Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Открыть новую тему     Написать ответ в эту тему

emx



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Active Directory (AD)
смотрите также: Групповые политики (Group Policy)
Эта тема является общей по AD. Она также является отправной точкой, откуда можно перейти к другим темам по AD, где обсуждаются более сложные вопросы

 
В этой теме обсуждаются самые общие и теоретические вопросы службы каталогов Microsoft Active Directory. Конкретные, частные вопросы лучше обсуждать в отдельных темах. Это удобно тем, что всегда можно сразу найти обсуждение конкретной проблемы, вместо того, чтобы перечитывать все общие вопросы. Для поиска подходящей темы пользуйтесь Картой форума, Инструкцией по решению проблем или подборкой ссылок на темы форума. Также обратите внимание, что тема, посвящённая общим вопросам по групповым политикам (Group Policy), находится здесь: Групповые политики (Group Policy, GPO): документация, ссылки.
 
» Как отличить общий вопрос от частного?
 
» Ссылки на темы форума "В помощь системному администратору", посвященные Active Directory
 
» Полезные ресурсы по Active Directory (AD)
 
Предыдущая часть этой темы здесь.
Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 13:41 08-01-2008
BOCTOKOB

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
при nslookup имядомена.local что резолвится?
Всего записей: 94 | Зарегистр. 18-10-2011 | Отправлено: 13:10 14-03-2018
artclub

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
 
Добрый день!
 
Сделал по этой ссылки все работает кроме "управления компьютером"
 
 
ошибка:  приведенная ниже оснастка,указанная в данном документе, ограничена политикой.
 
Может раньше меня другая политика была настроена?!  
 
И раньше при работе с логином пользователя домена, если хотел изменить настройки выходило окно чтоб вписать логин пароль админа, сейчас окно не выходит сразу ошибку выдает что нет прав!
 
Это очень не  удобно приходиться логиниться админом из за этого и времени занимает!
 
Подскажите как это исправить?!
 
Заранее спасибо!
 
 
Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 14:38 14-03-2018
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
Цитата:
приведенная ниже оснастка,указанная в данном документе, ограничена политикой.  
Проверять / настраивать политики
Групповые политики (Group Policy, GPO): документация, ссылки


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 15:04 14-03-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Вырубается первый - второй отказывается отвечать на запросы.  

Не денег же вы у него просите Какие конкретно запросы?
Например, некоторые изменения в AD DS вносятся только на определенном сервере, хозяине определенной роли, а их, известно, пять... Как видим, пять ветвлений алгоритма Не создать нового пользователя, емнип, при утере RIM, но не стоит на меня ссылаться. Просто - направление.
Еще "ветвление"? Запросто. Умер у вас GC, а вы хотите аутенфицироваться. Ну и фигушки. GC надо. Тогда руками открывается консоль и ставится галочка соответствующая. На консоль пустит, по сети - нет.
Возможно, что ваш IAS (жуть) этого хочет, но не получает. То есть, правильно в таком случае не получает. Остальные кешем единым живут пока
Слишком много "возможно". Конкретней.

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:34 14-03-2018
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Какие конкретно запросы?  
Так я вроде написал. Обычный RADIUS запрос. Что юзер ааа с паролем ббб существует,
и у него стоит галка Allow Dial-In. Для VPN подключения.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 22:30 14-03-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Вы же в Радиусе проверяете, он не отвечает? Вот, типа, первый вопрос. И далее по списку.
Но на самом деле, цепочка, видимо, проста. Единственное, что я придумываю, что у Радиуса нет кеша или он ему не доверяет. Каждый раз он он спрашивает Кербероса, пса цепного... Ну, скажем, юзеру ааа семнили пароль на 667, и Радиус об этом не уведомили, ибо здесь уж точно - такого не происходит. Следовательно, он спрашивает. Кого? GC, by design Как он его находит, смотрим мануал, стандартно в DNS, прописью таки да, но может еще как-то. Так вот, когда ваша служба GC замерла и не отвечает - Радиус не может обслужить запрос.
Служба GC не уникальна и в отличие от FSMO может быть везде, есть там ограничения, чисто феншуй, не более. Ставьте галку GC на обоих контрооллерах, ждите появления записи в DNS, понимания этого Радиусом и проверяйте.
Феншуйность, для простой сети, имхо, не принципиальная.
Галка
 
Добавлено:
Глобальный каталог и его роль в Active Directory
Размещение и оптимизация FSMO на контроллерах домена Active Directory
 
Добавлено:
Вот феншуйность, касаемая GC. В последней ссылке читаем
Цитата:
•Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
•Лес с одним доменом  
•Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог  


----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:03 15-03-2018 | Исправлено: Paromshick, 07:44 15-03-2018
artclub

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
 
А для этого есть решения?
 
И раньше при работе с логином пользователя домена, если хотел изменить настройки выходило окно чтоб вписать логин пароль админа, сейчас окно не выходит сразу ошибку выдает что нет прав!
Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 08:47 15-03-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
Вы поймите, что GP нужны для массового применения некой одной или пачки настроек на куче компов. Можно потопать ножками и сделать ручками.
Вы же хотите некий специальный, единичный вопрос о себе любимом решить через GP. Что не верно. Решите его ручками на тестовой машине, запустив локальный gpedit.msc. Чтоб некие возможные другие политики вам не мешали
Далее. Если у вас не решается конкретный вопрос с конкретной оснасткой, то допиливайте свой конкретный рецепт. Голову включите, понимание вопроса. Как оно и через какую дырку работает.
Я вот читаю, что некоторые пишут и, судя по тому, сколько инфы они предоставляют, думают, видимо, что работает неким чудом по мантрам.
Таки нет.

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:49 15-03-2018
artclub

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
 
Я лишь хотел узнать можно это решить через GP  "выходило окно чтоб вписать логин пароль админа"?
Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 10:20 16-03-2018
DenSyo

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
UAC включите с запросом на повышение прав
Всего записей: 218 | Зарегистр. 19-01-2008 | Отправлено: 10:43 16-03-2018
inomaratadeath

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый вечер, комрады.  
 
Никто не сталкивался с долгим откликом (порядка 8-12 секунд) при навигации по оснасткам AD? В частности - при переходе между OU  пользователях и компьютерах подвисон на 8-12 секунд -- потом поддерево раскрывается. При выборе свойств контакта -- так же висит --- только потом даёт войти в свойства. Всё это длится при первых 3-4 операциях, потом тормоза пропадают. Если на КД зайти через пару часов и снова начать переключаться между OU и контактами -- снова та же самая картина.
 
Домен содержит 2 КД  на разных гипервизорах, тормоза при навигации в обоих  КД.
Обоим КД выделено 4 гига статической оперативки.
Оба КД - глобальные каталоги.
 
Грешил сначала на медленные диски на одном гипервизоре, но на втором виртуалка лежит  на RAID-10.  
 
Настройки DNS на сетевых интерфейсах обоих КД:
Первый КД

Код:
C:\Users\admin_>ipconfig /all
 
Настройка протокола IP для Windows
 
   Имя компьютера  . . . . . . . . . : SrvAD
   Основной DNS-суффикс  . . . . . . : xxxxxx.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . :  xxxxxx.local
 
Ethernet adapter Подключение по локальной сети 3:
 
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной ма
шины (Майкрософт) #3
   Физический адрес. . . . . . . . . : 00-15-5D-00-02-0C
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.101(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DNS-серверы. . . . . . . . . . . : 192.168.0.120
                                       192.168.0.101
   Основной WINS-сервер. . . . . . . : 192.168.0.101
   NetBios через TCP/IP. . . . . . . . : Включен
 
Ethernet adapter Подключение по локальной сети* 4:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Failover Cluster Virtual Adapte
r
   Физический адрес. . . . . . . . . : 02-15-5D-00-02-08
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
 
Адаптер PPP RAS (Dial In) Interface:
 
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.222(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   NetBios через TCP/IP. . . . . . . . : Включен
 
Туннельный адаптер isatap.{6A8392C8-351C-498B-8140-05CA1D94372B}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер Подключение по локальной сети* 2:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер isatap.{C43B6F35-F713-4427-96F5-502CF6C360F6}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
C:\Users\admin_>
     
Второй КД

Код:
C:\Users\admin_>ipconfig /all
 
Настройка протокола IP для Windows
 
   Имя компьютера  . . . . . . . . . : SRVAD2
   Основной DNS-суффикс  . . . . . . :  xxxxxx.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . :  xxxxxx.local
 
Ethernet adapter Подключение по локальной сети 6:
 
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Red Hat VirtIO Ethernet Adapter
   Физический адрес. . . . . . . . . : 2A-9E-0E-30-9F-45
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.120(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DNS-серверы. . . . . . . . . . . : 192.168.0.101
                                       127.0.0.1
   Основной WINS-сервер. . . . . . . : 192.168.0.101
   NetBios через TCP/IP. . . . . . . . : Включен
 
Ethernet adapter Подключение по локальной сети*:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Failover Cluster Virtual Adapte
r
   Физический адрес. . . . . . . . . : 02-15-5D-00-05-1B
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер isatap.{575FF866-3BC7-4721-9886-585970A5CE3B}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер Подключение по локальной сети* 4:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
Туннельный адаптер isatap.{E6BF6799-2FC9-4EE0-B8DA-22202C06B8BF}:
 
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
 
C:\Users\admin_>
 

 

Код:
 
C:\Windows\system32>dcdiag /q
 
C:\Windows\system32>

В настройках оснастки на каждом КД выбрано подключение к самому себе.
 
Может кто подсказать, куда копать?
Всего записей: 48 | Зарегистр. 12-04-2009 | Отправлено: 19:44 20-03-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Disable NetBIOS over TCP/IP видимо...
И DNS должен смотреть на соседа, затем на свой NIC, потом уж на localhost

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:08 20-03-2018
inomaratadeath

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
DNS должен смотреть на соседа, затем на свой NIC, потом уж на localhost
 

такое только на одном из КД, а лаги наблюдаются на обоих КД.  
 

Цитата:
Disable NetBIOS over TCP/IP видимо...  

в смысле? он включён. Или советуете отключить?  Это разве как-то связано с оснасткой AD?
Всего записей: 48 | Зарегистр. 12-04-2009 | Отправлено: 20:51 21-03-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробовать займет минут 30, учитывая кеши, а вернуть назад - одну минуту.
Рассказывать же, что я думаю, это я могу часми

Цитата:
такое только на одном из КД
Просто best. Not required


----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:25 21-03-2018
artclub

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DenSyo
 
Спасибо, помогло!
Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 09:40 27-03-2018
reed995



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не получается настроить AD. Не получается вписать пользователя. Пробовал два разных, ссылается на неверный пароль. Ввожу обычное имя пользователя в домене и пароль от него, который указал в AD.  

Всего записей: 107 | Зарегистр. 17-04-2010 | Отправлено: 09:15 08-04-2018
MaryMMM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! Такой вопрос. Хотелось бы услышать развернутый ответ. Почему нам надо перезагружать компьютер при установке нового софта (создания новых политик) в AD? С чем это связано?
Всего записей: 3 | Зарегистр. 18-04-2018 | Отправлено: 15:13 18-04-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MaryMMM
Тогда и спрашивать надо развернуто. Не жалея букв.
При развертывании программного обеспечения с помощью групповых политик AD.
Смыл развернуто отвечать, если догадка, а ведь это догадка, не верна?


----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:46 18-04-2018
MaryMMM

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это больше теоретический вопрос, я новичок и мне интересно, почему происходит именно так, а не по-другому (я понимаю, что скорее всего перезагружать нужно для вступления в силу изменений, и на каком моменте скачивается софт? Или перезагрузка касательно AD нужна по-другой причине? Что происходит в момент перезагрузки системы? )Даже не знаю, как еще спросить, не жалея букв..Вот такой вот вроде простой вопрос
Всего записей: 3 | Зарегистр. 18-04-2018 | Отправлено: 16:21 18-04-2018
Paromshick



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MaryMMM

Цитата:
я новичок и мне интересно
Это понятно, но вам ничего не светит, если не научитесь отделять мух от котлет. Дело в том, что "установка софта" и "(создание новых политик) в AD" никак не одно и то же. Вообще разные вещи. Догадку же вы не подтверждаете.
О чем спрашиваете-то?

----------
Скучно
Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:29 18-04-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Общие вопросы про AD (Active Directory) - часть II


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru