Архив форумов ЦИТФорума

[BorisValedgo]

Доброго время суток участникам конференции!
Хотелось бы уточнить...

Есть сервер на нём установлена Винда 2003 сервер (стандарт эдишон)
Поднят домен, установленна ISA... это всё для более полной картины!
Соответственно под этот домен настроены все клиентские машины!

Возможно ли настроить другой сервер (т.к. этот сервер заберут!) с ЭТИМ же доменом, но так что бы на клиентских машинах ничего не пришлось перенастраивать, а собственно переподключение к новому домену (не смотря на то что названия доменов совпадают)

Возможно в каких риестрах чего поправить и сетку с тем же мак адресом или ещё чего!

Т.е. в итоге.... настройтить другой сервер подключить его и всё у всех сново работает!

Если не точно объяснил, то объясню более подробно если это потребуется...

Заранее спасибо тем кто поучаствует!

[Dima_ADMin]

ntbackup тебе в руки или дополнительный контроллер, перед тем как основной заберут этот опустиш до редового а это поднимеш как основной, читай www.microsoft.ru да и тут поищи я писал на ету тему

[kin]

Новый сервер делаешь дополнительным контроллером этого домена.
Ставишь на нем нужные сервисы, устанавливаешь, что на нем хранится реплика глобального каталога и пр. Перед отъездом, старый сервер выводишь из домена, проверяешь роли у нового... и контроллер готов (ну или почти готов ...)
Операция тонкая, если все будет хорошо, то пользователи ничего даже и не заметят...

[BorisValedgo]

Спасибо огромное за совет!

Буду пробывать дополнительный контролер домена!

Насколько я понял с установленной 2003 виндой, подключаю машину (новый сервер) к сети и мастером настройки сервера (в 2003 винде) или это через основной сервер делаецца??

Извиняюс за, наверное, нелепые вопросы просто до конца недели надо это сделать, а потом в отпуск на недельку сходить хотел, а после уже куплю литературу и начну всерьёз позновать!
Буду примного благодарен если подскажите как это сделать либо может где почитать (на русском желательно), а то просто время мало, а "методом тыка" нехотелось бы!

[kin]

[Dima_ADMin]

http://search.microsoft.com/results.aspx?q=%D0%B4%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9+%D0%BA%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D0%BB%D0%B5%D1%80&l=1&mkt=ru-RU&FORM=QBME1
www.microsoft.com/rus
в поиске пишеш дополнительный контроллер и будет тебе шоколад

[BorisValedgo]

Наскоко я понял можно выбрать и DNS, и Active Directory!

А DHCP вроде должен быть токо один? И когда старый увезут... просто надо будет DHCP настроить на новом, верно?

Или DHCP тоже на резервный моно ставить?

И ещё вопрос... что есть служба WINS (если не сложно ответте, т.к. до конца недели загрузов и так хватает, а после отпуска уже будем дерзать)?

Dima_ADMin спасиба за ссылку! Но... перехожу по ссылке
"Создание дополнительного контроллера ..."
и пусто! Может удалили или ссылка битая....

[Dima_ADMin]

Active Directory без днс работать не будет, она тебя полюбому попросит ее установить.
А у 2003 разве WINS еще есть

www.microsoft.com/rus там поиск есть там твои ответы

[BorisValedgo]

Dima_ADMin у меня вообще microsoft.com не пашет!!!

ISA проверил стоит полный доступ ко всем сайтам!



А это пашет!!!!

http://search.microsoft.com/?mkt=ru-RU

Во фигня...


Правда ссылки которые выдаёт тоже не пашут....

[Dima_ADMin]

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/9d20cbd0-c9de-4014-9c1e-cca10da66213.mspx?mfr=true

Чтобы создать дополнительный контроллер домена
1.
Нажмите кнопку Пуск, выберите команду Выполнить и введите dcpromo /adv, чтобы открыть мастера установки Active Directory с параметром для создания дополнительного контроллера домена из восстановленных архивных файлов.

2.
Прочтите сведения, расположенные на странице Совместимость операционных систем, и нажмите кнопку Далее.

Если установка Active Directory на сервер под управлением Windows Server 2003 выполняется первый раз, просмотрите дополнительные сведения в разделе Справка по совместимости.

3.
На странице Тип контроллера домена выберите вариант Добавочный контроллер домена в существующем домене и нажмите кнопку Далее.

4.
На странице Копирование данных домена выполните одно из следующих действий.

• Выберите вариант Через сеть и нажмите кнопку Далее.

• Выберите вариант С помощью восстановленных архивных файлов и введите расположение восстановленных архивных файлов, или нажмите кнопку Обзор, чтобы найти восстановленные файлы, и нажмите кнопку Далее.


5.
На странице Сетевые учетные данные введите имя пользователя, пароль и домен пользователя учетной записи пользователя, которые необходимо применять для данной операции, а затем нажмите кнопку Далее.

Учетная запись пользователя должна являться членом группы «Администраторы домена» для конечного домена.

6.
На странице Папки базы данных и журналов введите расположение, в которое необходимо установить папки базы данных и журналов, либо выберите команду Обзор, чтобы выбрать расположение, и нажмите кнопку Далее.

7.
На странице Общий доступ к системному тому введите расположение, в которое необходимо установить папку Sysvol, либо выберите команду Обзор, чтобы выбрать расположение, и нажмите кнопку Далее.

8.
На странице Пароль администратора для режима восстановления введите и подтвердите пароль, который необходимо назначить данной учетной записи администратора сервера, и нажмите кнопку Далее.

Используйте данный пароль при запуске компьютера в режиме восстановления службы каталогов.

9.
Просмотрите страницу Сводка и нажмите кнопку Далее, чтобы начать установку.

10.
Перезагрузите компьютер.


Примечания

• Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» в Active Directory либо получить соответствующие полномочия путем делегирования. При этом по соображениям безопасности рекомендуется использовать команду «Запуск от имени». Дополнительные сведения см. в разделах Локальные группы, используемые по умолчанию, Группы по умолчанию и Использование команды «Запуск от имени».

• Параметр /adv необходим только в случае создания контроллера домена из восстановленных архивных файлов. Он не требуется при создании дополнительного контроллера домена через сеть.

• На шаге 4 при выборе варианта копирования данных домена по сети все данные каталога домена, членом которого станет станет контроллер домена, копируются с помощью сетевого подключения компьютера. При необходимости можно отменить не критическую репликацию.

• На шаге 4 при выборе варианта копирования данных домена из восстановленных архивных файлов сначала необходимо выполнить архивацию данных состояния системы для контроллера домена под управлением Windows Server 2003 из того домена, дополнительным контроллером которого станет данный рядовой сервер. После этого архив состояния системы должен быть локально восстановлен на сервере, на котором устанавливается Active Directory. Это можно сделать с помощью программы архивации, выбрав вариант Восстановить файлы в: Другое размещение. Дополнительные сведения о восстановлении архивов см. по ссылке «См. также».

• Если заархивированный контроллер домена содержит раздел каталога приложения, то этот раздел не восстановится на новый контроллер домена. Сведения о том, как вручную создать раздел каталога приложений на контроллере домена, см. по ссылке «См. также».

• Если данные состояния системы восстанавливаются с контроллера домена, который является глобальным каталогом, то новый контроллер домена можно также сделать глобальным каталогом.

• Для проверки учетных данных администратора можно также использовать смарт-карту. Дополнительные сведения о смарт-карте см. по ссылке «См. также».

• Active Directory нельзя установить на компьютер, работающий под управлением Windows Server 2003, Web Edition, но можно присоединить компьютер к домену Active Directory как рядовой сервер. Дополнительные сведения о Windows Server 2003, Web Edition см. по ссылкам, приведенным в разделе «См. также».

[BorisValedgo]

Dima_ADMin да вы просто эталон самой благодеятельности!

Огромное спасибо!!!
завтра утром буду пробывать!

[kin]

[San_dok]

[quote="Dima_ADMin"]А у 2003 разве WINS еще есть
quote]
Гы. Windows Internet Name + Service Domain Name System замечательно вшиты в Dynamic Host Configuration Protocol win2003.
Ну эт я так, к слову.

[Dima_ADMin]

[quote="San_dok"]

[San_dok]

[quote="Dima_ADMin"]

[Dima_ADMin]

[San_dok]

[Dima_ADMin]

и причем тут эта ссылка
там про винсу ни слова, также как и dns b dhcp

[San_dok]

[Dima_ADMin]

Пасиба изучу на досуге, просто не озадачивался пока, мы тест собрали у нас вроде заработало, но пока глубоко не тестили и не загонялись

[BorisValedgo]

Сделал доп. контроллер домена на новом сервере!

Токо вот если старый сервак выключить... этот (новый) не работает как контроллер домена (на локальных машинах, при подключении к домену, выскакивает "домен в данный момент недоступен"), почему понять не могу!???
Может надо ещё какие превелегии включить? Либо отключить какие службы в старом, вывести старый из состава контролера домена не решусь.. т.к. очень рискованно!


Отцы администрирования, подскажите как порешить проблемку??

PS Microsoft.com не загружается из-за проблемы у провайдера...

[kin]

По этому поводу два вопроса:
1. как станции получают адреса при выключенном старом контроллере?
2. на резервном контроллере DNS поднят? В смысле он доступен в отсутствии старого контроллера?

[a-m-d]

Мыслю, что собака порылась в глобальном каталоге
Когда откроют microsoft.com, посмотри http://support.microsoft.com/kb/255504/ru

А пока попробуй это (цитата из приведенной ссылки):

[BorisValedgo]

DNS обязательно должен быть настроен??? имеется ввиду для того что бы пользователи просто могли зайти под доменом!

Ведь DNS это "Связь с Интернетом" могу ошибаться.... какая связь между DNS и невозможностью входить пользователям под ДОМЕНОМ???


Флажок как глобальный каталог не установлен, возможно из-за этого и была проблема!?

A-M-D спасибо за уточнение! Завтра утром по пробую!

[kin]

[a-m-d]

DNS-сервер, обслуживающий Active Directory, в информации о зоне (домене) содержит также целую кучу служебных записей.

to kin:
1. Можно отключить автонастройку. Либо при раздаче адресов задавать еще и шлюз по умолчанию (http://support.microsoft.com/?kbid=220874)
2.BIND версии от (кажется) 8.1.2 и старше может обслуживать Active Directory.
_________________
Век живи - век учись!.. Дураком помрёшь.

[BorisValedgo]

Огромное спасибо за помощь!

Новый сервер фунциклирует, без старого с бывшим доменом!

Только несколько проблем не решелось:
1)Я не могу создать пользователя, компьютер через Актив Директори!

Пишет:
"Не удалось создать объект ONO (имя пользователя которого создовал) по следующей причине
- Служба каталогов не смогла выделить относительный идентификатор"

Подскажите пожалуйста с чем это может быть связанно?

2) ISA не устанавливается (за парывается на установке компонентов)! После того как устанавливаю новый сервер контролером домена,
Когда только устанавливаешь Win2003 server (без домена).... она прекрасно ставиться?
В чём интересно может быть проблема???

[kin]

[shaevich]

Здравствуйте!!
у меня проблема с Виндоусом я работаю на гос орг и мне дали задание чтоб я посадил им вин2003 сервер там надо им Актив Директори ДНС и ДШСП
вроде уже отконфигил ДШЦП и ДНС а в AD GPO я не стал трогать там дефолтовые стоят настройки, Проблема в том что я не могу создать пользователей в AD, он горит что не может создать такогото юзверя потому что "The password does not meet the password policy requirements. Check the minimum password policy and password history requirements" возможно я что то упустил но я всё же полазал настроил кое как GPO для домена и для контроллера домена в и тоге тажь байда!!

[Dragner]

Отключите или измените в службах "политику безопасности пароля": минимальную длину пароля и уникальность пароля!

[shaevich]

[a-m-d]

А после того как поменял, применения новых политик дождался?
_________________
Век живи - век учись!.. Дураком помрёшь.

[shaevich]

[BorisValedgo]

[BorisValedgo]

Только что нашёл программу в папке С:\Windows\system32
237KB это видимо она...

Хотел узнать запуск производиться на новом или ена старом сервере?

Поясните пожалуйста!

[kin]

[BorisValedgo]

http://www.michman.ru/DATA/GON.JPG

Вот что выдало..

Я так прочитал что хозяин RID и есть сервер создания новых пользователей? Могу ошибаться...

Снова взываю к помощи великих отцов....

Связь с сервером есть!!!! Но может что другое подразумевалось! Что есть FSMO?

Поясните пожалуста....

[kin]

[and3008]

Может стоит вернуться к истокам?

Задача: Сделать копию сервера, т.к. будет аппаратная замена серверов.

При этом админ, который будет это делать ничего не смыслит в доменах и структуре Active Directory.

Уважаемый автор вопроса: Вы бы пошли по пути наименьшего сопротивления. Сделали бы копию сервера (самое простое - прогой типа Acronis ли Ghost), да на новом сервере образ подняли. При этом старый сервер бы выключили и уже давным давно работали бы на новом сервере. Делов часа на 4 наверно и никаких знаний о Windows 2003 не требуется абсолютно.

Уважаемая публика повела вас по длинному пути, пройти который сможет тот, кто понимает что делает. Вы, как я вижу понимаете слабо и периодически наступаете на те или иные грабли. Не стоит ли пойти предложенным мною путем? А уж после этого почитать хорошую книгу по АД и ISA и потом, если захочется, то проделать переход на новый сервер в тестовой среде? Так сказать, для закрепления материала.

[BorisValedgo]

and3008 Не правильно! Задача была передать весь контроль над Доменом к одному серверу!!! Сейчас в данный момент контрольнад всей жизнедеятельностью сети осуществляеться чорти как!!! Один сервер DHCP и файловый, второй вроде как контролер домена основной и DNS!


ЗАДАЧА! Сделать сервер который будет ОДИН выполнять все эти функции!!!

Соответственно как вариант использовать образ НЕПОДОЙДЁТ!!!
ВЫ думаете я об этом не думал?

kin спасибо за сцылку! Сча почитаю...
При попытке передачи в сети фунциклировали оба контроллера!
И пробывал один отключать всеравно это пишет!

[kin]

[BorisValedgo]

KIN хотел узнать а ISA может препятствовать передачи роли????

[kin]

[BorisValedgo]

[San_dok]

2BorisValedgo

Система McAfee SecurityShield for Microsoft ISA Server
При ней SpamKiller for SecurityShield.
Говорю за 2000 ису. Работает нормательно. В 2004 тоже есть подобное, только ИМХО настолько коряво реализовано, что многое из нужного в спаме затем и найдёте. В таком случае советую чёнить стороннее. Рекламой заниматься не буду,посмотрите архив. Темы поднимались.

Теперь о пропускной способности исы. Есть горячие головы. которые советуют исашную фичу bandwith control-типа подобия TrafficFilter. Испытал на себе. Палнейшая чушь.
А если серьезно, то реализация контроля пропускной в ISA Server 2000 есть.
Только позвольте о ней поподробнее.
Правой кнопкой мыши узел Bandwidth Rules-правила пропускной способности
установливаем флажок активации контроля пропускной способности,
и устанавливаем эффективную в Кб/с. (или реальная модема, или реальная канала)
там же мона указать приоритет.
Вроде всё супер, НО! начинается затем полнейшая лажа.
Этим правилом БЛИН начинает пользоваться служба планирования пакетов ака quality of service packet scheduling service, для юзания приоритета соединений. Бррррр.
А если юзать настройки дальше, ваще правила перестают на пустом месте работать, как сглазил кто-то
Кстати из за такого толкового решения пропускной способности исы мелкомягкие вааще в 2004-й выкинули сию поддержку. Выводы делайте сами!

Best regards

[BorisValedgo]

Благодарю за пояснение!

Но вот мне то надо вот что (по теме ограничения скорости интеренета):
1) конкретно задавать пользователю определёную скорость
2) и возможность разным пользователям выставлять разную скорость нета

Пример: У нас скорость интернета на всех 7000КБ/768КБ на ADSL-модеме сидим...

пользователям Х1,Х2,Х3,Х4,Х5 надо поставить скорость (на закачку) по 300КБ (на отдачу я думаю нет смысла что-ли бо ограничивать, из-за достаточного маленькой полосы, да и отдаче почти никто не пользуеться, хотя если возможность будет то очень хорошо)
пользователям Y1, Y2, Y3 надо сделать по 500KB
пользователем Z1, Z2 надо отдать всё остальное

вот такой бональный пример...

Возможно ли это сделать с помощью ISA и её доп. приложениями
Или нужна сторонняя программа?
Мне тут посоветовали "T метр" кто-нибудь пользовался "Тметром"?

[San_dok]

Это можно сделать и без сторонних приложений.
Консоль-Police Elements-New Bandwidh Rule-New-Rule,создаете правило для определённого пользователя или группы
(или по приоритетам)
Просто живучести этих настроек можно только позавидовать...
Поверьте-проверено временем.

Думаю вам стоит глянуть. Если предметно будете юзать Isa,
подробнее ИМХО хэлпа не встретите. Там и ваши квоты и т.д. и т.п.
http://www.insar.net/for_admin/isa/

Best regards

[BorisValedgo]

San_dok спасибо за совет, попробую

Нехотелось бы создавать кучу тем... посему спрошу сдесь.

К вопросу по спаму с вложенным червём... в The Bat (почтовом клиенте) есть функция удалять почтовые заражённые сообщения, но для этого надо устанавливать (ввести путь) какой-то модуль (.buv) поясните полажуйста что это и с чем это едят?

И ещё вопрос какой лучший (удобный в работе и отличный по функциональности) всего Антивирус под ISA 2000 и Win2003Server.
такая вот связка получилась

[San_dok]

Всё намного проще.
Существуют два распространенных варианта обработки. Удалить либо перенести.
Строите в мыше правило.
В первом случае давим SHIFT-CTRL-S-Сортировщик писем-Создать-Сигнальные строки-Правила-Строки-вводим строчку [VirusInfected] (без кавычек)
Столбец-Где-Тема-Действия-флажки на-Удалить письмо и - Удалить письмо с сервера- Закрыть
Второй случай.
SHIFT-CTRL-S - Сортировщик писем-Создать-выбор папки в разделе -Переместить письмо в папку.
Выбор папки-один раз на Inbox-Создать-новая папку "Infected"-Ок-Ок
Раздел Сигнальные строки-Правила-Строки-вводим [VirusInfected]-Где-Тема.

По поводу антивируса вопрос очень многогранный. Каждый кулик свое болото, сами понимаете. У меня связка немного похожа. Ису только юзаю с давних пор и сейчас стоит шестая. Пробовал NAV. Конкретно конфликтовал и с исой и с мышом. Исе можно ещё фас, бату нет. Нортон к бату не имеет плагина, и для корректной работы всё в итоге только руками. Панда на третьей оси всё время вываливается, да и её обнова в строчку уже притомила. NOD хорош только полный. Толково отстроенного полного не видел нигде. Кто ткнёт-скажу спасибо. А юзать огрызки ИМСО,самооценка завышена-результат через пень/колоду.
К Dr.Web религия не позволяет нормательно относиться.
Как говорил ранее, юзаю Касперя. Нареканий не имею.
_________________
В тёмной комнате завсегда имеются тёмные грабли.

[San_dok]

to BorisValedgo

В приват ответил. Если проблемы с личкой стучите на асю.
Best regards
_________________
В тёмной комнате завсегда имеются тёмные грабли.