Проблема:
Поставил Sharepoint 2007 Ent на ферму.
Хоть и добавил портал в IE в трастед сайтс или в интранет и поставил для этой зоны настройку логиниться с текущими логином и паролем.
Но при заходе на портал пароль спрашивает.
По-моему отсюда и проблема с индексацией:
Доступ запрещен. Убедитесь, что учетная запись по умолчанию имеет доступ к этому содержимому или добавьте правило для обхода этого содержимого. (Элемент удален, поскольку он либо не найден, либо обходчику содержимого запрещен доступ к нему.)
Сделал
http://support.microsoft.com/default.aspx/kb/926642
не помогло.
Я так думаю что проблема с поиском из-за того, что пароль спрашивает при открытии страницы.
--------
Решение:
У меня портал работает на 443 порту, и в настройках портала в IIS в безопасности управлении доступом нужно поставить птицу Встроенная проверка подлинности Windows.
Т.е. Настройка ISS -> Веб-узлы -> Правой кнопкой по нужно веб-узлу -> свойства -> Безопасность каталога -> Управление доступом и проверка подлинности.
пятница, 4 декабря 2009 г.
вторник, 20 октября 2009 г.
Захват ролей FSMO средства Ntdsutil.exe
Просмотр ролей: http://support.microsoft.com/kb/234790/ru
Захват ролей
http://support.microsoft.com/?scid=kb%3Bru%3B255504&x=12&y=9
Получение ролей FSMO
можно воспользоваться командой
netdom query FSMO
или
Для получения ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить получение ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для получения роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для получения роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
3. Введите строку roles и нажмите клавишу ВВОД.
4. Введите строку connections и нажмите клавишу ВВОД.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
7. Введите команду seize роль, где роль — роль, которую требуется получить.
Чтобы определить роли, которые могут быть получены, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД.
Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является получение роли эмулятора PDC — для получения данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.
Примечания
* В обычной ситуации все пять ролей должны быть назначены действующим контроллерам домена в лесу. Если контроллер домена, которому назначены роли FSMO, отключается до передачи ролей, необходимо выполнить получение этих ролей и назначить их работающим контроллерам домена. Корпорация Майкрософт рекомендует выполнять получение ролей только в тех случаях, когда исходный обладатель ролей больше не будет работать в домене. Если возможно, восстановите работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Выберите контроллер домена для каждой роли таким образом, чтобы все роли оказались на одном сервере. Для получения дополнительных сведений о размещении ролей FSMO щелкните следующий номер статьи базы знаний Майкрософт:
223346 (http://support.microsoft.com/kb/223346/ ) Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
* Если контроллер домена, ранее исполнявший какую-либо роль FSMO, отсутствует в домене, а его роли были получены в соответствии с приведенными в этой статье указаниями, удалите данный контроллер из Active Directory. Для этого выполните процедуру, описанную в следующей статье базы знаний Майкрософт:
216498 (http://support.microsoft.com/kb/216498/ ) Удаление данных из Active Directory после неудачного понижения роли контроллера домена
* При удалении метаданных контроллера домена с помощью команды ntdsutil /metadata cleanup (версия для Windows 2000 или для Windows Server 2003, сборка 3790) роли FSMO, назначенные работающим контроллерам доменов, не передаются другим контроллерам домена. Версия средства Ntdsutil, входящая в состав Windows Server 2003 с пакетом обновления 1 (SP1), автоматизирует выполнение этой задачи и удаляет дополнительные элементы метаданных контроллера домена.
* Некоторые администраторы предпочитают не восстанавливать состояние системы на контроллерах домена, являющихся обладателями ролей FSMO, если соответствующая роль была передана после архивирования состояния системы.
* Не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае хозяин инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылки на объекты, которые не хранит. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
Чтобы проверить, является ли контроллер домена сервером глобального каталога, выполните следующие действия.
1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory - сайты и службы.
2. Дважды щелкните узел Сайты в левой панели и найдите соответствующий сайт или, если другие сайты отсутствуют, выберите вариант Default-first-site-name.
3. Откройте папку «Серверы» и выделите требуемый контроллер домена.
4. В папке контроллера домена дважды щелкните элемент Параметры NTDS.
5. В меню Действие выберите команду Свойства.
6. Перейдите на вкладку Общие и проверьте, установлен ли флажок Глобальный каталог.
Захват ролей
http://support.microsoft.com/?scid=kb%3Bru%3B255504&x=12&y=9
Получение ролей FSMO
можно воспользоваться командой
netdom query FSMO
или
Для получения ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить получение ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для получения роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для получения роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
3. Введите строку roles и нажмите клавишу ВВОД.
4. Введите строку connections и нажмите клавишу ВВОД.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
7. Введите команду seize роль, где роль — роль, которую требуется получить.
Чтобы определить роли, которые могут быть получены, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД.
Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является получение роли эмулятора PDC — для получения данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.
Примечания
* В обычной ситуации все пять ролей должны быть назначены действующим контроллерам домена в лесу. Если контроллер домена, которому назначены роли FSMO, отключается до передачи ролей, необходимо выполнить получение этих ролей и назначить их работающим контроллерам домена. Корпорация Майкрософт рекомендует выполнять получение ролей только в тех случаях, когда исходный обладатель ролей больше не будет работать в домене. Если возможно, восстановите работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Выберите контроллер домена для каждой роли таким образом, чтобы все роли оказались на одном сервере. Для получения дополнительных сведений о размещении ролей FSMO щелкните следующий номер статьи базы знаний Майкрософт:
223346 (http://support.microsoft.com/kb/223346/ ) Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
* Если контроллер домена, ранее исполнявший какую-либо роль FSMO, отсутствует в домене, а его роли были получены в соответствии с приведенными в этой статье указаниями, удалите данный контроллер из Active Directory. Для этого выполните процедуру, описанную в следующей статье базы знаний Майкрософт:
216498 (http://support.microsoft.com/kb/216498/ ) Удаление данных из Active Directory после неудачного понижения роли контроллера домена
* При удалении метаданных контроллера домена с помощью команды ntdsutil /metadata cleanup (версия для Windows 2000 или для Windows Server 2003, сборка 3790) роли FSMO, назначенные работающим контроллерам доменов, не передаются другим контроллерам домена. Версия средства Ntdsutil, входящая в состав Windows Server 2003 с пакетом обновления 1 (SP1), автоматизирует выполнение этой задачи и удаляет дополнительные элементы метаданных контроллера домена.
* Некоторые администраторы предпочитают не восстанавливать состояние системы на контроллерах домена, являющихся обладателями ролей FSMO, если соответствующая роль была передана после архивирования состояния системы.
* Не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае хозяин инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылки на объекты, которые не хранит. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
Чтобы проверить, является ли контроллер домена сервером глобального каталога, выполните следующие действия.
1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory - сайты и службы.
2. Дважды щелкните узел Сайты в левой панели и найдите соответствующий сайт или, если другие сайты отсутствуют, выберите вариант Default-first-site-name.
3. Откройте папку «Серверы» и выделите требуемый контроллер домена.
4. В папке контроллера домена дважды щелкните элемент Параметры NTDS.
5. В меню Действие выберите команду Свойства.
6. Перейдите на вкладку Общие и проверьте, установлен ли флажок Глобальный каталог.
Ярлыки:
Active Directory,
Windows
Удаление данных из Active Directory после неудачного понижения роли контроллера домена или когда контроллер домена больше недоступен
http://support.microsoft.com/kb/216498
Первый метод: только для Windows Server 2003 с пакетом обновлений 1 (SP1)
1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Error 2094. The DSA Object cannot be deleted0x2094
6. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7. Введите команду select operation target и нажмите клавишу ВВОД.
8. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.
Ошибка 8419 (0x20E3)
Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера.
17. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
18. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.
Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
19. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:
1. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК.
2. Разверните контейнер Domain NC.
3. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.
4. Разверните узел CN=System.
5. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
20. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:
1. Запустите оснастку "Active Directory – сайты и службы".
2. Разверните элемент Узлы.
3. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.
4. Разверните элемент Сервер.
5. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.
Первый метод: только для Windows Server 2003 с пакетом обновлений 1 (SP1)
1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Error 2094. The DSA Object cannot be deleted0x2094
6. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7. Введите команду select operation target и нажмите клавишу ВВОД.
8. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.
Ошибка 8419 (0x20E3)
Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера.
17. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
18. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.
Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
19. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:
1. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК.
2. Разверните контейнер Domain NC.
3. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.
4. Разверните узел CN=System.
5. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
20. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:
1. Запустите оснастку "Active Directory – сайты и службы".
2. Разверните элемент Узлы.
3. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.
4. Разверните элемент Сервер.
5. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.
Ярлыки:
Active Directory,
Windows
среда, 30 сентября 2009 г.
Не работает поиск Sharepoint
Не запускался Обход содержимого - Локальные узлы Office SharePoint Server
+ на самом сервера когда пытался зайти на страницу портала, то он спрашивал логин и пароль и не авторизовался. Хоть на компах юзеров, все нормально проходило.
В журнале поиска Sharepoint:
Доступ запрещен. Убедитесь, что учетная запись по умолчанию имеет доступ к этому содержимому или добавьте правило для обхода этого содержимого. (Элемент удален, поскольку он либо не найден, либо обходчику содержимого запрещен доступ к нему.)
А в журнале Приложение сервера (где установлен SharePoint):
Невозможно выполнить обход содержимого для начального адреса.
Контекст: приложение: SharedServicesOSS2, каталог: Portal_Content
Подробности:
Доступ запрещен. Убедитесь, что учетная запись по умолчанию имеет доступ к этому содержимому или добавьте правило для обхода этого содержимого. (0x80041205)
Решение:
http://support.microsoft.com/default.aspx/kb/926642
Method 1 (recommended):
Create the Local Security Authority host names that can be referenced in an NTLM authentication request
To do this, follow these steps for all the nodes on the client computer:
1. Нажать Пуск, нажать Выполнить, написать regedit, и нажать OK.
2. Открыть: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Правой кнопкой MSV1_0, Создать, и выбрать Multi-String Value.
4. Назвать это параметр BackConnectionHostNames.
5. Правой кнопкой BackConnectionHostNames, Изменить.
6. Тут добавить имена CNAME or the DNS alias сервера где установлен Sharepoint (веб-часть sql сервер не нужно)
Каждое имя на новой строке
Если BackConnectionHostNames существует и REG_DWORD type, то удалите его и создайте как написано выше.
7. Выйти из regedit и перегрузиться.
Method 2: Disable the authentication loopback check
Re-enable the behavior that exists in Windows Server 2003 by setting the DisableLoopbackCheck registry entry in the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subkey to 1. To set the DisableLoopbackCheck registry entry to 1, follow these steps on the client computer:
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Right-click Lsa, point to New, and then click DWORD Value.
4. Type DisableLoopbackCheck, and then press ENTER.
5. Right-click DisableLoopbackCheck, and then click Modify.
6. In the Value data box, type 1, and then click OK.
7. Exit Registry Editor.
8. Restart the computer.
Note You must restart the server for this change to take effect. By default, loopback check functionality is turned on in Windows Server 2003 SP1, and the DisableLoopbackCheck registry entry is set to 0 (zero). The security is reduced when you disable the authentication loopback check, and you open the Windows Server 2003 server for man-in-the-middle (MITM) attacks on NTLM.
+ на самом сервера когда пытался зайти на страницу портала, то он спрашивал логин и пароль и не авторизовался. Хоть на компах юзеров, все нормально проходило.
В журнале поиска Sharepoint:
Доступ запрещен. Убедитесь, что учетная запись по умолчанию имеет доступ к этому содержимому или добавьте правило для обхода этого содержимого. (Элемент удален, поскольку он либо не найден, либо обходчику содержимого запрещен доступ к нему.)
А в журнале Приложение сервера (где установлен SharePoint):
Невозможно выполнить обход содержимого для начального адреса
Контекст: приложение: SharedServicesOSS2, каталог: Portal_Content
Подробности:
Доступ запрещен. Убедитесь, что учетная запись по умолчанию имеет доступ к этому содержимому или добавьте правило для обхода этого содержимого. (0x80041205)
Решение:
http://support.microsoft.com/default.aspx/kb/926642
Method 1 (recommended):
Create the Local Security Authority host names that can be referenced in an NTLM authentication request
To do this, follow these steps for all the nodes on the client computer:
1. Нажать Пуск, нажать Выполнить, написать regedit, и нажать OK.
2. Открыть: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Правой кнопкой MSV1_0, Создать, и выбрать Multi-String Value.
4. Назвать это параметр BackConnectionHostNames.
5. Правой кнопкой BackConnectionHostNames, Изменить.
6. Тут добавить имена CNAME or the DNS alias сервера где установлен Sharepoint (веб-часть sql сервер не нужно)
Каждое имя на новой строке
Если BackConnectionHostNames существует и REG_DWORD type, то удалите его и создайте как написано выше.
7. Выйти из regedit и перегрузиться.
Method 2: Disable the authentication loopback check
Re-enable the behavior that exists in Windows Server 2003 by setting the DisableLoopbackCheck registry entry in the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa registry subkey to 1. To set the DisableLoopbackCheck registry entry to 1, follow these steps on the client computer:
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Right-click Lsa, point to New, and then click DWORD Value.
4. Type DisableLoopbackCheck, and then press ENTER.
5. Right-click DisableLoopbackCheck, and then click Modify.
6. In the Value data box, type 1, and then click OK.
7. Exit Registry Editor.
8. Restart the computer.
Note You must restart the server for this change to take effect. By default, loopback check functionality is turned on in Windows Server 2003 SP1, and the DisableLoopbackCheck registry entry is set to 0 (zero). The security is reduced when you disable the authentication loopback check, and you open the Windows Server 2003 server for man-in-the-middle (MITM) attacks on NTLM.
вторник, 4 августа 2009 г.
Переименование виртуальной машины на ESX
Задача: нужно переименовать папку , где хранятся файлы виртуальной машины, а также эти файлы.
1. Делаем виртуальной машине «Remove from Inventory» из VI Client - убираем ее из окружения ESX / ESXi.
2. Переименовываем папку с виртуальной машиной через Datastore Browser.
3. Открываем сервисную консоль сервера ESX и в ней с помощью редактора nano или vi меняем vmx файл виртуальной машины:
#nano <путь к vmx>/one.vmx
Меняем строчку в этом файле с именем vmdk с one на two: scsi0:0.fileName = "two.vmdk"
4. Переименовываем one.vmx в two.vmx (можно в инфрастктуре открыть datastore и там переименовать этот файл.
5. Используем команду vmkfstools для смены имени vmdk и vmdk-flat:
/usr/sbin/vmkfstools -E one.vmdk two.vmdk
6. Добавляем виртуальную машину в Inventory через тот же Datastore Browser.
7. Запускаем виртуальную машину.
8. Удаляем все лишнее (vmsd, nvram и vmxf) со старыми именами из папки виртуальной машины.
1. Делаем виртуальной машине «Remove from Inventory» из VI Client - убираем ее из окружения ESX / ESXi.
2. Переименовываем папку с виртуальной машиной через Datastore Browser.
3. Открываем сервисную консоль сервера ESX и в ней с помощью редактора nano или vi меняем vmx файл виртуальной машины:
#nano <путь к vmx>/one.vmx
Меняем строчку в этом файле с именем vmdk с one на two: scsi0:0.fileName = "two.vmdk"
4. Переименовываем one.vmx в two.vmx (можно в инфрастктуре открыть datastore и там переименовать этот файл.
5. Используем команду vmkfstools для смены имени vmdk и vmdk-flat:
/usr/sbin/vmkfstools -E one.vmdk two.vmdk
6. Добавляем виртуальную машину в Inventory через тот же Datastore Browser.
7. Запускаем виртуальную машину.
8. Удаляем все лишнее (vmsd, nvram и vmxf) со старыми именами из папки виртуальной машины.
суббота, 4 июля 2009 г.
mDaemon связка с Active Directory
Сервер win2k3 ee R2 x86
mDaemon 10.1.0 Rus
в локальной сети
Нужно, чтоб юзеров mDaemon брал из AD (win2k3, режим windows 2003)
1. В mDaemon идем Учетные записи -> Настройки учетной записи
вкладка Active Directory -> Мониторинг
Ставим птицу Произвести мониторинг Active Directory на предмет изменений в учетной записи пользователя.
При включенной этой опции, сервер будет периодически запрашивать изменения у службы каталогов и автоматически создавать учетные записи. При этом все данные (имя пользователя, название ящика) берутся из Active Directory.
2. Ставим птицу использовать доменные имена Active Directory при создании учетных записей.
Если она установлена, то если у учетной записи домен не совпадает с первичным доменом установленным в mDaemon, то этот домен автоматически создастся Дополнительный домен.
3. Домен Windows для динамической регистрации.
-----------
Учетные записи, созданные с помощью функции Active Directory, будут
настроены по умолчанию на использование динамической авторизации. При
использовании динамической авторизации MDaemon не требуется хранить
пароль учетной записи в собственной базе данных пользователей. Вместо этого
владелец учетной записи использует свои регистрационные данные для
Windows (имя пользователя и пароль) и MDaemon передает их Windows для
проведения авторизации соответствующей учетной записи.
Чтобы использовать динамическую авторизацию в Active Directory, необходимо
указать имя домена Windows в поле Мониторинг . Это должен быть домен
Windows, к которому будет обращаться MDaemon для авторизации учетных
записей. В большинстве случаев MDaemon автоматически определяет этот
домен Windows и заполняет поле сам. Тем не менее, вы можете использовать
любой другой домен по вашему выбору или макрос « NT_ANY», если вы хотите
разрешить авторизацию всех доменов, а не ограничиваться только одним. Если
вы оставите это поле пустым, MDaemon не будет использовать динамическую
авторизацию при создании новых учетных записей. Вместо этого будет
создаваться случайный пароль, который вам необходимо будет
отредактировать вручную прежде, чем пользователи смогут получить доступ к
своим почтовым ящикам.
-----------
4. Выбираем нужный нам пункт, что делать когда учетная запись удаляется из Active Directory
5. Идем на вкладку Active Directory -> Опции
DN элемента базы
Оставляем LDAP://rootDSE
Если нужно более тонкая настройка читаем хелп.
7. Поисковый фильтр пока оставляем по-умолчанию
(&(objectClass=user)(objectCategory=person))
8. Присвоить DN
Вводим имя учетной записи из Active Directory, которая умеет права на чтения данных из Active Directory + она должна быть администратором на сервере где установлен mDaemon, чтоб могла создавать учетный записи на почтовом сервере.
9. Нажимаем тест.
Когда mDaemon добавляет или изменяет записи, то он использует шаблон Active Directory /app/ActiveDS.dat, чтобы связать определенные атрибуты AD с полями учетной записи mDaemon. например, он по умолчанию связывает атрибут cn с полем FullName. НЕо этом файле это можно поменять, я сменил на FullName=%displayName% (т.е. на Выводимое имя).
mDaemon 10.1.0 Rus
в локальной сети
Нужно, чтоб юзеров mDaemon брал из AD (win2k3, режим windows 2003)
1. В mDaemon идем Учетные записи -> Настройки учетной записи
вкладка Active Directory -> Мониторинг
Ставим птицу Произвести мониторинг Active Directory на предмет изменений в учетной записи пользователя.
При включенной этой опции, сервер будет периодически запрашивать изменения у службы каталогов и автоматически создавать учетные записи. При этом все данные (имя пользователя, название ящика) берутся из Active Directory.
2. Ставим птицу использовать доменные имена Active Directory при создании учетных записей.
Если она установлена, то если у учетной записи домен не совпадает с первичным доменом установленным в mDaemon, то этот домен автоматически создастся Дополнительный домен.
3. Домен Windows для динамической регистрации.
-----------
Учетные записи, созданные с помощью функции Active Directory, будут
настроены по умолчанию на использование динамической авторизации. При
использовании динамической авторизации MDaemon не требуется хранить
пароль учетной записи в собственной базе данных пользователей. Вместо этого
владелец учетной записи использует свои регистрационные данные для
Windows (имя пользователя и пароль) и MDaemon передает их Windows для
проведения авторизации соответствующей учетной записи.
Чтобы использовать динамическую авторизацию в Active Directory, необходимо
указать имя домена Windows в поле Мониторинг . Это должен быть домен
Windows, к которому будет обращаться MDaemon для авторизации учетных
записей. В большинстве случаев MDaemon автоматически определяет этот
домен Windows и заполняет поле сам. Тем не менее, вы можете использовать
любой другой домен по вашему выбору или макрос « NT_ANY», если вы хотите
разрешить авторизацию всех доменов, а не ограничиваться только одним. Если
вы оставите это поле пустым, MDaemon не будет использовать динамическую
авторизацию при создании новых учетных записей. Вместо этого будет
создаваться случайный пароль, который вам необходимо будет
отредактировать вручную прежде, чем пользователи смогут получить доступ к
своим почтовым ящикам.
-----------
4. Выбираем нужный нам пункт, что делать когда учетная запись удаляется из Active Directory
5. Идем на вкладку Active Directory -> Опции
DN элемента базы
Оставляем LDAP://rootDSE
Если нужно более тонкая настройка читаем хелп.
7. Поисковый фильтр пока оставляем по-умолчанию
(&(objectClass=user)(objectCategory=person))
8. Присвоить DN
Вводим имя учетной записи из Active Directory, которая умеет права на чтения данных из Active Directory + она должна быть администратором на сервере где установлен mDaemon, чтоб могла создавать учетный записи на почтовом сервере.
9. Нажимаем тест.
Когда mDaemon добавляет или изменяет записи, то он использует шаблон Active Directory /app/ActiveDS.dat, чтобы связать определенные атрибуты AD с полями учетной записи mDaemon. например, он по умолчанию связывает атрибут cn с полем FullName. НЕо этом файле это можно поменять, я сменил на FullName=%displayName% (т.е. на Выводимое имя).
пятница, 26 июня 2009 г.
Firefox и NTLM
Firefox 3 – отсутствие SSO (single sign on) для корпоративных Intranet сайтов.
http://support.mozilla.com/ru/kb/Firefox+asks+for+user+name+and+password+on+internal+sites
Краткий перевод:
1. В строке адреса набираем: about:config, жмем Enter.
* Жмем: “Обещаю, я буду осторожен”
2. Ищем параметр network.automatic-ntlm-auth.trusted-uris и дважды щелкаем по нему
3. Вводим через запятую список адресов, на которые нужно разрешить NTLM.
4. Жмем OK.
http://support.mozilla.com/ru/kb/Firefox+asks+for+user+name+and+password+on+internal+sites
Краткий перевод:
1. В строке адреса набираем: about:config, жмем Enter.
* Жмем: “Обещаю, я буду осторожен”
2. Ищем параметр network.automatic-ntlm-auth.trusted-uris и дважды щелкаем по нему
3. Вводим через запятую список адресов, на которые нужно разрешить NTLM.
4. Жмем OK.
вторник, 19 мая 2009 г.
Настройка службы времени Windows на использование внешнего источника времени
Проверка текущего времени
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
Настраиваем:
netdom query fsmo
Кто PDC и там и настраиваем.
w32tm /config /manualpeerlist:"ntp.ix.ru time.coi.pw.edu.pl ntp.probe-networks.de ntp.neel.ch" /syncfromflags:manual /reliable:yes /update
списки серверов времени в статье ниже, также можете указать сервер времени своего провайдера, если есть.
w32tm /config /update
net stop w32time && net start w32time
w32tm /monitor /domain:domain.com
Синхронизировать
w32tm /resync
ИЛИ настраиваем так:
http://support.microsoft.com/kb/816042/ru
Чтобы настроить внутренний сервер службы времени на синхронизацию с внешним источником времени, выполните следующие действия.
1. Измените тип сервера на NTP. Для этого выполните следующие действия.
1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
2. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
3. На правой панели щелкните правой кнопкой мыши параметр Type и выберите команду Изменить.
4. В появившемся окне Изменение строкового параметра в поле Значение введите NTP и нажмите кнопку ОК.
2. Присвойте параметру AnnounceFlags значение 4. Для этого выполните следующие действия.
1. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
2. На правой панели щелкните правой кнопкой мыши параметр AnnounceFlags и выберите команду Изменить.
3. В появившемся окне Изменение параметра DWORD в поле Значение введите 4 и нажмите кнопку ОК.
3. Включите сервер NTP. Для этого выполните следующие действия.
1. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
2. На правой панели щелкните правой кнопкой мыши параметр Enabled и выберите команду Изменить.
3. В появившемся окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку ОК.
4. Укажите источники времени. Для этого выполните следующие действия.
1. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
2. На правой панели щелкните правой кнопкой мыши параметр NtpServer и выберите команду Изменить.
3. В появившемся окне Изменение строкового параметра в поле Значение введите Peers и нажмите кнопку ОК.
Примечание Peers представляет собой перечень узлов, предоставляющих данные о текущем времени. Для разделения имен узлов в списке используются пробелы. Все имена DNS в данном списке должны быть уникальными. В конце каждого имени DNS необходимо добавлять символы ,0x1. Если данные символы не были добавлены, то изменения, вносимые на шаге 5, не вступят в силу.
5. Задайте интервал опроса. Для этого выполните следующие действия.
1. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
2. На правой панели щелкните правой кнопкой мыши параметр SpecialPollInterval и выберите команду Изменить.
3. В появившемся окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку ОК.
Примечание TimeInSeconds – это интервал времени (в секундах) между двумя опросами. Рекомендуется установить его равным 900. В этом случае опрос будет выполняться каждые 15 минут.
6. Задайте параметры, определяющие максимальную величину коррекции времени. Для этого выполните следующие действия.
1. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
2. На правой панели щелкните правой кнопкой мыши параметр MaxPosPhaseCorrection и выберите команду Изменить.
3. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
4. В появившемся окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку ОК.
Примечание. TimeInSeconds может иметь любое значение в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
5. Найдите и выделите следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
6. На правой панели щелкните правой кнопкой мыши параметр MaxNegPhaseCorrection и выберите команду Изменить.
7. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
8. В появившемся окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку ОК.
Примечание. TimeInSeconds может иметь любое значение в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
7. Закройте редактор реестра.
8. Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time
Ссылка:
http://elims.org.ua/blog/nastraivaem-ntp/
http://kvazar.wordpress.com/2010/01/12/ntp/
http://sys-admin.kz/systadm/57-sysadm/94-settings-ntp-server.html
http://technet.microsoft.com/en-us/library/cc773263%28v=ws.10%29.aspx#w2k3tr_times_tools_dyax
http://support.microsoft.com/kb/816042/ru
http://www.netmate.ru/blogs/moskalev/5.php
- Список серверов времени первой ступени приведен на следующем веб-сайте:
- Список серверов времени второй ступени приведен на следующем веб-сайте:
- Список серверов времени института NIST приведен на следующем веб-сайте:
- Список серверов пула NTP приведен на следующих веб-сайтах:
Ярлыки:
Сервер времени,
Active Directory,
Windows
четверг, 14 мая 2009 г.
Перенос контролера домена AD
Есть два контроллера домена.
Один нужно вывести а на его место поставить новый.
http://support.microsoft.com/kb/324801/ru
Роли FSMO
В каждом лесу имеется как минимум пять ролей FSMO, назначенных одному или нескольким контроллерам домена. Это следующие роли.
* Хозяин схемы. Контроллер домена, являющийся хозяином схемы, управляет всеми обновлениями и изменениями схемы. Обновление схемы леса невозможно без доступа к хозяину схемы. В лесу может быть только один хозяин схемы.
* Хозяин именования доменов. Контроллер домена, исполняющий роль хозяина именования, управляет добавлением и удалением доменов из леса. В лесу может быть только один хозяин именования доменов.
* Хозяин инфраструктуры. Хозяин инфраструктуры отвечает за обновление ссылок объектов домена на объекты других доменов. Одновременно в домене может существовать только один хозяин инфраструктуры.
* Хозяин относительных идентификаторов (RID). Хозяин RID отвечает за обработку запросов на относительные идентификаторы от всех контроллеров в данном домене. Одновременно в домене может существовать только один хозяин RID.
* Эмулятор основного контроллера домена (PDC). Эмулятор PDC — это контроллер, объявляющий себя основным контроллером домена по отношению к рабочим станциям, серверам и контроллерам домена под управлением Windows более ранних версий. Например, если не все компьютеры в домене находятся под управлением Windows XP Professional и Windows 2000 или в нем имеются резервные контроллеры домена под управлением Windows NT, эмулятор PDC принимает роль основного контроллера домена Windows NT. Кроме того, он становится основным обозревателем домена и обрабатывает расхождения паролей. Одновременно в каждом домене леса может существовать только один эмулятор PDC.
Передача ролей FSMO выполняется с помощью программы Ntdsutil.exe (запускается из командной строки) или оснасток консоли MMC. В зависимости от передаваемой роли используются:
оснастка «Схема Active Directory»;
оснастка «Active Directory — домены и доверие»;
оснастка «Active Directory — пользователи и компьютеры».
Если компьютер больше не существует, роль необходимо присвоить с помощью программы Ntdsutil.exe.
Передача роли хозяина схемы
Для передачи роли хозяина схемы используется оснастка «Схема Active Directory». Перед ее запуском необходимо зарегистрировать файл Schmmgmt.dll.
Регистрация файла Schmmgmt.dll
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите в поле Открыть команду regsvr32 schmmgmt.dll и нажмите кнопку OK.
3. Получив сообщение об успешном завершении операции, нажмите кнопку ОК.
Передача роли хозяина схемы
1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду mmc и нажмите кнопку ОК.
2. В меню Файл выберите команду Добавить или удалить оснастку.
3. Нажмите кнопку Добавить.
4. Выберите в списке оснастку Схема Active Directory, нажмите кнопку Добавить, а затем — Закрыть и ОК.
5. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Изменение контроллера домена.
6. В поле Укажите имя введите имя контроллера домена, которому передается роль, и нажмите кнопку ОК.
7. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Хозяин операций.
8. Нажмите кнопку Изменить.
9. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача роли хозяина именования доменов
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Active Directory — домены и доверие.
2. Щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите пункт Хозяин операций.
5. Нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача ролей хозяина RID, эмулятора основного контроллера домена и хозяина инфраструктуры
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
План такой:
Сделать новый сервер контроллером домена
Понизить старый сервер (удалить его из контроллеров домена).
Просматриваем какие роли у старого контроллера домена:
Загружаем остнастку Схема Active Directory
если ее нет в администрировании, то добавляем ее через mmc
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина схемы.
Загружаем Active Directory — домены и доверие
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина именования доменов.
Загружаем Active Directory — пользователи и компьютеры
И там правой кнопкой смотрим хозяев операций это и есть роли RID, PDC или Инфраструктура.
У меня у него только роль Хозяин инфраструктуры.
И нужно узнать где глобальный каталог
http://support.microsoft.com/kb/223346/ru
Размещение и оптимизация FSMO на контроллерах домена Active Directory
Контроллеры доменов Active Directory поддерживают обновления с несколькими хозяевами для репликации объектов (например учетных записей пользователей и компьютеров) в Active Directory. При наличии нескольких хозяев объекты и их свойства могут находиться на любом контроллере домена и становиться "заслуживающими доверия" с помощью репликации.
В этой статье рассмотрено размещение ролей FSMO (Flexible Single-Master Operation) Active Directory в домене и лесу.
Некоторые операции уровня домена или предприятия, для которых не подходит размещение с несколькими хозяевами, располагаются на одном контроллере домена в домене или лесу. Использование операций с единственным хозяином предотвращает возникновение конфликтных ситуаций в случаях, когда хозяин операции отключен. С другой стороны, владелец роли FSMO должен быть доступен, когда на уровне предприятия или домена выполняются зависящие от него действия. В противном случае необходимо вносить связанные с этой ролью изменения в каталог.
В мастере установки Active Directory (Dcpromo.exe) определены пять ролей FSMO: хозяин схемы, хозяин именования доменов, хозяин RID, эмулятор PDC и хозяин инфраструктуры. Роли хозяина схемы и хозяина именования доменов определяются для всего леса, а остальные три (хозяин RID, эмулятор PDC и хозяин инфраструктуры) — для каждого домена.
Лес, в котором существует один домен, имеет пять ролей. Каждый дополнительный домен добавляет три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле "(количество доменов * 3) + 2".
Лес с тремя доменами (A.com с дочерним доменом B.A.com и внучатым доменом C.B.A.com) имеет 11 ролей FSMO:
1 хозяин схемы — на уровне леса, A.COM;
1 хозяин именования доменов — на уровне леса, A.COM;
3 эмулятора PDC (A.com, B.A.com и C.B.A.com);
3 хозяина RID (A.com, B.A.com и C.B.A.com);
3 хозяина инфраструктуры для каждого домена (A.com, B.A.com и C.B.A.com).
Когда в лесу создается первый контроллер домена Active Directory, Dcpromo.exe назначает ему все пять ролей. Когда создается первый контроллер домена Active Directory для нового домена в существующем лесу, ему назначаются три роли. В домене, работающем в смешанном режиме, в который входят контроллеры домена под управлением Windows NT 4.0, только контроллеры домена под управлением Windows Server 2003 или Windows 2000 могут владеть ролями FSMO уровня леса или домена.
Перейти к началу страницы
Наличие и размещение ролей FSMO
Dcpromo.exe выполняет первоначальное размещение ролей на контроллерах домена. Это размещение обычно подходит для каталогов, которые содержат небольшое количество контроллеров домена. Для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным.
Для каждого домена необходимо определить основной и резервный контроллеры домена, обладающие ролями FSMO (на случай сбоя основного владельца ролей FSMO). Кроме того, можно выбрать внешних резервных владельцев на случай возникновения серьезных проблем на уровне сайта. При этом необходимо руководствоваться указанными ниже критериями.
* Если в домене только один контроллер домена, то ему будут принадлежать все роли уровня домена.
* В доменах с несколькими контроллерами домена с помощью оснастки "Active Directory — диспетчер сайтов и служб" выберите прямых партнеров репликации, имеющих постоянное и надежное соединение с данным контроллером.
* Для ускорения согласования репликации в большой группе компьютеров резервный сервер может располагаться на одном сайте с основным FSMO-сервером. С другой стороны, на случай возникновения серьезных проблем в основном месте расположения его можно поместить на удаленном сайте.
* Если резервный контроллер домена находится на удаленном сайте, для непрерывной репликации необходимо наличие надежного соединения.
Общие рекомендации по размещению ролей FSMO
* Размещайте роли хозяина RID и эмулятора PDC на одном контроллере домена. Кроме того, роли FSMO легче отслеживать, если они собраны на минимальном количестве компьютеров.
Для снижения нагрузки на основной FSMO-сервер роли хозяина RID и эмулятора основного контроллера домена можно расположить на разных контроллерах одного домена и сайта Active Directory, которые являются прямыми партнерами репликации.
* Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
o Лес с одним доменом
Если лес содержит только один домен Active Directory, то в нем отсутствуют фантомы. Это значит, что хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.
o Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог
Если на каждом контроллере домена, входящего в лес с несколькими доменами, хранится глобальный каталог, фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере данного домена.
* На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.
В режиме работы леса Windows Server 2003 не требуется помещать хозяин именования доменов в глобальный каталог.
С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) убедитесь в том, что доступны все роли FSMO.
Еще нужно посмотреть где глабальный каталог
Откройте консоль Active Directory Sites and Services, раскройте узел Sites->Default-First-Site-Name->имя_сервера->NTDS Settings. Откройте свойства узла NTDS Settings и псмотрите, установлен ли флажок Global Catalog. Проделайте ту же операцию для второго сервера в сайте.
У меня они оба глобальные каталоги.
Теперь делаю новый сервер контроллером домена (добавь роль контроллера домена).
Ругнулось, (как оказалось из-за того, что новый сервер был R2, а старые нет):
Операция не выполнена по следующей причине:
Ошибка проверки правильности схемы.
Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Для получения дополнительных сведений о команде Adprep см. справку Active Directory.
«Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.»
http://support.microsoft.com/kb/278875/ru
Создание контроллера домена Windows Server 2003 в домене или лесу Windows 2000
Ошибки, описанные в разделе «Проблема», могут произойти при попытке повышения уровня изолированного или рядового сервера Windows Server 2003 до контроллера домена в следующей среде Active Directory Windows 2000:
* Дополнительный контроллер домена в существующем домене в лесу Windows 2000.
* Первый контроллер домена в новом домене существующего леса Windows 2000.
Перед включением дополнительного контроллера домена Windows Server 2003 в лес Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы и выполнить команду adprep /domainprep на хозяине инфраструктуры в лесу Windows 2000.
Перед созданием нового домена Windows Server 2003 в существующем лесу Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы. Кроме того, данные изменения должны быть полностью реплицированы на вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory.
В итоге вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory, должен реплицировать все входящие изменения, сделанные командами adprep /forestprep и adprep /domainprep.
Примечание. Вспомогательный контроллер домена представляет собой существующий контроллер домена, находящийся в домене или в лесу. Компьютеры, на которых устанавливается Active Directory, используют вспомогательный контроллер домена для получения доступа к имеющейся информации Active Directory при использовании мастера установки Active Directory для создания новых доменов в существующем лесу или для добавления контроллеров домена к существующему лесу.
adprep.exe находится на установочном диске w2k3
Я взял его со второго диска, откуда и ставил R2
Сделал
adprep /forestprep на хозяине схемы
Сделал
adprep /domainprep на хозяине инфраструктуры
Выдало еще такое
The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory permissions to be updated
for existing Group Policy Objects (GPOs). You can enable this functionality
at any time by running "adprep.exe /domainprep /gpprep" on the DC that holds
the infrastructure operations master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the domain controllers in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.
Сделал еще и
adprep.exe /domainprep /gpprep
Запускаю снова на новом сервере добавление роли Контролера Active Directory
Все прошло нормально.
Перезагрузка (обязательно).
Из журнала сообщений узнаем
------------------
Служба репликации файлов инициализирует системный том с помощью данных с другого контроллера домена. Компьютер SRVDC не может принять роль контроллера домена, пока этот процесс не будет завершен. Этот системный том станет общим ресурсом под именем SYSVOL.
Чтобы проверить наличие общего ресурса SYSVOL, введите:
net share
После завершения процесса инициализации службой репликации файлов должен появиться общий ресурс SYSVOL.
Для инициализации системного тома требуется некоторое время. Оно зависит от объема данных на системном томе, от наличия других контроллеров домена, и от частоты репликаций между контроллерами доменов.
----------------------
Ждем пока появятся шары
в командной строке:
net share
Появилось.
Теперь добавил роль dns-сервера.
Установил
Group Policy Management Console with Service Pack 1
чтобы управлять групповой политикой.
Загружаем Active Directory — пользователи и компьютеры
и передаю роль хозяина инфраструктуры на новый сервер.
Передал. Это быстро.
Active Directory Sites and Services
и убираем со старого сервера Глобальный каталог.
Ставим на новый сервер глобальный каталог.
Смотрим сообщения в журнале Служба каталогов, пока не появиться сообщение
Теперь этот контроллер домена является глобальным каталогом.
Теперь понижаю старый сервер до рядового, т.е. убираю контроллер Active Directory.
С первого раза до конца не понизилась роль, так как выдал ошибку: Таймаут при остановке службы Netlogon. Запустил еще раз, все прошло нормально.
Перезагрузка сменил ip.
Все ок.
Настроим сервер времени:
Один нужно вывести а на его место поставить новый.
http://support.microsoft.com/kb/324801/ru
Роли FSMO
В каждом лесу имеется как минимум пять ролей FSMO, назначенных одному или нескольким контроллерам домена. Это следующие роли.
* Хозяин схемы. Контроллер домена, являющийся хозяином схемы, управляет всеми обновлениями и изменениями схемы. Обновление схемы леса невозможно без доступа к хозяину схемы. В лесу может быть только один хозяин схемы.
* Хозяин именования доменов. Контроллер домена, исполняющий роль хозяина именования, управляет добавлением и удалением доменов из леса. В лесу может быть только один хозяин именования доменов.
* Хозяин инфраструктуры. Хозяин инфраструктуры отвечает за обновление ссылок объектов домена на объекты других доменов. Одновременно в домене может существовать только один хозяин инфраструктуры.
* Хозяин относительных идентификаторов (RID). Хозяин RID отвечает за обработку запросов на относительные идентификаторы от всех контроллеров в данном домене. Одновременно в домене может существовать только один хозяин RID.
* Эмулятор основного контроллера домена (PDC). Эмулятор PDC — это контроллер, объявляющий себя основным контроллером домена по отношению к рабочим станциям, серверам и контроллерам домена под управлением Windows более ранних версий. Например, если не все компьютеры в домене находятся под управлением Windows XP Professional и Windows 2000 или в нем имеются резервные контроллеры домена под управлением Windows NT, эмулятор PDC принимает роль основного контроллера домена Windows NT. Кроме того, он становится основным обозревателем домена и обрабатывает расхождения паролей. Одновременно в каждом домене леса может существовать только один эмулятор PDC.
Передача ролей FSMO выполняется с помощью программы Ntdsutil.exe (запускается из командной строки) или оснасток консоли MMC. В зависимости от передаваемой роли используются:
оснастка «Схема Active Directory»;
оснастка «Active Directory — домены и доверие»;
оснастка «Active Directory — пользователи и компьютеры».
Если компьютер больше не существует, роль необходимо присвоить с помощью программы Ntdsutil.exe.
Передача роли хозяина схемы
Для передачи роли хозяина схемы используется оснастка «Схема Active Directory». Перед ее запуском необходимо зарегистрировать файл Schmmgmt.dll.
Регистрация файла Schmmgmt.dll
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите в поле Открыть команду regsvr32 schmmgmt.dll и нажмите кнопку OK.
3. Получив сообщение об успешном завершении операции, нажмите кнопку ОК.
Передача роли хозяина схемы
1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду mmc и нажмите кнопку ОК.
2. В меню Файл выберите команду Добавить или удалить оснастку.
3. Нажмите кнопку Добавить.
4. Выберите в списке оснастку Схема Active Directory, нажмите кнопку Добавить, а затем — Закрыть и ОК.
5. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Изменение контроллера домена.
6. В поле Укажите имя введите имя контроллера домена, которому передается роль, и нажмите кнопку ОК.
7. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Хозяин операций.
8. Нажмите кнопку Изменить.
9. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача роли хозяина именования доменов
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Active Directory — домены и доверие.
2. Щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите пункт Хозяин операций.
5. Нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Передача ролей хозяина RID, эмулятора основного контроллера домена и хозяина инфраструктуры
1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена.
Примечание. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
3. Выполните одно из следующих действий.
* Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
или
* Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
План такой:
Сделать новый сервер контроллером домена
Понизить старый сервер (удалить его из контроллеров домена).
Просматриваем какие роли у старого контроллера домена:
Загружаем остнастку Схема Active Directory
если ее нет в администрировании, то добавляем ее через mmc
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина схемы.
Загружаем Active Directory — домены и доверие
И там правой кнопкой смотрим хозяина операций это и есть роль хозяина именования доменов.
Загружаем Active Directory — пользователи и компьютеры
И там правой кнопкой смотрим хозяев операций это и есть роли RID, PDC или Инфраструктура.
У меня у него только роль Хозяин инфраструктуры.
И нужно узнать где глобальный каталог
http://support.microsoft.com/kb/223346/ru
Размещение и оптимизация FSMO на контроллерах домена Active Directory
Контроллеры доменов Active Directory поддерживают обновления с несколькими хозяевами для репликации объектов (например учетных записей пользователей и компьютеров) в Active Directory. При наличии нескольких хозяев объекты и их свойства могут находиться на любом контроллере домена и становиться "заслуживающими доверия" с помощью репликации.
В этой статье рассмотрено размещение ролей FSMO (Flexible Single-Master Operation) Active Directory в домене и лесу.
Некоторые операции уровня домена или предприятия, для которых не подходит размещение с несколькими хозяевами, располагаются на одном контроллере домена в домене или лесу. Использование операций с единственным хозяином предотвращает возникновение конфликтных ситуаций в случаях, когда хозяин операции отключен. С другой стороны, владелец роли FSMO должен быть доступен, когда на уровне предприятия или домена выполняются зависящие от него действия. В противном случае необходимо вносить связанные с этой ролью изменения в каталог.
В мастере установки Active Directory (Dcpromo.exe) определены пять ролей FSMO: хозяин схемы, хозяин именования доменов, хозяин RID, эмулятор PDC и хозяин инфраструктуры. Роли хозяина схемы и хозяина именования доменов определяются для всего леса, а остальные три (хозяин RID, эмулятор PDC и хозяин инфраструктуры) — для каждого домена.
Лес, в котором существует один домен, имеет пять ролей. Каждый дополнительный домен добавляет три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле "(количество доменов * 3) + 2".
Лес с тремя доменами (A.com с дочерним доменом B.A.com и внучатым доменом C.B.A.com) имеет 11 ролей FSMO:
1 хозяин схемы — на уровне леса, A.COM;
1 хозяин именования доменов — на уровне леса, A.COM;
3 эмулятора PDC (A.com, B.A.com и C.B.A.com);
3 хозяина RID (A.com, B.A.com и C.B.A.com);
3 хозяина инфраструктуры для каждого домена (A.com, B.A.com и C.B.A.com).
Когда в лесу создается первый контроллер домена Active Directory, Dcpromo.exe назначает ему все пять ролей. Когда создается первый контроллер домена Active Directory для нового домена в существующем лесу, ему назначаются три роли. В домене, работающем в смешанном режиме, в который входят контроллеры домена под управлением Windows NT 4.0, только контроллеры домена под управлением Windows Server 2003 или Windows 2000 могут владеть ролями FSMO уровня леса или домена.
Перейти к началу страницы
Наличие и размещение ролей FSMO
Dcpromo.exe выполняет первоначальное размещение ролей на контроллерах домена. Это размещение обычно подходит для каталогов, которые содержат небольшое количество контроллеров домена. Для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным.
Для каждого домена необходимо определить основной и резервный контроллеры домена, обладающие ролями FSMO (на случай сбоя основного владельца ролей FSMO). Кроме того, можно выбрать внешних резервных владельцев на случай возникновения серьезных проблем на уровне сайта. При этом необходимо руководствоваться указанными ниже критериями.
* Если в домене только один контроллер домена, то ему будут принадлежать все роли уровня домена.
* В доменах с несколькими контроллерами домена с помощью оснастки "Active Directory — диспетчер сайтов и служб" выберите прямых партнеров репликации, имеющих постоянное и надежное соединение с данным контроллером.
* Для ускорения согласования репликации в большой группе компьютеров резервный сервер может располагаться на одном сайте с основным FSMO-сервером. С другой стороны, на случай возникновения серьезных проблем в основном месте расположения его можно поместить на удаленном сайте.
* Если резервный контроллер домена находится на удаленном сайте, для непрерывной репликации необходимо наличие надежного соединения.
Общие рекомендации по размещению ролей FSMO
* Размещайте роли хозяина RID и эмулятора PDC на одном контроллере домена. Кроме того, роли FSMO легче отслеживать, если они собраны на минимальном количестве компьютеров.
Для снижения нагрузки на основной FSMO-сервер роли хозяина RID и эмулятора основного контроллера домена можно расположить на разных контроллерах одного домена и сайта Active Directory, которые являются прямыми партнерами репликации.
* Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
o Лес с одним доменом
Если лес содержит только один домен Active Directory, то в нем отсутствуют фантомы. Это значит, что хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.
o Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог
Если на каждом контроллере домена, входящего в лес с несколькими доменами, хранится глобальный каталог, фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере данного домена.
* На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.
В режиме работы леса Windows Server 2003 не требуется помещать хозяин именования доменов в глобальный каталог.
С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) убедитесь в том, что доступны все роли FSMO.
Еще нужно посмотреть где глабальный каталог
Откройте консоль Active Directory Sites and Services, раскройте узел Sites->Default-First-Site-Name->имя_сервера->NTDS Settings. Откройте свойства узла NTDS Settings и псмотрите, установлен ли флажок Global Catalog. Проделайте ту же операцию для второго сервера в сайте.
У меня они оба глобальные каталоги.
Теперь делаю новый сервер контроллером домена (добавь роль контроллера домена).
Ругнулось, (как оказалось из-за того, что новый сервер был R2, а старые нет):
Операция не выполнена по следующей причине:
Ошибка проверки правильности схемы.
Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Для получения дополнительных сведений о команде Adprep см. справку Active Directory.
«Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.»
http://support.microsoft.com/kb/278875/ru
Создание контроллера домена Windows Server 2003 в домене или лесу Windows 2000
Ошибки, описанные в разделе «Проблема», могут произойти при попытке повышения уровня изолированного или рядового сервера Windows Server 2003 до контроллера домена в следующей среде Active Directory Windows 2000:
* Дополнительный контроллер домена в существующем домене в лесу Windows 2000.
* Первый контроллер домена в новом домене существующего леса Windows 2000.
Перед включением дополнительного контроллера домена Windows Server 2003 в лес Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы и выполнить команду adprep /domainprep на хозяине инфраструктуры в лесу Windows 2000.
Перед созданием нового домена Windows Server 2003 в существующем лесу Windows 2000 администратору необходимо успешно выполнить команду adprep /forestprep на хозяине схемы. Кроме того, данные изменения должны быть полностью реплицированы на вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory.
В итоге вспомогательный контроллер домена, используемый компьютером, на котором устанавливается Active Directory, должен реплицировать все входящие изменения, сделанные командами adprep /forestprep и adprep /domainprep.
Примечание. Вспомогательный контроллер домена представляет собой существующий контроллер домена, находящийся в домене или в лесу. Компьютеры, на которых устанавливается Active Directory, используют вспомогательный контроллер домена для получения доступа к имеющейся информации Active Directory при использовании мастера установки Active Directory для создания новых доменов в существующем лесу или для добавления контроллеров домена к существующему лесу.
adprep.exe находится на установочном диске w2k3
Я взял его со второго диска, откуда и ставил R2
Сделал
adprep /forestprep на хозяине схемы
Сделал
adprep /domainprep на хозяине инфраструктуры
Выдало еще такое
The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory permissions to be updated
for existing Group Policy Objects (GPOs). You can enable this functionality
at any time by running "adprep.exe /domainprep /gpprep" on the DC that holds
the infrastructure operations master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the domain controllers in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.
Сделал еще и
adprep.exe /domainprep /gpprep
Запускаю снова на новом сервере добавление роли Контролера Active Directory
Все прошло нормально.
Перезагрузка (обязательно).
Из журнала сообщений узнаем
------------------
Служба репликации файлов инициализирует системный том с помощью данных с другого контроллера домена. Компьютер SRVDC не может принять роль контроллера домена, пока этот процесс не будет завершен. Этот системный том станет общим ресурсом под именем SYSVOL.
Чтобы проверить наличие общего ресурса SYSVOL, введите:
net share
После завершения процесса инициализации службой репликации файлов должен появиться общий ресурс SYSVOL.
Для инициализации системного тома требуется некоторое время. Оно зависит от объема данных на системном томе, от наличия других контроллеров домена, и от частоты репликаций между контроллерами доменов.
----------------------
Ждем пока появятся шары
в командной строке:
net share
Появилось.
Теперь добавил роль dns-сервера.
Установил
Group Policy Management Console with Service Pack 1
чтобы управлять групповой политикой.
Загружаем Active Directory — пользователи и компьютеры
и передаю роль хозяина инфраструктуры на новый сервер.
Передал. Это быстро.
Active Directory Sites and Services
и убираем со старого сервера Глобальный каталог.
Ставим на новый сервер глобальный каталог.
Смотрим сообщения в журнале Служба каталогов, пока не появиться сообщение
Теперь этот контроллер домена является глобальным каталогом.
Теперь понижаю старый сервер до рядового, т.е. убираю контроллер Active Directory.
С первого раза до конца не понизилась роль, так как выдал ошибку: Таймаут при остановке службы Netlogon. Запустил еще раз, все прошло нормально.
Перезагрузка сменил ip.
Все ок.
Настроим сервер времени:
Ярлыки:
Active Directory
среда, 29 апреля 2009 г.
Cisco
Команды настройки cisco
у меня 3640
Логин user
Пароль password, командная строка будет с >
Переход в режим рута
en или enable
и ввести пароль, командная строка будет с #
show run или show running-config
просмотр текущей конфигурации (в flash, та которая сейчас работает)
show start или show startup-config
просмотр конфигурации в ПЗУ (с нее грузиться маршрутизатор)
copy running-config startup-config
скопировать текущую конфигурацию в ПЗУ
#config переход в режим конфигурирования
командная строка (config)#
(config)#int e1/1 переход в режим конфигурирования interface Ethernet1/1
командная строка (config-if)#
(config-if)#ip adddres xx.xx.xx.xx 255.255.255.240
установит ip адрес интерфейсу
(config-if)#ip adddres xx.xx.xx.xx 255.255.255.240 secondary
установит второй ip адрес интерфейсу
(config-if)#no ip adddres xx.xx.xx.xx 255.255.255.240
удалит ip адрес
(config-if)#no ip adddres xx.xx.xx.xx 255.255.255.240 secondary
удалит вторичный ip адрес
у меня 3640
Логин user
Пароль password, командная строка будет с >
Переход в режим рута
en или enable
и ввести пароль, командная строка будет с #
show run или show running-config
просмотр текущей конфигурации (в flash, та которая сейчас работает)
show start или show startup-config
просмотр конфигурации в ПЗУ (с нее грузиться маршрутизатор)
copy running-config startup-config
скопировать текущую конфигурацию в ПЗУ
#config переход в режим конфигурирования
командная строка (config)#
(config)#int e1/1 переход в режим конфигурирования interface Ethernet1/1
командная строка (config-if)#
(config-if)#ip adddres xx.xx.xx.xx 255.255.255.240
установит ip адрес интерфейсу
(config-if)#ip adddres xx.xx.xx.xx 255.255.255.240 secondary
установит второй ip адрес интерфейсу
(config-if)#no ip adddres xx.xx.xx.xx 255.255.255.240
удалит ip адрес
(config-if)#no ip adddres xx.xx.xx.xx 255.255.255.240 secondary
удалит вторичный ip адрес
Ярлыки:
cisco
пятница, 24 апреля 2009 г.
Команды DNS
Некоторые команда для проверки, настройки ДНС.
nslookup - главная команда
в ней
server ip_address_nameserver подключается к серверу имен.
set q=any
www.ru
выдаст данные по данной зоне
set q=ns
www.ru
выдаст днс сервера отвечающие за данную зону.
set q=mx
www.ru
выдаст mx записи для этой зоны.
dig аналог nslookup, попроще в использовании, но может оказаться эффективнее nslookup.
dig www.ru. mx
выдаст mx записи для этой зоны.
dig @ns1.ru www.ru. any
запрашивает все записи записи для узла www.ru с сервера ns1.ru
dig -x ip_address
выполняет обратный запрос.
Для сервера днс (FreeBSD)
rndc reload - перегружает зоны
rndc reload name_dns_zone
запустив на slave dns сервере
сервер перечитает зону (name_dns_zone)
с master сервера.
Windows
ipconfig /flushdns
сбросит днс кеш.
nslookup - главная команда
в ней
server ip_address_nameserver подключается к серверу имен.
set q=any
www.ru
выдаст данные по данной зоне
set q=ns
www.ru
выдаст днс сервера отвечающие за данную зону.
set q=mx
www.ru
выдаст mx записи для этой зоны.
dig аналог nslookup, попроще в использовании, но может оказаться эффективнее nslookup.
dig www.ru. mx
выдаст mx записи для этой зоны.
dig @ns1.ru www.ru. any
запрашивает все записи записи для узла www.ru с сервера ns1.ru
dig -x ip_address
выполняет обратный запрос.
Для сервера днс (FreeBSD)
rndc reload - перегружает зоны
rndc reload name_dns_zone
запустив на slave dns сервере
сервер перечитает зону (name_dns_zone)
с master сервера.
Windows
ipconfig /flushdns
сбросит днс кеш.
четверг, 12 февраля 2009 г.
sysctl переменные для FreeBSD
http://www.unixguru.biz/?cat=25
security.bsd.* - управление моделью безопасности
security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;
security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;
security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..
security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;
security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;
security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.
security.bsd.see_other_uids - если 0, пользователь может видеть только свои процессы;
vfs.usermount - если 1, то непривилегированный пользователь может монтировать и размонтировать FS, если для устройства выставлены “rw” права и пользователь является владельцем точки монтирования;
security.jail.* - ограничения для jail
security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;
security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;
security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;
security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.
IPFW
net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;
net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;
net.inet.ip.fw.autoinc_step - задается число на которое увеличивается счетчик при добавления нового ipfw правила, когда явно не указан его номер;
net.inet.ip.fw.debug - если 1, то в логи помещается дополнительная отладочная информация по работе ipfw;
net.inet.ip.fw.verbose - если 0, то не отображать работу “log” правил в syslog;
net.inet.ip.fw.one_pass - если 1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил;
ICMP, соединение.
net.inet.icmp.icmplim - задается максимальное число ICMP “Unreachable” и TCP RST пакетов, которое может быть отправлено в секунду, net.inet.icmp.icmplim_output=0 позволяет не отражать в логах факты превишения лимита;
net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения “ICMP unreachable”;
net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;
net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;
net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
Тюнинг сетевой подсистемы, борьба с DoS атаками
net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern.ipc.nmbclusters - если по “netstat -m” mbufs в “peak” приближается к “max”, то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);
net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;
net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
net.link.ether.inet.max_age - время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;
Оборудование и системная информация
dev.cpu.0.freq_levels - выдает список поддерживаемых частот, на которые можно переключить CPU, путем указание нужной частоты через dev.cpu.0.freq;
hw.snd.maxautovchans, hw.snd.pcm0.vchans - задается число виртуальных звуковых каналов, для каждого из которых может быть отдельный источник звука (на выходе они будут смикшированы);
kern.boottime - время последней загрузки системы;
kern.disks - список дисков в системе;
kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;
Изменение и тюнинг системных ограничений
kern.coredump - если 0, то при крахе приложения не будут создаваться core файлы, формат имени и путь для которых задается через kern.corefile (например: /tmp/%U.%N.core). kern.sugid_coredump=0 позволяет запретить генерацию core suid/sgid процессами;
kern.maxfiles - максимально допустимое число открытых файлов (файловых дескрипторов), текущее число открытых файлов можно посмотреть через kern.openfiles;
kern.maxprocperuid - максимально допустимое число процессов, которое может быть запущено из-под одного пользователя;
kern.maxvnodes - максимальное число vnode для кеширования дисковых операций, текущее значение можно посмотреть через vfs.numvnodes или debug.numvnodes/debug.freevnodes;
SMP (FreeBSD 5)
kern.smp.maxcpus (machdep.smp_cpus) - максимальное число процессоров, поддерживаемое текущей сборкой ядра;
kern.smp.active, kern.smp.disabled - число активных и выключенных CPU;
kern.smp.cpus (machdep.smp_active) - сколько CPU в online;
kern.smp.forward_signal_enabled - включить возможность мгновенной пересылки сигнала для процессов выполняемых в данный момент времени на разных CPU;
kern.smp.forward_roundrobin_enabled;
ARP
net.link.ether.inet.log_arp_movements - отражать в логе все широковещательные ARP пакеты с хостов MAC адрес которых отсутствует в локальном ARP кэше;
net.link.ether.inet.log_arp_wrong_iface - отражать в логе все ARP пакеты пришедшие с неправильного интерфейса;
security.bsd.* - управление моделью безопасности
security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;
security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;
security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..
security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;
security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;
security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.
security.bsd.see_other_uids - если 0, пользователь может видеть только свои процессы;
vfs.usermount - если 1, то непривилегированный пользователь может монтировать и размонтировать FS, если для устройства выставлены “rw” права и пользователь является владельцем точки монтирования;
security.jail.* - ограничения для jail
security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;
security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;
security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;
security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.
IPFW
net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;
net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;
net.inet.ip.fw.autoinc_step - задается число на которое увеличивается счетчик при добавления нового ipfw правила, когда явно не указан его номер;
net.inet.ip.fw.debug - если 1, то в логи помещается дополнительная отладочная информация по работе ipfw;
net.inet.ip.fw.verbose - если 0, то не отображать работу “log” правил в syslog;
net.inet.ip.fw.one_pass - если 1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил;
ICMP, соединение.
net.inet.icmp.icmplim - задается максимальное число ICMP “Unreachable” и TCP RST пакетов, которое может быть отправлено в секунду, net.inet.icmp.icmplim_output=0 позволяет не отражать в логах факты превишения лимита;
net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения “ICMP unreachable”;
net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;
net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;
net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;
Тюнинг сетевой подсистемы, борьба с DoS атаками
net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern.ipc.nmbclusters - если по “netstat -m” mbufs в “peak” приближается к “max”, то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);
net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;
net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
net.link.ether.inet.max_age - время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;
Оборудование и системная информация
dev.cpu.0.freq_levels - выдает список поддерживаемых частот, на которые можно переключить CPU, путем указание нужной частоты через dev.cpu.0.freq;
hw.snd.maxautovchans, hw.snd.pcm0.vchans - задается число виртуальных звуковых каналов, для каждого из которых может быть отдельный источник звука (на выходе они будут смикшированы);
kern.boottime - время последней загрузки системы;
kern.disks - список дисков в системе;
kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;
Изменение и тюнинг системных ограничений
kern.coredump - если 0, то при крахе приложения не будут создаваться core файлы, формат имени и путь для которых задается через kern.corefile (например: /tmp/%U.%N.core). kern.sugid_coredump=0 позволяет запретить генерацию core suid/sgid процессами;
kern.maxfiles - максимально допустимое число открытых файлов (файловых дескрипторов), текущее число открытых файлов можно посмотреть через kern.openfiles;
kern.maxprocperuid - максимально допустимое число процессов, которое может быть запущено из-под одного пользователя;
kern.maxvnodes - максимальное число vnode для кеширования дисковых операций, текущее значение можно посмотреть через vfs.numvnodes или debug.numvnodes/debug.freevnodes;
SMP (FreeBSD 5)
kern.smp.maxcpus (machdep.smp_cpus) - максимальное число процессоров, поддерживаемое текущей сборкой ядра;
kern.smp.active, kern.smp.disabled - число активных и выключенных CPU;
kern.smp.cpus (machdep.smp_active) - сколько CPU в online;
kern.smp.forward_signal_enabled - включить возможность мгновенной пересылки сигнала для процессов выполняемых в данный момент времени на разных CPU;
kern.smp.forward_roundrobin_enabled;
ARP
net.link.ether.inet.log_arp_movements - отражать в логе все широковещательные ARP пакеты с хостов MAC адрес которых отсутствует в локальном ARP кэше;
net.link.ether.inet.log_arp_wrong_iface - отражать в логе все ARP пакеты пришедшие с неправильного интерфейса;
Ярлыки:
FreeBSD
четверг, 15 января 2009 г.
Автоматизация архивного копирования на Linux
http://www.ibm.com/developerworks/ru/library/l-backup/index.html?ca=drs-ru-0113
создать файл в нужно месте файл arh
на это файл нужно поставить флаг X, т.е. разрешить запуск
cd нужный каталог
создаем файл arh
touch ./arh
делаем исполняемым
chmod u+x ./arh
если нужно, то сменить владельца
chown новый_владелец ./arh
#!/bin/sh
tar czvf $1.$(date +%Y%m%d-%H%M%S).tgz $1
exit $?
Такой вариант будет создавать архив около папки, но нужно чтоб архивы были в отдельной папке и в одном месте ( и например чтоб до цифр было какое-то название, например www, если хранить архивы в тогда так /home/arhiv/ и чтоб имя начиналось с www, то так
#!/bin/sh
tar czvf /home/arhiv/www$(date +%Y%m%d-%H%M%S).tgz $1
exit $?
проверяем работу
путь_к_файлу_arh путь_к_тому_что_нужно_архивировать
например: /home/arhiv/arh /var/www
в каталоге /home/arhiv/
должен создаться файл с названием
wwwДАТА.tgz
чтоб автоматизировать, можно тогда это вставить в cron
/home/arhiv/arh /var/www
создать файл в нужно месте файл arh
на это файл нужно поставить флаг X, т.е. разрешить запуск
cd нужный каталог
создаем файл arh
touch ./arh
делаем исполняемым
chmod u+x ./arh
если нужно, то сменить владельца
chown новый_владелец ./arh
#!/bin/sh
tar czvf $1.$(date +%Y%m%d-%H%M%S).tgz $1
exit $?
Такой вариант будет создавать архив около папки, но нужно чтоб архивы были в отдельной папке и в одном месте ( и например чтоб до цифр было какое-то название, например www, если хранить архивы в тогда так /home/arhiv/ и чтоб имя начиналось с www, то так
#!/bin/sh
tar czvf /home/arhiv/www$(date +%Y%m%d-%H%M%S).tgz $1
exit $?
проверяем работу
путь_к_файлу_arh путь_к_тому_что_нужно_архивировать
например: /home/arhiv/arh /var/www
в каталоге /home/arhiv/
должен создаться файл с названием
wwwДАТА.tgz
чтоб автоматизировать, можно тогда это вставить в cron
/home/arhiv/arh /var/www
Ярлыки:
Архивирование,
FreeBSD,
Linux
Подписаться на:
Сообщения (Atom)