Платные хостинги     Раскрутка сайта     Другие сайты

Active Directory на Windows 2003.

Я поставил Active Directory на Win 2003 Server Ent. На этом серваке уже был поднят NAT на одной сетевухе. Вобщем ставлю АД по доке, там сказано, что после установки АД и ДНС должны появится папки _msdcs, _tcp, _sites и др. У меня появиласть только _msdcs. Остальные пришлось прописывать руками из netlogon.dns. Прописал. домен auto.local, контроллер ap-s.auto.local. Я прописал А запись для контроллера в Forward Lookup Zones и сделал PTR в Reverse Lookup Zones. Дальше делаем nslookup: --- Default Server: ap-s.auto.local Address: 192.168.0.1 > name Server: ap-s.auto.local Address: 192.168.0.1   *** ap-s.auto.local can't find name: Server failed > set q=a > auto.local Server: ap-s.auto.local Address: 192.168.0.1   Name: auto.local   > ls auto.local [ap-s.auto.local] auto.local. NS server = ap-s auto.local. NS server = ap-s.auto.local _msdcs NS server = ap-s ap-s. A 192.168.0.1 ap A 192.168.0.2 ap-s A 192.168.0.1 DomainDnsZones A 192.168.0.1 ForestDnsZones A 192.168.0.1 ---   Здесь ap это имя одной из клиентских машин (их вообще нужно прописывать в ДНС или достаточно в АД прописать?)   Вот показания Netdiag: (частично) --- Per interface results:   Adapter : Local Area Connection   Netcard queries test . . . : Passed   Host Name. . . . . . . . . : ap-s.auto.local IP Address . . . . . . . . : 10.237.100.31 Subnet Mask. . . . . . . . : 255.255.255.0 IP Address . . . . . . . . : 192.168.0.1 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.0.1 Dns Servers. . . . . . . . : 192.168.0.1   IpConfig results . . . . . : Failed   NetBT name test. . . . . . : Passed [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing. No remote names have been found.   WINS service test. . . . . : Skipped There are no WINS servers configured for this interface.   DNS test . . . . . . . . . . . . . : Failed [WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.0.1'. Please wait for 30 minutes for DNS server replication. [FATAL] No DNS servers have the DNS records for this DC registered.   Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos does not have a ticket for host/ap-s.   LDAP test. . . . . . . . . . . . . : Failed [WARNING] The default SPN registration for 'HOST/AP-S' is missing on DC 'ap-s'. [FATAL] The default SPNs are not properly registered on any DCs. ---   Подскажите возможные пути решения. Я уже тут голову почти сломал. Переставить все заново по новой не предлагать, пробовал.  

Вытащи сетевую, на которой стоял NAT. Переустанови сервер c одной сетевой картой. После поднятия AD и проверки его функционирования можешь добавить вторую сетевую карту и поднять NAT. Я бы еще отсоеденил клиента и сервер сетей Майкрософт от этого интерфейса. И почитай про multihomed контроллеры домена на support.microsoft.com.

Сетевая карта всего одна,  она имеет 2 ip-адреса и на ней поднят NAT.   Добавлено ...и потом, есть ли гарантия, что после того как я подниму АД без НАТа, а потом подниму НАТ на этой же сетевухе, все не рухнет?

я столкнулся с тем, что при создании зоны, отличающейся от стандартов, DNS глючит. создавал зону как zone.local - были проблемы, пересоздал как zone.net - все стало ок. именно на 2003 сервере.  

Не знаю даже с чего начать. В общем, у меня какая-то чумовая проблема с Windows 2003 Server EE. Началось все с того, что пришла пора менять сервера с W2K на W2K3. У меня 2000й домен в нативном режиме. Все с ним в порядке. До перевода контроллеров я обкатал W2K3 на рядовом сервере. Все было в порядке и новый сервер мне понравился. Ok, я по полной программе проверил свой домен на наличие ошибок, прочел руководство Microsoft по апдейту 2000го домена до 2003 (кстати, там же есть информация о том, как заставить работать W95 и NT4 в домене 2003 -- вопрос, неоднократно поднимавшийся на форуме) и ничтоже сумнящеся обновил лес и домен с последующим добавлением в него нового контроллера -- на этот раз это был Windows Server 2003 Enterprise Edition, с самого что ни на есть фирменного диска, с самой что ни на есть чистой лицензией. Все прошло без каких-либо проблем. Домен в таком виде функционирует и сейчас. Проблем никаких нет... ну почти. Дело в том, что на этом контроллере должен быть поднят IIS с PHP. Установил IIS, PHP, слава богу не впервой -- piece of cake, как говорят наши друзья, it's not a rocket science. Создал test.php с вызовом стандартной функции phpinfo(), захожу браузером и получаю "Service Unavailable". Что за @#%$? Начинаю ковырять, нахожу документы Q842493 Q332097, описывающие как раз то, что мне надо. Что ж, изменить пермишены на каталогах -- не велика проблема. Да, но только в том случае, если у вас в домене есть пользователь "NETWORK SERVICE". У меня его в рабочем домене НЕТ! Ладно, ставлю этот W2K3 под VMware, поднимаю новый домен с нуля и вижу, что в этом домене такой пользователь присутствует в ForeignSecurityPrincipals, наряду с рядом других, ни один из которых в моем домене не просматривается даже под очень большой лупой. Зато там у меня есть Everyone, которого нет в новом тестовом домене. Ладно. Сам собой сформировался вопрос как добавить новых пользователей в ForeignSecurityPrincipals? Причем, с нужным RID-ом. Первое, что пришло в голову, использовать LDIFDE для экспорта нужных юзеров из тестового домена и импорта их в боевой. Сказано -- сделано. 0 записей выгружено. Лезу своим любимым LDAP браузером (softerra) -- "[ERROR 49] Invalid credentials" у доменного администратора. Использую все LDAP-браузеры, которые имею, по порядку вплоть до установки phpldapadmin на тестовом серваке -- результат ровно тот же, с любым пользователем. adsvw при попытке посмотреть что LDAP://DC=test,DC=dom, что GC://DC=test,DC=dom говорит, что ERROR_DS_SERVER_DOWN. В то же самое время dcdiag на том же сервере рапортует, что все просто за^H^Hништяк, никаких проблем. В логах следующая картина: в System -- Event ID: 36872, Source: Schannel, в Directory Service -- Event ID: 1220, Category: LDAP Interface, Source: NTDS LDAP. В этом случае рекомендуют установить Certification Authority. Ok, ставлю enterprise root CA и получаю в Application Event ID: 44, Source: CertSvc, информации по которому нет нигде, включая M$. #$%^#$ Переставляю тестовый сервер с нуля. И получаю ровно то же самое, плюс в System из источника LSASRV несколько пар предупреждений 40960 (The Security System detected an authentication error for the server. The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request. (0xc000005e)".) и 40961 (The Security System could not establish a secured connection with the server. No authentication protocol was available.), да впридачу предупреждение 5781 от NETLOGON (Dynamic registration or deletion of one or more DNS records associated with DNS domain 'test.dom.' failed.  These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).), хотя я на 110% уверен, что с DNS-ом все нормально, да и не трогал я его, dcpromo сам его установил и настроил. В общем, мой утомленный разум уже не в состоянии осмыслить и решить проблему самостоятельно. Мля, я думаю, что же было бы, если бы мне пришлось поднимать 2003 домен с нуля в боевых условиях! Такой бег по граблям...   ЗЫ. kibkalo, вопрос скорее всего к тебе. Я уже конкретно туплю...       Добавлено Да, забыл добавить, что в тестовом домене в оснастке "Active Directory Users and Computers" все в порядке, никаких намеков на проблемы с LDAPом.

С евентами 40960 и 40961 разобрался. Microsoft в документах Q823712 и Q824217 говорит, что их можно игнорировать в данной ситуации. Ok, игнорируем их.   Добавлено От блин, я сегодня ночью настолько зашился, что пытался внешними браузерами коннектиться как CN=Administrator,OU=Users,DC=test,DC=dom вместо CN=Administrator,CN=Users,DC=test,DC=dom. Достаточно было запустить ADSI Edit и посмотреть. Кстати, про этот редактор я тоже забыл в порыве чувств. Ладно, вопрос с LDAPом можно считать закрытым. Правда, adsvw так и не работает, что меня, собственно, и смутило, но да фиг с ним. Может какая несовместимость с 2003, не знаю...   Основной вопрос, тем не менее, остается открытым: как вручную добавить новых пользователей в ForeignSecurityPrincipals правильнее всего? Варианта пока 2: экспорт,импорт через LDIFDE (или LDAP-редактор) или перенос с помощью movetree из другого домена.  

ooptimum - пользователь Network Service не ищется поиском (также как, например, локальнй System) В домене он появляется после апдейта домена до 2003 уровня. Попробуй на тестовом контроллере заново запустить adprer /forestprep и /domainprep Экспорт Forign Security Principals тебе ничего не даст. Это более сложные объекты чем пользователи. Movetree, как ты сам понимешь не moveforest, так что из другого леса ты не перенесешь юзера... А в твоем оного нет. Думаю, что надо просто еще раз проапдейтиться адпрепом. Не скажу точно на каком из контроллеров (2000 или 2003), т.к. не вижу сам ситуации.   Добавлено Вообще, по минутному размышлению добавлю свои идеи... В Foregn Security Principals объекты попадают двумя путями: при создании домена и при создании трастов. При создании домена ситуация такова: на первом контроллере есть локальные пользователи (до того как он станет контроллером нового домена). При первичном dcpromo и создании домена локальная SAM база "удаляется". На самом деле, разумеется, не удаляется (в каком же контексте тогда работать сервисам на контроллере), а из типа user становится полумифическим FSP. При выводе любого (первого, второго, десятого) контроллера из домена, его локальный SAM как раз образуется из аккаунтов данного типа. В твоем случае первым контроллером был 2000. На нем такого пользователя (локального) нет по определению. Логично, что он не попал в FSP. А вот почему при адпреп он там не появился я не понимаю. Имхо, как я писал уже выше, повторные танцы с бубном adprep должны помочь. Возможно, правда, что придется это делать на доменном 2003 сервере, не являющимся контроллером.   Вот такое отступление, чтобы пояснить первый мой пост. Попробуй, и напиши - вопрос интересный.   Добавлено ooptimum еще добалю, если лес большой (географически), то процесс реплткации юзера в FSP реально может занять дня три. В таком случае не дергайся. Твою проблему с IIS + PHP по быстрому проще всего решить созданием доменного пользователя, в контексте которого будешь запускать сервисы

Это-то понятно. Но дело в том, что в тестовом домене они есть, а в рабочем их нет. Но хочется, чтобы они там были. Я не ищу пользователя "NETWORK SERVICE", кстати, а вручную прописываю имя в диалоге "Select Users, Computers, or Groups". В тестовом домене он добавляется в список без проблем, а в рабочем его предлагают найти и, естественно, не находят. Кроме того, этих пользователей видно в оснастке "Active Directory Users and Computers" в режиме "Advanced Features". Конечно, видно только там, где они есть -- в тестовом домене. Я уж не говорю о просмотре директории сторонними средствами как чистого LDAP-каталога.   Не совсем понял, что ты имеешь в виду под "после апдейта домена до 2003 уровня". На рабочем домене выполнялись adprer /forestprep и /domainprep, после чего проверка (по бумажке от Microsoft) показала, что лес и домен проапгрейдились нормально. При выполнении обоих adrep ошибок не было. Но рабочий домен работает в режиме 2000 native. Может ты имеешь в виду поднять его до 2003 native? Но почему тогда тестовый домен, функционирующий вообще в режиме 2000 mixed, имеет этих пользователей?   Цитата: Экспорт Forign Security Principals тебе ничего не даст. Это более сложные объекты чем пользователи. Насколько более сложные? Как я понимаю, эта прямое сопоставление между локальными пользователями этого контроллера и доменными пользователями. По аналогии с пользователями SYSTEM, Everyone и т.д. Но локального пользователя "network service" нет в 2000, который сейчас у меня пока single master всего на период перехода. Возможно именно поэтому это "сопоставление" и не создалось в AD, так как на 2000 оно все равно работать не будет, т.к. в нем нет пользователя S-1-5-19? Может быть эти "сопоставления" можно будет просто импортировать через LDAP когда все контроллеры будут под 2003? Просто гипотеза...   Цитата: Думаю, что надо просто еще раз проапдейтиться адпрепом. Ничего не даст. MS прямо пишут, что это одноразовая операция. Нет, ну ты можешь, конечно, запускать ее сколько угодно раз, но толку от этого никакого -- она ничего не делает потом.   Цитата: В твоем случае первым контроллером был 2000. На нем такого пользователя (локального) нет по определению. Именно! Об этом я и писал выше, когда еще не дочитал до этого твоего описания. Более того, изначально домен был вообще под NT4, с тех пор так и обновлялся: NT4 -> W2K -> W2K3.   Цитата: еще добалю, если лес большой (географически), то процесс реплткации юзера в FSP реально может занять дня три Лес вообще никакой в данном случае. Один сайт.   Цитата: Твою проблему с IIS + PHP по быстрому проще всего решить созданием доменного пользователя, в контексте которого будешь запускать сервисы Это-то я знаю. И сделать так абсолютно не проблема. Но меня корежит от сознания того, что у меня в доме что-то не так. Я просто загорелся исправить и сделать как задумано, а не как получится.

А там случайно мастером не является 2003 ?   Цитата: Я не ищу пользователя "NETWORK SERVICE", кстати, а вручную прописываю имя в диалоге "Select Users, Computers, or Groups". В тестовом домене он добавляется в список без проблем, а в рабочем его предлагают найти и, естественно, не находят Не понял, где именно в тестовом домене получается его увидеть? В поиске ADU&C ??

Является. Ибо он там вообще единственный член домена, он же контроллер, он же single master. Под VMware крутится.   Цитата: Не понял, где именно в тестовом домене получается его увидеть? В поиске ADU&C ?? Нет, не в поиске. Открой ADU&C, иди в меню View и щелкни на Advanced Feautures так, чтобы включить переключатель. Затем открой в дереве папку ForeignSecurityPrincipals. Они должны быть там.   Добавлено У тебя-то хоть они там пристутствуют? А то ты как-то подозрительно замолчал. Как будто проверяешься...

В боевом native 2003 домене присутствуют, чего тут проверять то. Нет у меня 2000х домнов чтобы глянуть. Я думаю, что они появятся при трансфере ролей на 2003

Ты знал! Точно, после переноса ролей на 2003 эти записи появились. Так и запишем. К сожалению, я не посмотрел после переноса какой именно роли они появились. Но полагаю, что после переноса Infrastructure Master.   Кстати, все равно есть рассогласование между тем, что есть в боевом и тестовом доменах. В боевом у меня сейчас есть следующие Foreign Principals (уникальные записи для каждого домена выделены красным): S-1-1-0 Everyone S-1-5-7 NT AUTHORITY\ANONYMOUS LOGON S-1-5-9 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS S-1-5-11 NT AUTHORITY\Authenticated Users S-1-5-20 NT AUTHORITY\NETWORK SERVICE   А эти в тестовом домене: S-1-5-4 NT AUTHORITY\INTERACTIVE S-1-5-9 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS S-1-5-11 NT AUTHORITY\Authenticated Users S-1-5-18 NT AUTHORITY\SYSTEM S-1-5-19 NT AUTHORITY\LOCAL SERVICE S-1-5-20 NT AUTHORITY\NETWORK SERVICE   Хорошо хоть, что "NETWORK SERVICE" появился. А у тебя как, какие NT AUTHORITY прописаны? Ты домен обновлял с 2000-го или сразу 2003-й поднимал?   PS. Мля, хоть бы где эти косяки были описаны в официальной документации... Так поседеешь раньше срока.   PPS. Хотя это и не важно уже, но не хочется оставлять ничего недосказанного. Наверняка ты меня недопонял выше и подумал нечто: "Где это он там вручную прописывает "NETWORK SERVICE", в каком-таком диалоге?" Ну или что-то в этом роде. Да, в ADU&C этих пользователей можно найти там, где я написал, но когда я говорил про ручное прописывание имени, я имел в виду процедуру хоть из того же Q842493.Цитата: 1. Start Windows Explorer, and then open the following folder:   %systemroot%\Help\iisHelp   2. In the right pane, right-click the Common folder, and then click Sharing and Security.   3. Click the Security tab, click Add, type NETWORK SERVICE, and then click OK.   ...

А то! Других вариантов просто не было. Кстати, я тебя изначально понял более менее правильно, просто вопросы про ГДЕ ты их нашел задавал чтобы ты глубже копнул сам. Из нетрастовых FRS у меня в боевом домене есть:   S-1-1-0 Everyone   S-1-5-11 NT AUTHORITY\Authenticated Users   S-1-5-20 NT AUTHORITY\NETWORK SERVICE   S-1-5-4 NT AUTHORITY\INTERACTIVE   S-1-5-7 NT AUTHORITY\ANONYMOUS LOGON   S-1-5-9 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS   ну и куча длинных записей из аккаунтов доверяемого леса.   System и Loval Service исчезли при трансфере леса в 2003 режим. Думаю, что мы с твоей проблемой разобрались?

Да собственно, как оно там внутри устроено я довольно хорошо себе представляю. Да и копнул на максимум, который мог -- до уровня LDAP. Просто я не подумал, что эти юзеры проявятся при переносе ролей на 2003. Стереотипы виноваты, по-видимому. Цитата: Думаю, что мы с твоей проблемой разобрались?   Да пожалуй. Спасибо.

Стоит ОС Win2003. Зачем используется в DNS Dynamic Update и что там надо поставить?   У нас просто IP на сервере 10.xx.xx.xx и после поднятия DNS он очень ругается, что указана сетка А и т.д.Поэтому прийшлось поставить в Dynamic Update = none

Народ, а не поможете со схожей проблемой? Есть два леса уровня win2003, установлены двусторонние доверительные отношения между лесами, доверительные отношения нормально проходят валидацию. netdiag в обоих лесах проходит без ошибок. Но теперь имеем проблему: при попытке добавить в одном AD любую запись из другого AD получаем в эвентлоге два варнинга: 40960 и 40961 (были тут выше по тексту). Причем в каждом лесу контроллер ругается на ошибку контроллера другого леса. Чтение кучи MS-овских статей результата не дало. Анализ трафика LDAP и Kerberos между двумя доменами тоже никакого особенного криминала не выявил. Есть одна только особенность - леса расположены в разных часовых поясах, между ними 8 часов разницы. Но по минутам - не больше трех минут. Кто-нибудь сталкивался с подобной проблемой?