Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.

Всего записей: 11820 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Цитата:
Подводный камень - не должно быть доменконтроллеров ниже винды 2003
Не, у меня оба контроллера на 2003, один железо, второй виртуальный.
И на них IAS крутится, для VPN, Wi-Fi и прочего радиуса.
На 2016 вместо этого вроде как  NPS...
Чангу не держу принципиально.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 13:15 20-01-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary Ага NPS  юзаем в купе с  циской, доменная авторизация для VPN.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 13:33 20-01-2021
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
vlary Не очкуй
Это стратегия
Бакбиапы есть?
 
 
Добавлено:
Плин. Прочёл позже. Можно я стратегию изложу?


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:53 20-01-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick Излагай.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 20:08 20-01-2021
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всё просто.
Первое правило военного искусства состоит в том, что DC никогда не один! И меж ним и иным DC всегда есть связь (проблем думаю нет), и то, что есть время на долёт голубя, то есть 15 минут на репликацию. Значит, вы в безопасности.
 
Поднимаем режим работы леса. Курим, травим анекдоты. 15 минут. Подходим, смотрим.
А лучше через DHCP раздаём, а всем руками настраиваем адреса ДНС. Это будут постоянно мелькающие в танце DCюки, и кто из них будет жив, а кто нет - не важно, важно нижеследуюющее:
 
Адресов - три. Они не меняются. Они принадлежат живому или нет DC. Да хоть пять
Поднимаем свежий, промежуточный DCюк где-то не вместе с другими. Виртуалка на компе админа подойдёт, - это не надолго. Требования к DCюку 2008R2 или уж сразу искомый. ОК?
Имеем три DCюка
УБираем тот, что совсем железный. Через DCPROMO убираем. Рядовой сервер выводим из домена и инком к пылесосу. Можно гипервизор поднять? Очень надеюсь.
Подняли. Не гипервизор так железку.
Делаем на неё DCюк уровня поднятого на компе админа. 2008 у вас там или что. При две 2008 крайне must R2.
ОК. Расслабились. Имеем два DCюка с искомым либо 2008 домена и один старый совсем.
Но он же виртуальный. Итого три
DCPROMO его ждёт.
Всё. Главное айпиники днс на клиентах хорошо бы ловили хоть один из танцующих DC.
После вывода последнего устаревшего, как-то плавно разруливаем новые с иголки DC по машинкам.
Без виртуализации это слабо понятно, но можно
 
Почему я делаю акцент на 2008. Возни дофига, но кто живёт без DFS, тот не знает, что такое настоящее танго. Вот именно там-то 2008R2, оно и отваливается.
Надо забэкапиться вручную и вручную восстановиться.
И вуаля. Танцуем дальше.
 
 
Добавлено:
Лучше раза три прочесть, но времени займёт меньше, чем статьи.
Главное, you must have базовые знания. Что нельзя ввести в домен DC, когда уровень домена ниже чем (читай леса)
2008 R2 - рубеж. Дальше (пока) можно всё
 
 
Добавлено:
Кстати, я сейчас собираюсь нечто сделать такое, но 09.02. дата рубежная. Надо посмотреть.

Цитата:
Тем не менее 9 февраля 2021 года контроллеры доменов переведут в этот режим в обязательном порядке, так что администраторам придется как-то решать проблему со сторонними устройствами до этой даты — обновлять или вручную прописывать в исключение. Подробнее о том, что делает августовский патч и что изменится после февральского, можно найти в материале Microsoft наряду с подробными гайдлайнами.


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:16 20-01-2021 | Исправлено: Paromshick, 20:28 20-01-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick Почти так и делал, когда тестил миграцию на полигоне. Завиртуалил клон основного DC с виндой 2003, рядом поднял виртуальный 2016 сервер. В этом виртуальном клоне с 2003  принудительно удалил все другие DC,  провел миграцию.  Потом сделал на реальных.
 
А что у нас 9 февраля ожидается? Что я пропустил? Надо погуглить.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 07:46 21-01-2021 | Исправлено: ipmanyak, 07:47 21-01-2021
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Немножко не понял. Моя основная тактика, уже не стратегия, - это то, что никакие DC не агрейдятся. Поднимаются новые, выводятся старые... Если продумать адресацию IP, то можно жить вечно на полнофункциональном 180-дневном триале И всегда при деле

Цитата:
А что у нас 9 февраля ожидается? Что я пропустил? Надо погуглить.
Зачем гуглить - пришпиленная тема, но второе сообщение. Там можно пройдясь увидеть статью "Zerologon: уязвимость в протоколе Netlogon позволяет захватить контроллер домена", где имеется уже цитированный текст. MS выложил все патчи и все инструкции, но говорит, что 9-го, мол всё, хватит лохматить. Все перейдут в принудительном порядке.
Так вот, если у кого совпадёт миграция с багами от такого перехода, то он может начать сучить ручками, что всегда не полезно
 


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:01 21-01-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Погуглил. Все накопительные апдэйты на сервер всегда ставил. Но "KB4571694", закрывающий уязвимость Zerologon не обнаружил.  Это нормально? Или всё-таки "KB4571694"  нужно поставить  отдельно?
 
Добавлено:
wmic qfe list | find "KB4571694"   не находит
Посмотрел журнал обновлений в GUI
Накопительное обновление для Windows Server 2016 для систем на базе процессоров x64, 2020 08 (KB4571694)     
установлено 19 августа, странно почему WMIC не показывает? Видимо накопительные не показывает.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:11 21-01-2021
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Но это совсем уже другая история... Почему что-то не показывает сервер....
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
Под каждую систему свой номер. Тащем-то, у меня WSUS.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:27 21-01-2021
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
УБираем тот, что совсем железный.
Вот, кстати, тоже вопрос...
Нужен ли хотя бы один "железный" КД?
Или вполне можно виртуалками обойтись?
(Гипервизор не в домене )


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 22:14 22-01-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary У меня 5 штук, все виртуальные. Гипервизоры, само собой, все разные. На одном бэкаплю AD.


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 09:19 24-01-2021 | Исправлено: ipmanyak, 09:19 24-01-2021
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Железных давно уж не помню. Держу три, все в одном сайте, так как со связью проблем нет.
На трёх ногах табуретка начинает стоять устойчиво
Сейчас вот пытаюсь перейти на 2019, ибо десяток развелось... Так это наказание какое-то

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 10:46 24-01-2021
Kaber



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет, настроил двухсторонние доверенные отношения двух доменов A (2008R2) и B (2022), все хорошо работает, но домен B не видит в какие группы из домена A я добавляю пользователей. На домене A видно все группы из домена B.

Всего записей: 1356 | Зарегистр. 14-03-2014 | Отправлено: 15:34 03-09-2021
sharlatanat



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сервер, на котором установлен Windows Server 2022 x64 с Active Directory.
В Active Directory задан фоновый рисунок для компьютеров в домене (Windows 11 x64).
Из-за сбоя электропитания сервер какое-то время не работал, и компьютеры грузились без фонового рисунка.
После запуска сервера — фоновый рисунок не отображается на рабочем столе, хотя виден в настройках персонализации...
Вопрос к знатокам: как восстановить отображение фонового рисунка на всех компьютерах в домене?

----------
©

Всего записей: 1249 | Зарегистр. 24-02-2006 | Отправлено: 19:04 21-09-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sharlatanat Попробуй жмакнуть  gpupdate /force  на DC или на самой станции.
 


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 06:28 22-09-2021
rsuan

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ли программы альтернативные оснастке ADUC? Кроме ADUC BulkAdmin ничего не нахожу.

Всего записей: 760 | Зарегистр. 22-07-2008 | Отправлено: 12:20 06-10-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rsuan Есть RSAT,  если его имеешь ввиду.  
Средства администрирования удаленного сервера (RSAT) для Windows
RSAT позволяет ИТ-администраторам удаленно управлять ролями и функциями в Windows Server с компьютера с Windows 10 и Windows 7 Пакет обновления 1.
 
https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/system-management-components/remote-server-administration-tools
там же и ссылка есть  для  WIN10  https://www.microsoft.com/ru-RU/download/details.aspx?id=45520
После установки включаешь нужные фичи в компонентах винды.  
 
Для WIN 7 Майкра убрала ссылки с сайта. Смотри здесь  http://forum.ru-board.com/topic.cgi?forum=8&topic=33485#17


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 14:39 06-10-2021 | Исправлено: ipmanyak, 14:42 06-10-2021
rsuan

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipmanyak
Благодарю за информацию. Но мой Win10 (1909) на предприятии в домене, и похоже что администраторы не развёрнули точку, с которой бы подтянулись необходимые для ADUC компоненты. Потому что при нажатии на Добавить компонент и долгого поиска, никаких компонентов для добавления не появляется. У нас свой WSUS и интернет через прокси. Поэтому и стал искать проги, альтернативные ADUC'у.

Всего записей: 760 | Зарегистр. 22-07-2008 | Отправлено: 05:18 08-10-2021
Deem_Basic



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день всем!
Задавал вопрос в ветке по freenas, касательно Ограничения на скачивание данных по объёму с файлового сервера.
Рекомендовали FSRM.
Поднял DC 2019 и файловый сервер на нём, НО к сожалению оказывается данная возможность не предусмотрена средствами windows server fsrm ((
или я ошибаюсь?
Подскажите знающие люди пожалуйста

Всего записей: 296 | Зарегистр. 10-10-2006 | Отправлено: 06:56 25-11-2021 | Исправлено: Deem_Basic, 07:27 25-11-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В FSRM квоты на хранение файлов  в папках, а не на скачивание. Скачивается через WEB? Значит в WEB и  должен быть инструмент для ведения таких счетчиков. Такой счетчик нужно где-то хранить, значит к WEB должна быть привязана какая-то СУБД.

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 12:43 25-11-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru