Пользователи Active Directory

← →
YurikGL © (2004-08-14 14:38) [0]

Пользую w2000server
Как можно сохранить всех пользователей домена, что бы при установке с нуля сервера их не надо было-бы заново забивать?

← →
Рамиль © (2004-08-14 14:50) [1]

Есть вроде утилитка экспорта, только смысл? ACL утеряются.
Если у тебя рабочий сервер, нафиг с нуля ставить? Подход не правильный. Надо поднять второй котроллер домена, перенести все роли на него, а потом старый понизить до рядового, а потом уже переставлять.

← →
Рамиль © (2004-08-14 14:51) [2]

Или, если хочешь другой домен, то есть утилитка миграции пользователей и компьютеров, там только доверительные отношения надо установить между доменами. Active Directory Migration Tools вроде называется.

← →
YurikGL © (2004-08-14 15:00) [3]

> Рамиль © (14.08.04 14:51) [2]

Не... Там сама система битая какая-то. Вот и хочется с нуля поставить сервер на другом нулевом винте.
Утилитка называется LDIFDE. Сейчас пробовать буду.

← →
YurikGL © (2004-08-14 16:09) [4]

А как бы весь домен сохранить?

← →
KSergey © (2004-08-14 16:25) [5]

> [4] YurikGL © (14.08.04 16:09)
> А как бы весь домен сохранить?

А чем [1] не нравится?

← →
YurikGL © (2004-08-14 17:30) [6]

> KSergey © (14.08.04 16:25) [5]

Если я создам новый домен с аналогичным именем клиентские машины будут воспринимать его, как другой домен. Тогда
на локальных машинах приходится делать так:
1) Вошел в рабочую группу
2) Вошел обратно в домен
3) Т.к. был создан локально новый юзер, то копируем все его настройки.

Мне бы сделать так, что-бы пользователи ничего не почувствовали.

← →
Рамиль © (2004-08-14 19:38) [7]

> А как бы весь домен сохранить?

два способа - второй котроллер или admt, но admt будет работать только при нормально функционирующем исходном домене.

> Если я создам новый домен с аналогичным именем клиентские
> машины будут воспринимать его, как другой домен.

Еще раз читай [1]

Что значит система битая? Что конкретно "бито"? Попытайся поднять второй контроллер домена! Если не будет реплицироваться, проверь настройки ДНС.
И вообще, для более менее большой сетки надо держать два контроллера домена.

← →
Anatoly Podgoretsky © (2004-08-14 20:01) [8]

Не мучайся, ставь второй контроллер домена, хотя бы временно

← →
YurikGL © (2004-08-14 21:04) [9]

> Что значит система битая? Что конкретно "бито"?

Вследствие собственной глупости поменял на некоторые системные папки права доступа. Даже после запуска утилитки, которая "все возвращает в исходное состояние" система не может пробится к файлам отвечающим за политику безопасности домена. Короче говоря, когда через меню пуск ее пытаешься запустить система посылает тебя нафиг. В логе создается запись, мол ошибка доступа к такому-то файлу. Я сейчас не на работе, поэтому имя файла не скажу.
Открывал доступ к папке содержащей указанный файл всем - не помогло.
Вот и думаю как нибудь перетащить домен на новую чистую систему.

> Еще раз читай [1]

Пробовал - пока не получается. После экспорта всего домена пытаюсь импортировать - говорит не могу найти толи родителя, толи предка. :(
Вот такие дела.

Сисадмин из меня никакой но больше никого нет.

← →
YurikGL © (2004-08-14 21:06) [10]

Со вторым контроллером не совсем понял. Создам я его, перетащу туда пользователей, а дальше? Основная проблема - что-бы на клиентских машинах те же пользователи остались.

← →
Anatoly Podgoretsky © (2004-08-14 21:11) [11]

Причем тут клиентские машины? Ты же контроллер домена хочешь переустановить.

← →
YurikGL © (2004-08-14 21:19) [12]

> Anatoly Podgoretsky © (14.08.04 21:11) [11]

А клиентская машина при подключении к другому домену нового пользователя не создаст?

Пример:
Было
Домен1.Вася
Создали домен2, перенесли туда пользователя Вася
Теперь, если клиент подключается Домен2.Вася, разве локально не создастся новый пользователь?
Дело в том, что я уже однажды переставлял домен (тогда все рухнуло полностью) и было так.

Было
Домен1.Вася
Домен стерт и клиенты пользуются локальными записями.
Поставили новый домен с именем Домен1, завели пользователя Вася.
На локальной машине что-бы подключиться к новому "Домен1" входим сначала в рабочую группу, потом обратно в Домен1 уже новый. При последнем шаге XP создает на клиенте нового "пустого" пользователя. Это не есть хорошо.

← →
YurikGL © (2004-08-14 21:25) [13]

Или XP идентефицирует пользователя не по домену, а по идентефикатору, который в случае создания второго домена тоже перенесется?

← →
Anatoly Podgoretsky © (2004-08-14 21:28) [14]

YurikGL © (14.08.04 21:19) [12]
Новый домен не нужен, ты видимо не понимаешь как работает Микрософтовская сеть
По терминологии МС сервером назвается следующая конструкция из минимум трех машин - первичный контролер, вторичный контролер, сообственно сам сервер (один или несколько). Вторичный и первивичный контролеры держат пользователей одинаковы и равноправны, их роли могут меняться в любой момент вручную или автоматически при выходе из строя первичного контролера. Сервера же хрянят данные, базы, сервера приложений и так далее, то есть выполняют реальную работу, но не занимаются пользователями и другими ресурсами.
Отсутствие одной из этих состовляющих не позволяет считать сервер полноценным и приводит к проблемам.

← →
YurikGL © (2004-08-14 21:44) [15]

> Anatoly Podgoretsky © (14.08.04 21:28) [14]

Короче - буду пробовать.
Что называется сервером в технологии МС - не знал, честно говоря разницу между первичным и вторичным контроллером не понял.
Стоит у нас одна большая машина - она и DNS-сервер на ней же и данные хранятся.

← →
Anatoly Podgoretsky © (2004-08-14 21:50) [16]

YurikGL © (14.08.04 21:44) [15]
Рабочий и дублирующий, при выходе из строя рабочего, рабочим становится дублирующий, все изменения между контроллерами синхронизируются.

← →
YurikGL © (2004-08-14 22:00) [17]

> Anatoly Podgoretsky © (14.08.04 21:50) [16]

Видимо дублирующего в моем случае нет, если у меня лишь одна машина, я правильно понял? Или дублирующий создается автоматически на програмном уровне?

← →
Anatoly Podgoretsky © (2004-08-14 22:02) [18]

YurikGL © (14.08.04 22:00) [17]
Тебе надо просто выделить дополнительный компьюетер под это дело, хотя бы на время.

← →
YurikGL © (2004-08-14 22:07) [19]

> Тебе надо просто выделить дополнительный компьюетер под
> это дело, хотя бы на время.

На нем поставить DNS-сервер, перетащить туда пользователей, сам сервак переставить и пользователей перетащить обратно?

Кстати, спрошу еще раз, пользователь, когда клиентская машина стучится в сервер домена, идентефицируется по его уникальному номеру если да то перенесется ли этот номер в предложенном случае?

← →
Anatoly Podgoretsky © (2004-08-14 22:12) [20]

YurikGL © (14.08.04 22:07) [19]
Пользователей перетаскивать не надо!
ДНС может быть на любом сервере, но если у тебя DNS а AD то его тоже можно реплицировать.
Тебе надо что то почитать по устройство доменов и AD

← →
YurikGL © (2004-08-14 22:16) [21]

> Тебе надо что то почитать по устройство доменов и AD

Пробовал - не помогает :( Все руками привык щупать.

← →
Anatoly Podgoretsky © (2004-08-14 22:22) [22]

Метод научного втыка для такой сложной вещи это очень долго.

← →
Рамиль © (2004-08-14 22:32) [23]

> YurikGL © (14.08.04 22:00) [17]

попробуй поставить дополнительный контроллер. При установке AD выбираешь дополнительный контроллер в уже существующем домене (не дочерний и не в лесу!) Если встанет, то переносишь все пять ролей на новый контроллер и сносишь старый dcpromo.exe. Если не получится перенести роли, то отключаешь старый от сети и захватываешь, только потом ни в коем случае не включай его обратно в сеть.

← →
YurikGL © (2004-08-15 08:23) [24]

> Рамиль © (14.08.04 22:32) [23]

Спасибо - буду пробовать.

> Метод научного втыка для такой сложной вещи это очень долго.

Чем еще в выходные заниматься? :)

← →
YurikGL © (2004-08-15 14:03) [25]

>то переносишь все пять ролей на новый контроллер
Как это делается?

← →
Рамиль © (2004-08-15 14:17) [26]

ntdsutil + справка windows.

← →
YurikGL © (2004-08-15 14:26) [27]

> Рамиль © (15.08.04 14:17) [26]

Спасибо

← →
YurikGL © (2004-08-15 14:43) [28]

Рамиль © (15.08.04 14:17) [26]
А с помощью ADSI Edit это можно сделать?

← →
Рамиль © (2004-08-15 15:32) [29]

> А с помощью ADSI Edit это можно сделать?

Откуда ты до этой консоли успел добраться?:) Это... Может не стоит туда лезть?

← →
YurikGL © (2004-08-15 15:35) [30]

Рамиль © (15.08.04 15:32) [29]
Яндекс рулит :)

Кстати, эта консоль мне сказала
Snap in faild to initialize
name: - not avalible -
CLSID: {тра-та-та}

← →
Рамиль © (2004-08-15 15:48) [31]

Хм... Ну ты постарался.

А ты второй контроллер то поднял?
Если не нравится ntdsutil, то для передачи ролей можно использовать остнастки
Active Directory - схема (роль Schema Master)
Active Directory - домены и доверие (роль Domain Naming Master)
Active Directory - пользователи компьютеры (роли RID Master, PDC Master, Infrastructure Master)

← →
YurikGL © (2004-08-15 16:00) [32]

> Рамиль © (15.08.04 15:48) [31]

> А ты второй контроллер то поднял?

Вот пытаюсь...

Второй контроллер при попытке установить AD в режиме, что он является вторым контроллером говорит, что нет прав на изменение параметров второго сервера.

Короче, видимо админ домена прописанный на первом сервере не является локальным админом на втором. Пока пробую.

← →
YurikGL © (2004-08-15 16:52) [33]

Доперло
После YurikGL © (14.08.04 21:04) [9] админ, под которым я вхожу не может просоединить второй контроллер домена. :( Буду дальше экспериментировать...

← →
YurikGL © (2004-08-15 16:54) [34]

Рамиль ©
Если не трудно, черкни мне, какие права "по умолчанию" имеет админитратор сервера.
Administrator
DNS Administrator
Enterprise Administrator
...

И чем отличаются DNS Administrator от DNS Admin? А то у меня и та и та группы есть

← →
Рамиль © (2004-08-15 17:01) [35]

На втором сервере пользователь должен входить в группу Администраторы и все. На контроллере домена не существует локальных групп. Подключи сначала второй комп к домену лучше, а потом поднимай AD под правами локального администратора сервера, при установке спросит домен, администратора домена и пароль.

← →
YurikGL © (2004-08-15 17:26) [36]

> Рамиль © (15.08.04 17:01) [35]

Все так и делал. Когда он просит домен администратора домена и пароль, после этого пишет, что-то вроде не могу изменить состояние компьютера $server2. Говорю ж, что после [9] там у самой системы проблемы с доступом к некоторым файлам.

Я уже ушел с работы, - буду экспериментировать завтра.
Планирую создать новый домен - перетащить туда юзеров, потом на старом сервере на новой системе создать домен со старым именем, перетащить юзеров туда и каждую локальную машину переподключить.

← →
YurikGL © (2004-08-22 21:27) [37]

Кое-что получилось.

Например я смог перетащить пользователей одного домена в домен из другого леса с помощью утилиты ADMT. Для этого мне было необходимо установить доверительные отношения между доменами из разного леса. Но при этом возникла следующая проблема:
Создаю новый домен в новом лесу. Пытаюсь со старого сервера достучаться до первого домена. Он его не видит. Т.е. видит машину, пингует ее... Но не видит домен. Увидел только часа через два. Вопроc: как можно убыстрить этот процесс?

← →
YurikGL © (2004-08-23 08:39) [38]

Люди... Ау..............

← →
Рамиль © (2004-08-23 08:53) [39]

ДНС, процентов 90%.
Зачем тебе второй домен, раз перетащил уже?

← →
YurikGL © (2004-08-23 09:06) [40]

>ДНС, процентов 90%.
Можно поподробнее... Если просто на серваках в днс выставить ip-ки друг друга - не катит. Говорит домен не существует или не может быть contacted.

>Зачем тебе второй домен, раз перетащил уже?

Дык я ж перетащил на сервер на базе клиентской машины. Теперь надо обратно на чистую систему на на базе сервера.
З.Ы. каламбур, но вроде понятно.

← →
Рамиль © (2004-08-23 09:08) [41]

> Дык я ж перетащил на сервер на базе клиентской машины. Теперь
> надо обратно на чистую систему на на базе сервера.

А теперь внимательно читай [1]

← →
YurikGL © (2004-08-23 09:15) [42]

> Рамиль © (23.08.04 09:08) [41]

Это конечно вариант, но все таки интересно, как принудительно просканировать сеть в целях поиска существующих доменов?

Хотя вариант это не очень т.к. хотелось бы сохранить старое изначальное название домена, а новый временный домен, который я создал, называется по другому. Тогда как переименовать домен?

← →
Рамиль © (2004-08-23 09:18) [43]

Хм... в AD на базе 2000, насколько я знаю, переименовать нельзя... ну тогда тащи ADMT. Попробуй дополнительную зону DNS создать, скопировав с другого домена. Доверие не забыл установить?

← →
YurikGL © (2004-08-23 09:28) [44]

> Рамиль © (23.08.04 09:18) [43]

> Попробуй дополнительную зону DNS создать, скопировав с другого
> домена.

Вот это поподробнее...

> Доверие не забыл установить?

Именно через доверие в первый раз и удалось скачать. Т.е. я два часа, стучался по доверию, через connect to domain, connect to domain controller, пинговал все это с обоих серверов. Поначалу серваки говорили domain not exist or coudln"t be contacted потом logon faild, потом что-то про то, что в базе данных одного сервера не содержится информации о другом но в итоге часа через два мне удалось подтвердить доверие и после этого ADMT сделал все что надо. Теперь при обратном процессе не хочется опять два часа долбиться.

← →
Рамиль © (2004-08-23 09:35) [45]

Так ты не долбись, просто подожди пару часов.

← →
YurikGL © (2004-08-23 09:41) [46]

> Рамиль © (23.08.04 09:35) [45]

А поможет? Сервер, что сам сканирует потихоньку сеть в поисках других доменов? Неужели нельзя убыстрить процесс?

Сисадминов что-ли больше нет?

Ждать 2 часа? Может уменьшить время репликации до 10 мин?

Утилиту в win2000 backup попробуй
Но точно не помню

← →
AxelBlack (2004-08-23 19:56) [52]

>YurikGL © (14.08.04 14:38)

Все Ваши усилия по переброске пользователей с лихвой окупятся простой инсталляцией нового домена "from scratch" и созданием вручную всех эккаунтов пользователей, даже если их (пользователей) две-три сотни.

При нехватки знаний, возможно и времени, можно задать себе вопрос : "Стоит ли?"

Рекомендую купить книгу по администрации W2000/2003 серверов и прочитать ее

Удачи.
Axel

> Все Ваши усилия по переброске пользователей с лихвой окупятся
> простой инсталляцией нового домена "from scratch" и созданием
> вручную всех эккаунтов пользователей, даже если их (пользователей)
> две-три сотни.

Да? А добавь еще сюда штук сто компов, ACL (их вообще не восстановишь, придется права занаво всюду выставлять). А если еще шифрованные папки были...
О дочерних доменах я вообще молчу.

(Или from scratch означает что то другое?:))

← →
Cincinnut (2004-08-23 20:48) [54]

Такс... Эту проблему я победил. Правда локальные настройки все равно пришлось на каждом компе ручками перебрасывать, но одна бессонная ночь и никто ничего не заметил. Потерялись только пароли к почтовым ящикам в оутглюке.

Но появилась такая трабла. Клиенты, где стоят XP работают безукоризненно, но 98 и ME не хотят логиниться к домену если их аккаунты с русским именем. :( Раньше такого не было. Как победить?

ну зачем русские аккаунты? :( русских никогда не создавал, соот. таких проблем никогда не было.

Блин... Там еще и с русскими папками проблема. Т.е. експолорер нормально отображает, а, например, IBExpert не может засоединиться к базе в папке с русским именем, рар в папке с русским именем архив открыть не может...

← →
Cincinnut (2004-08-24 15:10) [59]

с кириллическими папками проблема может быть, есть такое ( если больше определенной длины имя шары, как помню)
а вот русские логины... хм

Cincinnut (24.08.04 15:10) [59]

Ксли создаю новую папку с русским именем - все нормально, а из старых папок с русскими именами даже винрар читать отказывается.

Похоже w2000AS никто не ставил...

похоже русские логины и имена папок с бд никто не делал...

> Рамиль © (24.08.04 16:35) [62]

А Раровские архивы из русских папок тоже никто с сервера не открывал?

Кстати, кроме проблем с совместимостью - не понимаю чем людям не нравяться русские логины.

← →
Cincinnut (2004-08-24 18:32) [64]

> [63] YurikGL © (24.08.04 17:01)

у меня, к примеру, никаких проблем с логинами на кириллице нет. почему у тебя с этим проблема - фих знает, но есть такая утилита микрософтовская "клиент службы каталогов" для 95\98 если они будут входить в домен - ставить желательно. линком не кину, досталось от прошлых админов :)

> Cincinnut (24.08.04 18:32) [64]

Завтра попробую, но видимо у проблемы русских папок и имен одинаковая причина которую данная софтина вряд ли исправит. Да и проблема с папками для меня поважнее.

Может ночью кто-нибудь еще что-нибудь посоветует.
Мне подсказали, что может быть связано с кодировкой записи на диск, короче, посоветовали посмотореть, стоит ли Уникод, но может кто еще что знает?

Пользователи Active Directory Найти похожие ветки