bu536 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Active Directory (AD) смотрите также: Групповые политики (Group Policy) Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы   В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.   » Как отличить общий вопрос от частного?   » Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory   » Полезные ресурсы по Active Directory (AD) Всего записей: 647 | Зарегистр. 08-12-2001 | Отправлено: 01:14 03-02-2004 | Исправлено: drros, 12:54 12-07-2006

looney Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не могу понять, пропала закладка Exchange Аdvanced, в АД свойствах пользователя. Помогите разобраться, что случилось.   Добавлено: Сорри, разобрался Всего записей: 153 | Зарегистр. 14-03-2003 | Отправлено: 16:15 04-11-2005

MCT Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вопрос по поводу контейнеров Users и Computers в одноимённой папке: если эти контейнеры не OU (со всеми вытекающими) - то на кой они тогда вообще нужны!? Не проще ли было их сделать именно OU -шными!? Или есть какие нюансы!?   Совместимость с NT.   Всего записей: 52 | Зарегистр. 31-07-2005 | Отправлено: 14:08 08-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору MCT понятно, бум знать. Спасибо. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 14:22 08-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Monty_Python Цитата: secedit /refreshpolicy MACHINE_POLICY - результата также не дает   В таком случае: 1. Смотрим EventLog\Application сообщения от scecli (наверняка там есть ворнинг 1202). 2. Смотрим %systemroot%\security\winlogon.log на предмет всяких ошибок.   Прочитав логи и поняв что именно не так пытаемся решить проблему. Если не поймешь -  спрашиваешь. Но так как это будет не общий вопрос, а вполне конкретный, то спрашиваем это не в этой теме, а в этой, например. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 12:59 09-11-2005

Monty_Python Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Спасибо за совет, но это я первым делом посмотрел -     и   Security policy in the Group policy objects are applied successfully.   Group Membership configuration completed successfully.   Поэтому и спрашивал Всего записей: 5 | Зарегистр. 09-11-2005 | Отправлено: 13:50 09-11-2005

ozzysss Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Всем доброго времени.     Есть один вопросик. Есть домен с АД. домен 2000 (50\50 серверов MS W2000AS и MS W2003EE). Существют сайты АД, на каждом сайте включено "Кеширование универсальных групп". Так вот вопрос: Как увеличить срок действия пароля с 30 дней на более для отдельного чайлдового домена. можно для леса.     Заранее спасибо Всего записей: 13 | Зарегистр. 16-07-2005 | Отправлено: 20:04 09-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору » GPO: групповые и локальные политики паролей, безопасности ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 07:48 10-11-2005

slayer12 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос про global katalog. Есть 2 w2k контроллера в домене, GK только на одном - он же хозяин схемы и т.д. Если расширить GK на второй каталог, решит ли это вопрос с отказоустойчивостью (сейчас на PDC контроллере периодически падает сетевуха, из-за чего вешается exchange (на отдельном сервере, не dc)). Сильно ли увеличится трафик репликации при таком включении?   Вопрос второй - как правильно удалить gk c одного из двух DC -просто снять галку Global katalog в ntds settings  , либо надо делать какие-то еще движения? Всего записей: 66 | Зарегистр. 09-08-2004 | Отправлено: 14:28 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slayer12 Если память не изменяет то: 1. M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC. В случае если домен один количество GC роли не играет. 2. Да, просто снять галку. ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 15:23 14-11-2005

slayer12 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: greenfox   Цитата: В случае если домен один количество GC роли не играет.    Т.е. наличие GC на втором контролере мне ничем не поможет, если отключится первый DC? (     Всего записей: 66 | Зарегистр. 09-08-2004 | Отправлено: 16:07 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slayer12 GC - это частичная реплика со всех доменов в лесу. Контроллер обслуживает свой домен и если клиенту нужна инфа от контроллера в другом домене, то что бы не обращаться к нему он запрашивает её на GC сврего DC. Тк домен у тя один то и других контекстов в лесу нет => клиенты прекрасно будут работать с контроллером и GC им как бы и не нужен в данном варианте.   ps хотя тут могут быть нюансы того как сам софт аля эксчендж и т.д. работает с АД - может ему именно GC и нужен... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:27 14-11-2005 | Исправлено: greenfox, 16:29 14-11-2005

slayer12 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   greenfox    Вот такие сообщения валятся на Exchange сервере, когда отваливается сетевуха на сервер1   Event Type:    Error Event Source:    MSExchangeDSAccess Event Category:    Topology   Event ID:    2103 Date:        14.11.2005 Time:        13:21:42 User:        N/A Computer:    EXCHANGE Description: Process MAD.EXE (PID=300). All Global Catalog Servers in use are not responding:   server1.drug     Event Type:    Error Event Source:    MSExchangeDSAccess Event Category:    LDAP   Event ID:    2061 Date:        14.11.2005 Time:        13:18:33 User:        N/A Computer:    EXCHANGE Description: Process STORE.EXE (PID=1436). An LDAP search call failed - Server=server2.drug Error code=8004090a. Base DN=<GUID=A72D4A06-FCB4-46E6-B03D-31F03C9F267A>, Filter=(objectclass=*), Scope=0.       Судя по всему, exchange нужен именно GC Всего записей: 66 | Зарегистр. 09-08-2004 | Отправлено: 16:52 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору slayer12 судя по логам да, судя по статьям на мс-е типа http://support.microsoft.com/default.aspx?scid=kb;en-us;322801 тоже да Если есть вопросы по чугунку задавай их в соот теме http://forum.ru-board.com/topic.cgi?forum=8&topic=10083&start=240#lt + поиск на мс   ps соотв логично будет поставить 2 GC в твоём варианте ибо что 2 что 1 глобальный каталог в лесу с однмм доменом значения не имеет, даже если GC распологается на хранителе ролей... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:55 14-11-2005 | Исправлено: greenfox, 17:56 14-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору greenfox Цитата: Если память не изменяет то:   1. M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC. В случае если домен один количество GC роли не играет.   Изменяет. Сильно. Здесь про GC, достаточно подробно: » AD: GC, PDC and etc... как работает?   Про распределение ролей. Цитата: Как правило, хозяин инфраструктуры всегда размещается на сервере неглобального каталога, который имеет прямой объект подключения к одному из глобальных каталогов в лесу, лучше всего на том же узле Active Directory. Сервер глобального каталога хранит частичные реплики всех объектов в лесу. Поэтому хозяин инфраструктуры, размещенный на сервере глобального каталога, выполнять обновления не будет, так как он не содержит ссылок на объекты, которых не хранит. В этом правиле есть два исключения. • Лес с одним доменом     В лесу, который содержит только один домен Active Directory, отсутствуют фантомы, а значит хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена.   • Лес с несколькими доменами, при условии, что каждый контроллер домена хранит глобальный каталог   Если на каждом контроллере домена хранится глобальный каталог, то фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере домена.     • На уровне леса роли хозяина схемы и хозяина именования домена необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования, должен одновременно являться сервером глобального каталога.   (KB223346) slayer12 Цитата: Вот такие сообщения валятся на Exchange   Глобальная адресная книга Exchange хранится в GC. Цитата: Сильно ли увеличится трафик репликации при таком включении?   У тебя они разделены медленным каналом ? Если они в локалке, то не беспокойся. ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:02 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 где именно вы нашли что мне изменяет память? Домен в лесу один - можно ГК распологать где угодно... или я что-то не понял!?   Цитата: Изменяет. Сильно. Здесь про GC, достаточно подробно:   » AD: GC, PDC and etc... как работает?   это оттуда Цитата: G14 - если в лесу один домен, то каждый контроллер понимает UPN имя как обычное имя. Не идет обращений к каталогу от kibkalo Других существенных вариантов на тему как распределять ГК между 2-мя контроллерами в одном домене (и сайте) нет вроде...     Цитата:  На уровне леса роли хозяина схемы и хозяина именования домена необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования, должен одновременно являться сервером глобального каталога.   (KB223346)   если вы имеете ввиду эту статейку http://support.microsoft.com/default.aspx?scid=kb;en-us;223346 то так так и говориться Цитата: • Single domain forest:     In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain, regardless of whether that domain controller hosts the global catalog or not.   Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю...   ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 18:25 14-11-2005 | Исправлено: greenfox, 18:46 14-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: где именно вы нашли что мне изменяет память?   Цитата:  M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC Я про это. Это ты откуда взял ? Не говорил МС такого Цитата: Тк домен у тя один то и других контекстов в лесу нет => клиенты прекрасно будут работать с контроллером и GC им как бы и не нужен в данном варианте Поиск, адресная книга эксченжда.       Добавлено: Цитата: если вы имеете ввиду эту статейку   Цитата: Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю лол. То что я процитировал это та же статья, только на русском сайте МС... Так что претензии по переводу - к ним ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 18:48 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 Цитата: Я про это. Это ты откуда взял ?  Не говорил МС такого   http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx Только там не совсем понятно - вроде речь идёт о root домене - но в вышеописанном случае 2 dc и есть и рут домен как таковой Цитата: Поиск, адресная книга эксченжда это надо не клиентам как таковым (под коими понимается виндовый клиент), а определённой софтине-  в данном случае эксченджу... Тут мы просто о разном говорили... Цитата: лол. То что я процитировал это та же статья, только на русском сайте МС...  Так что претензии по переводу - к ним   "шутку понял, смешно"(G) Вы меня, уважаемый, что за дурака дежржите?! Ясень пень что это просто перевод - но мы же с вами оба знаем что является хорошим тоном читать текст в оригенала...   По поводу статьи - там и говориться - форест рут домен - в вышеописанном варианте 2 dc держат всего лишь один домен - он же и форест рут (т.е. нет выделенных дочерних доменов) - а в сингл домене -> см.выше Всё AFAIK.     ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 19:08 14-11-2005

G14 Добрый фей Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Только там не совсем понятно - вроде речь идёт о root домене   Цитата: мультидоменный вариант насколько я понимаю... Цитата: M$ рекомендует в случае 2-х DC на одном делать все роли а на другом GC   прочитал. понял что тебя смутило: Цитата: move all the operations master roles to the second domain controller deployed in the forest root domain and ensure that this domain controller is never configured as a global catalog server В варианте с несколькими доменами в лесу важно чтобы контроллер, выполняющий роль инфраструктурного мастера не был и сервером глобального каталога одновременно. Причем не только в корневом домене, а во всех. Потому что при такой схеме инфраструктурный мастер не узнает об изменениях в своем домене, и не сможет оповестить об этих изменениях соседей. (Дальше они пишут: Цитата: This is because the first domain controller is always a global catalog server and the infrastructure master should not be placed on a domain controller that is also a global catalog server unless all domain controllers are global catalog servers. ) Только вот я не согласен с такой формулировкой. Тут они поторопились. Да, в многодоменном варианте, нужно развести GC и инфраструктурного мастера по разным контроллерам, но если мы перевезем ВСЕ роли, то получится что мастер именования доменов не на одном контроллере с GC, что не есть хорошо.   Если домен в лесу один, то инфраструктурному мастеру просто нет работы, поэтому действительно нет разницы где разместить сервера GC.     Цитата: Соотв то что там расказывается про "на уровне леса" имеется ввиду мультидоменный вариант насколько я понимаю... Не совсем. Просто в твоей английской цитате речь про инфраструктурного мастера, а в моей русской- про мастера схемы и именования доменов. Инфраструктурный  мастер есть в каждом домене в лесу, тогда как мастер схемы и мастер именования домена - только в корневом. И поэтому схема мастера и мастера именования рекомендуют свести на одном контроллере, который потом надо типа беречь как знамя полка.   Цитата: но мы же с вами оба знаем что является хорошим тоном читать текст в оригенала...   ну мы то знаем но последнее время я как то привык здесь, что на ссылку на англ. ресурс, начинается крик "я не панимаю па кетайски ничего. хачу на русском" ---------- http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) Всего записей: 3013 | Зарегистр. 19-01-2004 | Отправлено: 19:48 14-11-2005

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору G14 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/edeba401-7f51-4717-91bd-ddb1dca8a327.mspx Цитата: Operations Master Placement for Single Domain Forest In addition to hosting the operations master roles, the first domain controller created in a forest also hosts the global catalog. In a single domain forest, the database of a global catalog server is identical to that of a domain controller. Therefore, configure all domain controllers as global catalog servers because it does not cause any additional workload for the domain controllers. In a single domain forest where all domain controllers are configured as global catalog servers, leave all operation master roles on the first domain controller that is created in the forest and use the second domain controller as a standby operations master.   типа перекиньте\оставте все роли на одном DC (первом по умолчанию), а второй пусть будет резервным хранителем ролей (наск я понимаю) + ГК на всех DC (или где душе угодно - тут только для балансировки нагрузки их можно тусовать и не более) Цитата: Не совсем. Просто в твоей английской цитате речь про инфраструктурного мастера, а в моей русской- про мастера схемы и именования доменов. Инфраструктурный  мастер есть в каждом домене в лесу, тогда как мастер схемы и мастер именования домена - только в корневом. И поэтому схема мастера и мастера именования рекомендуют свести на одном контроллере, который потом надо типа беречь как знамя полка.   и что!? Если у камрада выше 2 DC ты предлагаешь перекинуть на первый 2 "лесные" роли (схемы и именов домена), а на другом оставить 3 "доменных" роли!? В этом нет смысла - такая схема будет эффективна только в варианте когда есть дочернии домены - в мультидоменном варианте (afaik). Даётся это m$ в качестве рекомендации... В вышеописанном варианте домен один, смысл разносить хозяев операций только в балансировки нагрузки (pdc отдельно например - наиболее прожорлив и т.д.) или бэкапа (как например советует мс - все роли на одном DC второй соотв как запасной мастер) - других критереев в таком варианте имхо нет...   ps я кстати так до конца и не врубился - это запасной хозяин операций надо как то с консоли "назначать"!?   pps да и пож-та не выдерай мои фразы из контекста, они там шли не в той окраске которую ты им потом придаёшь, цитируя их подряд пачками и приписывая внизу небольшой коментарий - мне потом непонятно на что отвечать\спрашивать... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 10:32 15-11-2005 | Исправлено: greenfox, 10:33 15-11-2005

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory)

emx (08-01-2008 13:43): Общие вопросы про AD (Active Directory) - часть II

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование