Дык в том-то и дело, что не работает. Все эти действия, разумеется, были выполнены. Более того, было выполнено и повторное развертывание пакета. При этом RSoP сообщает, что якобы всё OK - политика применяется, но самом деле пакет не устанавливается.

Всего записей: 192 | Зарегистр. 26-01-2012 | Отправлено: 18:45 01-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ugly_Elvis
А что RSOP говорит ?

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 06:03 02-03-2012
Ugly_Elvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
Такс... Вот тут уже интереснее. Результирующая политика к из оснастки AD Users and Computers говорит, что мол нефига - политика не применяется. Запустил gpresult локально на проблемной машине - в применённых политиках всё нормально, 7zip присутствует. Что-то непонятное.

Всего записей: 192 | Зарегистр. 26-01-2012 | Отправлено: 11:03 02-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
7zip присутствует.

А политика которой он соответствует, та самая ?

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:43 02-03-2012
Ugly_Elvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, именно она.

Всего записей: 192 | Зарегистр. 26-01-2012 | Отправлено: 11:46 02-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ну так если политика не применяется, значит повторно пакет не разворачивается, соответственно скопируйте политику с нацелеванием безопасности только на нужные компы и сделайте форсированное применение (управление гп - конетекстное меню политики - принудительно), и посмотрите результат.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:58 02-03-2012 | Исправлено: attaattaatta, 12:02 02-03-2012
Ugly_Elvis

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не фига. Не работает, хоть тресни
 
Добавлено:
В общем, проблема решилась радикальным образом - проблемные машины были выведены из домена и повторно введены. Не совсем удобное решение, но тем не менее...

Всего записей: 192 | Зарегистр. 26-01-2012 | Отправлено: 13:19 02-03-2012
reenoip



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
clio77
погодь, а что скрывается за аббревиатурой "DS"?
 
 
В качестве DNS-сервера в любом случае указывать PDC.

Всего записей: 1768 | Зарегистр. 10-03-2006 | Отправлено: 13:49 03-03-2012 | Исправлено: reenoip, 13:50 03-03-2012
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго времени суток коллеги.
столкнулся с проблемой, прошу подсказать в чем дело.
 
нужно поставить AD на win2008 R2  
сервер стоит гдето у провайдера. у меня туда доступ только по RDP.
 
IP он получает по DHCP, причем IP белый.  
добавляю роль Active Directory Domain Services.
прохожу мастер, который сообщает пару варнингов насчет DHCP адреса, но пропускает дальше. после установки запускаю мастер dcpromo, который предлагает поставить DNS сервер. Имя домена указываю - domain.com. Мастер на это тоже говорит варгнинг:

Код:
 
A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server.
 

 
http://technet.microsoft.com/en-us/library/cc754463(v=ws.10).aspx#BKMK_Dcpromo
 
но дальше пускает и ставит все что надо.
в конце просит ребут, после ребута могу зайти по RDP, только добавив имя домена перед юзернеймом: domain\administrator
и в итоге в Server Manager не могу открыть оснастку Active Directory Users and Computes - говорит ошибку :

Код:
 
naming information cannot be located for the following reason:
 the server is not operational  
 

 
муть какаято.
я думаю чтото связано с конфигурацией IP сервера..
на локальный сервак думаю бы все стало без проблем..
куда копать ?
 
продолжаю гуглить
http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_27017738.html
очень похоже.. но не пойму о каком IPSec он говорит

Всего записей: 1551 | Зарегистр. 17-06-2003 | Отправлено: 02:18 14-03-2012 | Исправлено: GaDiNa, 03:11 14-03-2012
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
IP он получает по DHCP, причем IP белый.  
Контроллер домена в открытом интернете, а зачем?

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 08:34 14-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
GaDiNa
Вариант - использовать как хостовую машину для Hyper-V на которой разместить домен. По ДНС, скорее всего Вы пытаетесь использовать домен не приватный и при попытке обращения к верхнему уровню, естественно получате отлуп, решение, либо использовать ДНС серверы к которым есть доступ, либо состряпать свое доменное имя, и прописать в качестве ДНС сервера в настройках карты свой сервер.
 
Добавлено:

Цитата:
IP он получает по DHCP, причем IP белый.

Статика для контроллера обязательна, у Вас я предпологаю, заранее извиняюсь, если это не так, маловато опыта, по части создания контроллеров с динамическим IP.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 09:08 14-03-2012
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подмногните немного с репликацией DNS
 
Был поднят КД1 на Win2003 с DNS1
Поднял резервный KД2 на Win2003
Установил на нем DNS2 без создания зон
На КД1 добавил ДНС, порядок следования DNS1,  DNS2
На КД2 добавил ДНС, порядок следования DNS1,  DNS2
 
Вроде по описаниям все правильно
 
Теперь осталось настроить (проверить) репликацию DNS1-DNS2
где это можно глянуть?

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 09:12 14-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
serg53
Создать запись (например A) на одном, выполнить перезагрузку зоны на другом.

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 09:49 14-03-2012
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serg53
в Microsoft Windows Server 2003 Support Tools есть хорошая утилита replmon. Все наглядно видно

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 10:04 14-03-2012
GaDiNa



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12

Цитата:
Контроллер домена в открытом интернете, а зачем?  

 
ахз.. не мое. попросили помочь так сказать.. я тож об этом подумал, но как говорится - глаза боятся, а руки делают.
 
attaattaatta
спасибо за подробности.
имя домена действительно использовалось уже существующее.

Цитата:
либо состряпать свое доменное имя, и прописать в качестве ДНС сервера в настройках карты свой сервер.  

я уже на 5 раз переустановки этой кухни, указал имя домена - domain.local - та же фигня. абсолютно та же.. ACDU не открывается.
 

Цитата:
Статика для контроллера обязательна, у Вас я предпологаю, заранее извиняюсь, если это не так, маловато опыта, по части создания контроллеров с динамическим IP.

да чегоуж там, я DC краний раз ставил еще на 2000 вин, потом мигрировал на 2003.
не по винде я "ведущий спец"
но подумал - этож не сложно.. а вот про "статику" в 12 ночи както особо не задумываешься.
Так есть какойто workaraund для установки DC на этом сервере с такой настройкой сетевой карты ?
Это хостер видимо выдает такую конфигруацию.

Всего записей: 1551 | Зарегистр. 17-06-2003 | Отправлено: 10:24 14-03-2012
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
GaDiNa
так domain.local обслуживается данным сервером ? что дает dcdiag, ipconfig /all, nslookup domain.local ??

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 10:40 14-03-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru