emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD)   Предыдущая часть этой темы здесь. Всего записей: 11825 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору freewood Майкрософт пишет, что ни при каких условиях нельзя вышедший из строя контроллер подлючать к той же сети, где его уже нету.     https://support.microsoft.com/ru-ru/kb/255504/ru   Цитата: После получения роли FSMO контроллер домена, ранее являвшийся обладателем этой роли, не должен обмениваться данными с другими контроллерами домена в лесу. На таком контроллере домена необходимо отформатировать жесткий диск и переустановить операционную систему или принудительно понизить роль данного контроллера домена в изолированной сети и удалить метаданные этого контроллера домена с других контроллеров домена в лесу с помощью команды ntdsutil /metadata cleanup. Включение в сеть обладателя роли FSMO, роль которого была получена другим компьютером, может привести к тому, что до получения сведений о получении роли при входящей репликации данный контроллер домена продолжит функционировать в качестве хозяина операций. Наличие двух компьютеров, исполняющих одну роль FSMO, может привести к созданию участников безопасности, обладающих перекрывающимися пулами идентификаторов RID, а также к возникновению других проблем. Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 17:00 22-05-2015

Mr_Beer Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Первый раз такое вижу, на контроллере домена сеть определяется как public. Свежая виртуальная машина, домен живет около недели, пока для теста поднял и несколько рабочих станций вогнал. Чем это грозит и что делать?)   http://gyazo.com/4c03318a4847ed39ab5ddb4a057c8db4 Всего записей: 48 | Зарегистр. 26-10-2006 | Отправлено: 11:39 21-07-2015 | Исправлено: Mr_Beer, 11:40 21-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Mr_Beer Treat all future networks that I connect to as public, and don’t ask me again Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:54 21-07-2015

Mr_Beer Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору attaattaatta Спасибо за ссылку, но это для клиентов, а у меня на контроллере домена проблема с Windows Server 2012 R2 Всего записей: 48 | Зарегистр. 26-10-2006 | Отправлено: 06:50 22-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Mr_Beer Я понимаю, что статья для клиентов, по сути это всего лишь параметры реестра. Вы пробовали применять фикс или сделать ручками из статьи ? Не получилось ? Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 07:08 22-07-2015

Mr_Beer Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору attaattaatta Фикс ругался на несовместимость, сейчас попробовал отключить и включить адаптер, как там рекомендуют и сеть стала доменной. Хотя до этого пару раз перезагружался, ничего не менялось, странно. Но в любом случае спасибо) Всего записей: 48 | Зарегистр. 26-10-2006 | Отправлено: 07:56 22-07-2015

anahaym Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть доменая сеть с выделенным Direct Access сервером в Core установке, на котором также установлен DHCP. Расположен за NAT. PKI нет. Пока работает на самомподписанных сертификатах, после тестов будем покупать нормальный сертифкат. Есть удалённый клиент с Windows 8.1 за двумя NAT-ми... С помощью Djoin добавил клиента в домен и после перезагруки залогинился доменным администратором. Потом и под новым неадминистративным пользователем. При попытке пинговать сервера выяснилось, что DHCP не назначил IP адрес. Т.е. клиент по Direct Access подключается (хотя в оснастке Direct Access клиента нет), пользователь логинится - а всё остальное не работает.   что не так?   Всего записей: 586 | Зарегистр. 24-03-2007 | Отправлено: 13:38 23-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Если скрин с клиента, то dhcp вроде как назначил ему адрес. В любом случае DA может быть односторонним и на уровень выше нежели сессионые протоколы типа rpc. Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 13:56 23-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym DA работает по 6 версии IP, ну и ip6 в 4 через интернет. Ваш DA адаптер судя по всему получил адрес   Посмотрите выполненны ли у вас все требования к DA серверу     https://ru.wikipedia.org/wiki/DirectAccess Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 15:11 23-07-2015

anahaym Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вот набросал статью в картинках. всё ли я правильно делаю? в данном случае у меня два сервера за одним NAT, и клиент на другом конце NAT.   IPv4 адрес Direct Access сервера da2.domain.com прописан в hosts файле клиента. На контроллере домена появились AAAA записи клиента. 2001 и fd3e.   но нет доступа к серверам. сейчас вообще статус connecting. Приэтом, при входе пользователя в систему, в аттрибутах его у.з. отмечается соответствующее время последнего входа в систему. Поменял у.з. пароль и поставил требование смены пароля - поменял на третий пароль, так как первый был в истории паролей. Значит политики работают.   Поэтому у меня вопрос: если политики работают, пользователи могут реистрироваться в системе - то почему они не видят сервера? ни пингом, ни через общие папки. Как комп-то тогда политики из SYSVOL загружает???     Всего записей: 586 | Зарегистр. 24-03-2007 | Отправлено: 11:03 28-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Цитата: Приэтом, при входе пользователя в систему, в аттрибутах его у.з. отмечается соответствующее время последнего входа в систему. Поменял у.з. пароль и поставил требование смены пароля - поменял на третий пароль, так как первый был в истории паролей. Значит политики работают.    Поэтому у меня вопрос: если политики работают, пользователи могут реистрироваться в системе - то почему они не видят сервера? ни пингом, ни через общие папки. Как комп-то тогда политики из SYSVOL загружает???   Репликация идет только в одну сторону имхо, для того чтобы в этом убедится, достаточго взглянуть на логи. Вообще в логах очень много должно быть у вас событий, в том числе и по DA.     Добавлено: Цитата: вот набросал статью в картинках. всё ли я правильно делаю? Не понятно зачем офлайн вводить в домен если RA сервер поднят ? Подключитесь клиентом, да и вводите через установленное соединение в домен. Цитата: в данном случае у меня два сервера за одним NAT, и клиент на другом конце NAT. Клиент у вас ЗА интерфейсом с трансляцией. Для DA нужно 2 адреса на таком интерфейсе. Цитата: На контроллере домена появились AAAA записи клиента. 2001 и fd3e. Скорее на ДНС сервере, благодаря DHCP Цитата: но нет доступа к серверам. сейчас вообще статус connecting Сетевые экраны, фильтры, acl и т.д может ? Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:13 28-07-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym   NAT это всего лишь технология/механизм, например DA может использовать эту технологию только с версии сервера 6.2   RA - Remote Access (Server), не обязательно это только Direct Access (Server), вы могли установить не толко DAS, но и RAS.   DHCP сервер служит для динамического назначения адреса клиентам, равно как может использоваться для регистрации в днс адресов без участия клиента.   Репликация может быть односторонней, если задумано архитектором сети/сделано специально/неправильно сконфигурировано.   Основывая на всем вышеперечисленном я и отправил вас к логам. Так как никакой дополнительной информации вы не даете для решения вашей проблемы.   Добавлено: Мне кажется лучше решать проблемы по очереди, если у вас не работает direct access server или работает не тк, как вы задумывали, то лучше обратится к логам на самом сервер и клиенте. Далее уже диагностировать проблемы с доступом к ресурсам. Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 10:53 29-07-2015

DieMaN Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Подскажите по команде dsadd. Нужно добавить пачку пользователей, есть батник примерно такого вида: dsadd user "cn=0001,ou=WiFi,dc=domain,dc=local" -samid 0001 -upn 0001@domain.local -fn 0001 -display 0001 -disabled no -pwd fNWhbgIA -mustchpwd no -memberof "cn=WiFi_Auth,ou=WiFi,dc=domain,dc=local" -acctexpires never -pwdneverexpires yes -canchpwd no dsadd user "cn=0002,ou=WiFi,dc=domain,dc=local" -samid 0002 -upn 0002@domain.local -fn 0002 -display 0002 -disabled no -pwd eMrWqxMi -mustchpwd no -memberof "cn=WiFi_Auth,ou=WiFi,dc=domain,dc=local" -acctexpires never -pwdneverexpires yes -canchpwd no При этом пользователи добавляются в локальную группу безопасности WiFi_Auth и глобальную группу безопасности Пользователи домена. Как сделать чтобы пользователи не добавлялись в глобальную группу безопасности Пользователи домена а в глобальную группу безопасности Гости домена? Всего записей: 169 | Зарегистр. 28-12-2003 | Отправлено: 08:23 03-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте! У меня чисто теоретический вопрос по сайтам AD.   Попал в контору, в которой есть 7 контроллеров домена и чуть побольше подсетей. Все DC, кроме двух, находятся в своих подсетях. Все подсети, это предприятия, географически распределены по разным регионам РФ. Сеть настроена, весь трафик идет с любого предприятия на любое же. Непорядки: в AD подсети не описаны, все DC в одном Default-First-Site-Name. То есть здесь ничего не настраивалось. Вопрос: если я разобью по сайтам\подсетям, то может ли возникнуть какой-либо форс-мажор? Я больше практик и охватить все взаимосвязи не имею возможности. Один из админов утверждает, что придется заново вводит всех в домен. Я как-бы так не считаю, ибо домен останется как и был, просто появятся сайты, то есть топология AD будет соответствовать топологии сети. Какие будут мнения? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:26 25-08-2015

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick       Мое мнение, у вас есть все шансы классно оптимизировать трафик директорий между подсетями.   Добавлено: DieMaN   Добавление в группу (добавляем в гостей) - https://community.spiceworks.com/how_to/50409-add-ad-user-to-groups-with-powershell   Смена Primary Group (устанавливаем основной) - http://www.indented.co.uk/2010/01/22/changing-the-primary-group-with-powershell/   Удаление из Пользователей домена - http://blogs.technet.com/b/heyscriptingguy/archive/2010/01/27/hey-scripting-guy-january-27-2010.aspx   Ну и нужно создать отдельный OU для таких пользователей и их рабочих станций и применить соответствующую политику к такому подразделению. Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 11:44 25-08-2015 | Исправлено: attaattaatta, 12:20 25-08-2015

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору attaattaatta Это я понимаю, если заранее спланировать архитектуру и всё такое. Вопрос скорее из плоскости суеверия. Если готовый AD домен разбить по сайтам, ничего не случится? До сих пор я добавлял сайты с последующим включением в него DC и вводом тачек в домен. Они автоматом искали ближайший DC находили в своем будущем сайте и все ОК. Просто не могу понять откуда инфа, что придется всех заново включать в домен? Если я скажу что-то типа, да ерунда это, понаверчу сайтов, и окажется, что таки надо выводить и вводить тачки... Их, блин, более 1000 ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:12 25-08-2015

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование