ooptimum
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Не знаю даже с чего начать. В общем, у меня какая-то чумовая проблема с Windows 2003 Server EE. Началось все с того, что пришла пора менять сервера с W2K на W2K3. У меня 2000й домен в нативном режиме. Все с ним в порядке. До перевода контроллеров я обкатал W2K3 на рядовом сервере. Все было в порядке и новый сервер мне понравился. Ok, я по полной программе проверил свой домен на наличие ошибок, прочел руководство Microsoft по апдейту 2000го домена до 2003 (кстати, там же есть информация о том, как заставить работать W95 и NT4 в домене 2003 -- вопрос, неоднократно поднимавшийся на форуме) и ничтоже сумнящеся обновил лес и домен с последующим добавлением в него нового контроллера -- на этот раз это был Windows Server 2003 Enterprise Edition, с самого что ни на есть фирменного диска, с самой что ни на есть чистой лицензией. Все прошло без каких-либо проблем. Домен в таком виде функционирует и сейчас. Проблем никаких нет... ну почти. Дело в том, что на этом контроллере должен быть поднят IIS с PHP. Установил IIS, PHP, слава богу не впервой -- piece of cake, как говорят наши друзья, it's not a rocket science. Создал test.php с вызовом стандартной функции phpinfo(), захожу браузером и получаю "Service Unavailable". Что за @#%$? Начинаю ковырять, нахожу документы Q842493 Q332097, описывающие как раз то, что мне надо. Что ж, изменить пермишены на каталогах -- не велика проблема. Да, но только в том случае, если у вас в домене есть пользователь "NETWORK SERVICE". У меня его в рабочем домене НЕТ! Ладно, ставлю этот W2K3 под VMware, поднимаю новый домен с нуля и вижу, что в этом домене такой пользователь присутствует в ForeignSecurityPrincipals, наряду с рядом других, ни один из которых в моем домене не просматривается даже под очень большой лупой. Зато там у меня есть Everyone, которого нет в новом тестовом домене. Ладно. Сам собой сформировался вопрос как добавить новых пользователей в ForeignSecurityPrincipals? Причем, с нужным RID-ом. Первое, что пришло в голову, использовать LDIFDE для экспорта нужных юзеров из тестового домена и импорта их в боевой. Сказано -- сделано. 0 записей выгружено. Лезу своим любимым LDAP браузером (softerra) -- "[ERROR 49] Invalid credentials" у доменного администратора. Использую все LDAP-браузеры, которые имею, по порядку вплоть до установки phpldapadmin на тестовом серваке -- результат ровно тот же, с любым пользователем. adsvw при попытке посмотреть что LDAP://DC=test,DC=dom, что GC://DC=test,DC=dom говорит, что ERROR_DS_SERVER_DOWN. В то же самое время dcdiag на том же сервере рапортует, что все просто за^H^Hништяк, никаких проблем. В логах следующая картина: в System -- Event ID: 36872, Source: Schannel, в Directory Service -- Event ID: 1220, Category: LDAP Interface, Source: NTDS LDAP. В этом случае рекомендуют установить Certification Authority. Ok, ставлю enterprise root CA и получаю в Application Event ID: 44, Source: CertSvc, информации по которому нет нигде, включая M$. #$%^#$ Переставляю тестовый сервер с нуля. И получаю ровно то же самое, плюс в System из источника LSASRV несколько пар предупреждений 40960 (The Security System detected an authentication error for the server. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request. (0xc000005e)".) и 40961 (The Security System could not establish a secured connection with the server. No authentication protocol was available.), да впридачу предупреждение 5781 от NETLOGON (Dynamic registration or deletion of one or more DNS records associated with DNS domain 'test.dom.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).), хотя я на 110% уверен, что с DNS-ом все нормально, да и не трогал я его, dcpromo сам его установил и настроил. В общем, мой утомленный разум уже не в состоянии осмыслить и решить проблему самостоятельно. Мля, я думаю, что же было бы, если бы мне пришлось поднимать 2003 домен с нуля в боевых условиях! Такой бег по граблям... ЗЫ. kibkalo, вопрос скорее всего к тебе. Я уже конкретно туплю... Добавлено Да, забыл добавить, что в тестовом домене в оснастке "Active Directory Users and Computers" все в порядке, никаких намеков на проблемы с LDAPом. |