Серверы Microsoft Windows 2000/2003

DELETED
2/13/2006, 11:43:26 AM
Начинаю еще один интересный раздел, посвященный главной теме для Системного Администратора - настройке СЕРВЕРА.
Прошу выкладывать информацию ТОЛЬКО по существу.
Отдельная просьба к Модераторам: ВСЕ флудовые посты удалять!!!!
p.s. Для новичков:все файлы, при скачивании, имеют расширение *.ibf, для пользования файлом надо его переименовать с расширением, указанным в статьях...********************************************************************
Начнем с самого главного в настройке СЕРВЕРА Microsoft Windows:
Развёртывание службы каталогов Active Directory
Вот основные принципы развертывания.(см. Файл)
DELETED
2/13/2006, 11:44:56 AM
Особенности настройки СЕРВЕРОВ:
DELETED
2/13/2006, 11:51:33 AM
Еще один нюанс, который был у меня на практике:
допустим я поюзал комп(даже админовским логином)с осью ХР(сервис пак -по фигу какой!) минут 40, потом отошел на часок(через сколько начинается ЭТО точно пока не знаю) - все ни на один комп в сети не зайти - спрашивает логин и пароль, да еще приходится вводить отличный от того под каким зашел в систему...
эта проблема решается так:
1.Проверяем перед установкой ХРюши любого SP для сетевого варианта(домен или рабочая группа) - есть ли на компе сетевуха, которая точно имеет дрова в базе ХР.Чтобы не заморачиваться вставляем в PCI-слот(хотя бы на время) либо 3СОМ-905/920, либо что-то из семейства Realtek 8139.
2. Устанавливаем ХРюшу, прописывая нужные сетевые настройки.
3.Если в компе стоит СИСсовская, либо навороченная сетевуха - теперь ставим на нее дрова и при перезагрузке - выдергиваем первоначально установленную сетевуху.
Все... мона юзать
Если не сделать так- где-то в системном реестре(пока не разобрался )происходит ограничение по не локальным, а сетевым пользователям и все -труба: расшарить папки с разграничением по доступу не удастся, а насчет файловой системы - по фигу какая
Проверялось на 4 компах:
1.Duron600/VIA600/
2.Celeron1000/i815EP/
3.Celeron1700/sis(щас не помню какой)+вмазанная СИСовская сетевуха
4.Athlon1600/VIA KT800/Intel desktop 10/100/1000 PCI (с него все и началось )
Глюки с потерей пароля, "отваливанием" от сетки тоже прекратились...
DELETED
2/13/2006, 11:55:47 AM
По материалам Инета...
Вопрос: Уважаемые Админы, наверняка не раз обсуждалась тема переноса контроллера домена с машины на машину. Но всё же ни где я не встретил, чтобы от начала и до конца была описана эта процедура.
Имею: 2 машины с Win2k Server SP4 на нём развёрнут домен /лес не организован/.
Задача: Перенести на другой сервер существующий контроллер домена, при этому сохранить базу Active Directory и прилагающие службы DNS, DHCP и WINS.
Цель: Чтобы все клиенты сети не потеряли свои десктопы. Чтобы сохранить учётные записи Active Directory и настройки DNS.
Действия: Я при помощи утилиты "Пуск->Выполнить...->" dcpromo произвёл с одного сервера на другой репликацию базы данных Active Directory. Всё прошло успешно.
Каким образом мне:
1. Понизить статус (роль) старого контроллера домена (хозяина операций).
2. Переименовать новый контроллер домена.
3. При успешной процедре будут ли клиенты видеть новый сервер (контроллер домена)? /если "нет", то опишите пожалуйста "почему?"/
Ответ 1 :Я так понял, что ты хочешь все со старого сервера перекинуть на новый, новый обозвать также, как и старый и чтобы пользователи, придя утром на работу ничего не заметили ?
ИМХО, это невозможно.

2. Переименовать контроллер домена W2K невозможно. По крайней мере штатными средствами. Возможно программеры Билли выпустили какую-нибудь тулзу, но мне это неизвестно. А посему - невыполнение пункта 2 ведет к невыполнению всей поставленной задачи.

Если отступится от пункта 2 условия, то выглядит это так:
1. На втором сервере DC ты уже поднял
2. Проверь поднят ли на нем DNS (обычно при поднятии DC DNS ставится автоматом)
3. Рубишь на старом сервере DHCP и WINS и поднимаешь их на новом сервере.
4. Переносишь необходимые настройки на новый сервер.
5. Если старый сервер оставляешь контроллером домена, то на новый переносишь роль хозяина инфраструктуры или, наоборот, все роли, кроме инфраструктуры переносишь на новый сервер (включая GC, на старом GC рубишь). Если старый сервер опускаешь до рядового - просто запускаешь на нем dcpromo.
Ответ 2:1) Включаешь на старом сервере СТАНДАРТНЫЙ IDE -контроллер дисков вместо "какой там у тебя IDE -контроллер дисков".
2) Форматируешь диск НОВОГО сервера, активизируешь загрузочный раздел.
3) Копируешь ВСЕ с диска старого сервера на диск нового сервера. Для этого диск старого придется отвинтить и копировать на др. машине

Рекомендую пользовать:
xcopy /E/K/O/H/X старый_диск:/ новый диск:/

4) Привинчиваешь диск нового сервера обратно, отключаешь сет провод, пробуешь загрузиться.
5) Если ОК, пробуешь войти в систему, если не ОК - читаешь как это поправить (можно найти на этом форуме).
6) Проверяешь все ресурсы нового сервера и поправляешь.
7) Если ОК, выдираешь провод из старого и втыкаешь провод в новый.
8) Проверяешь работоспособность клиентов.
9) Если ОК - убираешь старый сервер на неделю на склад.
10) Если через неделю ОК - форматируешь диск старого сервера и пользуешь его как хочешь.
----------------------
3бис) Ежели отвинчивать диск нельзя:
3бис.1) NTBACKUP.exe диска старого сервера на любой носитель, доступный по сети. !!! На сервере лучше все что можно тормознуть на время работы NTBACKUP.

3бис.2) На новый сервер ставишь Win2K Pro в нестандартный каталог, например, WinNT.pro. Загружаешься.
или
3бис.2бис) Диск нового сервера привинчиваешь к третьей машине

3бис.3) Восстанавливаешь NTBACKUP диска старого сервера на диск нового.

далее пункт 4) !!!отключаешь сет провод

от меня... достаточно подробно, но на английском...
здесь
DELETED
2/22/2006, 5:03:51 PM
Для параноиков, то есть для таких как я, и нежелающих повторять шаги 3-9 есть консоль ntdsutil и графический интерфейс. Необходим только в случаях:
1. Балансировки нагрузки.
2. Когда старый сервер дохнет без перерыва и не успевает сам переносить роли. Или еще как. Короче бывает.

Перенос ролей:
1. Перенос роли «Schema master»
a. Открываем консоль «Active Directory Schema»
b. В дереве правой кнопкой щелкаем на «Active Directory Schema» и выбираем «Change Domain Controller».
c. Выбрать «Any DC» для выбора нового холдера или «Specify Name» для указания вручную.
d. Опять правой кнопкой на «Active Directory Schema» и выбираем «Operations Master».
e. Жмем «Change».
2. Перенос роли Domain naming master
a. Открываем консоль «Active Directory Domains and Trusts»
b. В дереве правой кнопкой на узле контроллера, на который переносим роль и выбираем «Connect to Domain».
c. Выбираем имя домена.
d. В дереве кликнем правой кнопкой мыши на «Active Directory Domains and Trusts» и выбираем «Operations Master»
e. Жмем Change.
3. Перенос роли Relative ID master и PDC emulator
a. Открываем консоль «Active Directory Users and Computers»
b. В дереве кликнем правой кнопкой на узле контроллера, на который переносим роль и выбираем «Connect to Domain».
c. Выбираем имя домена.
d. В дереве правой кнопкой мыши на «Active Directory Users and Computers» и выбираем «Operations Masters».
e. Выбираем закладку RID и жмем Change.
4. Перенос роли PDC emulator
a. Открываем Active Directory Users and Computers
b. В дереве кликнем правой кнопкой на узле контроллера, на который переносим роль и выбираем «Connect to Domain».
c. Выбираем имя домена.
d. В дереве правой кнопкой мыши на «Active Directory Users and Computers» и выбираем «Operations Masters».
e. Выбираем закладку PDC и жмем Change.
5. Переносим роль Infrastructure master
a. Открываем Active Directory Users and Computers
b. В дереве кликнем правой кнопкой на узле контроллера, на который переносим роль и выбираем «Connect to Domain».
c. Выбираем имя домена.
d. В дереве правой кнопкой мыши на «Active Directory Users and Computers» и выбираем «Operations Masters».
e. Выбираем закладку Infrastructure и жмем Change.

Ждем окончания репликации и переноса данных. Оно спокойней.

Проверяем, является ли новый главный контроллер домена сервером глобального каталога.
1. Открываем Active Directory Sites and Services
2. В дереве выбираем Sites и ищем свой или «Default-first-site-name».
3. Открываем «Servers» и ищем наш новый контроллер домена.
4. Правой кнопкой на «NTDS Settings».
5. На вкладке «Common» проверяем, установлен ли флаг «Global Catalog»
DELETED
2/22/2006, 5:09:54 PM
Теперь по ответам:
1. Краткий и запутанный конспект по созданию нового контроллера домена. Отношения к переименованию не имеет.


2. Ответ не в тему. Все шаги складываются в один: делается элементарное посекторное копирование диска с помощью того же Norton Ghost и старый диск в утилизацию. Помогает в случае, если система стабильна, но винт сыпется. К вопросу переноса контроллера домена, возникающего преимущественно из-за кривых рук админа и разваливающейся системы этот ответ отношения не имеет. Восстановление бэкапа или перенос целиковой системы на винте на новое железо с большой степенью вероятности приведет к синему экрану или дальнешим проблемам.
DELETED
5/11/2006, 7:37:56 AM
а вот еще заморочка:
был BDC, шустрый админ его завалил -- нужен был комп для полигона -- без демоута! Переустановил винду, переобозвал, в домен не совал... Потом решил вернуть в контроллеры и... Обозвать его как раньше низзя - есть такая учетная запись (а свалить ее тоже низзя -- DSA ругается, что не может грохнуть объект). Назвали BDC по новой - в сайте стали периодически появляться авт. генеренные репликации для несуществующего контроллера. Почистили его руками где могли (в т.ч. на DNS в служебных доменах зоны) и вынесли в отдельный фиктивный сайт. В принципе, проблем нету, но NTFRS периодически ругается на недостаточность топологии...
Кто знает, как убить "мертвый" контроллер из АД?
DELETED
5/12/2006, 11:53:49 AM
(JeyLo @ 22.02.2006 - время: 16:37)Да простит меня модератор, но поиск зависимости авторизации от типа сетевой платы - это потрясающая безграмотность.
Прощаю ввиду встречной безграмотности: вопрос не стоял об авторизации в зависимости от типа сетевой платы, был вопрос о возможных проблемах с подключением к домену, сразу при установке ОС. Внимательней читать надо!
Авторизация винды живет на стеке протоколов TCP/IP (к примеру Kerberos->TCP->IP->Драйвер сетевого интерфейса->Сеть). Еще, бывает, живет на UDP, но это очень редко. Да и UDP - чуть более простой транспортый протокол, чем TCP. А суть - та же.
Не спорю
Тут даже не могу точно ответить, что за проблема, поскольку не знаю контекста ее возникновения.
С этого и надо начинать. wink.gif
Хотя в частности по фразе "для сетевого варианта(домен или рабочая группа)" могу отметить, что это явно не домен (кроме того, покажите мне XP без поддержки сети! ).
Согласен:нету такой ХРюши.
Если это рабочая группа:
1. По умолчанию XP запрещает доступ пользователей к сетевым ресурсам без пароля.
Так вот здесь и "зарыта" собака
2. Отказ в доступе при известном имени/пароле лечиться командой "net use \\computername\IPC$ password /USER:computername\username /PERSISTENT:YES". Проблемой почему отказ - не разбирался. Хотя эмпирическим путем могу предположить, что выбивает по причине, что сначала винда пытается входить с помощью имени, пароля, под которым активного пользователя. Но киперы разные! К примеру COMPUTER1\Administrator и COMPUTER2\Administrator даже с одинаковыми паролями - абсолютно разные пользователи, с разными UID и SID.
В том то и дело, что в недрах настроек ХРюши был глюк с такой вариацией установки сетевого подключения.
А траблу удалось все-таки выципить: при изменении настроек в консоли управления компьютером, ПРИ СОХРАНЕНИИ И ЗАКРЫТИИ ОКНА ДАННЫЙ ВАРИАНТ ОСИ ИЗМЕНЯЛ ВСЕ ИЗМЕНЕННЫЕ НАСТРОЙКИ НА НАСТРОЙКИ ПО УМОЛЧАНИЮ!
Сменив дистрибутив - избавился от глюков. Но...
Дабы другие люди не наступали на эти же грабли - выложил эту информацию.

Такие вот дела.
DELETED
5/12/2006, 11:57:40 AM
(modest64 @ 11.05.2006 - время: 04:37) а вот еще заморочка:
был BDC, шустрый админ его завалил -- нужен был комп для полигона -- без демоута! Переустановил винду, переобозвал, в домен не совал... Потом решил вернуть в контроллеры и... Обозвать его как раньше низзя - есть такая учетная запись (а свалить ее тоже низзя -- DSA ругается, что не может грохнуть объект). Назвали BDC по новой - в сайте стали периодически появляться авт. генеренные репликации для несуществующего контроллера. Почистили его руками где могли (в т.ч. на DNS в служебных доменах зоны) и вынесли в отдельный фиктивный сайт. В принципе, проблем нету, но NTFRS периодически ругается на недостаточность топологии...
Кто знает, как убить "мертвый" контроллер из АД?
А не просто ли заново установить ОСЬ сервера, поднять АД и остальные нужные службы? Если у тебя не 100...200 компов, то с точки зрения надежности и отказоустойчивости системы - это самый приемлемый вариант!
DELETED
5/12/2006, 5:22:43 PM
(modest64 @ 11.05.2006 - время: 03:37) был BDC, шустрый админ его завалил
Удалите все вхождения бывшего BDC из Active Directory Sites and Services, Domains and Trusts, включая данные о репликации. Удалите записи из DNS. После этого с помощью ADSIEdit (скачивается с Microsoft'а или берется из Support Tools) сделайте следующее: (Domain ->DC->OU=Domain Controllers->CN=. Правой кнопкой на нем, его свойства, ищите запись userAccountControl и ставьте значение в 4096 (decimal). После чего кнопка Set, окей, все в сад и, в завершение, спокойно удаляйте запись из AD. Проблема уйдет.

На всякий случай ADSIEdit в аттаче. Нужно за'regedit32 библиотеку и запустить оснастку.

Вот.
DELETED
5/15/2006, 2:15:17 PM
(Klimon @ 12.05.2006 - время: 07:57) А не просто ли заново установить ОСЬ сервера, поднять АД и остальные нужные службы? Если у тебя не 100...200 компов, то с точки зрения надежности и отказоустойчивости системы - это самый приемлемый вариант!
С точки зрения надежности и отказоустойчивости системы достаточно почистить метаданные с помощью ntdsutil и не тратить до месяца на перенастройку домена. И количество клиентских машин в данном случае совсем не важно.

В случае с modest64 они практически все сделали руками. Нужно только удалить запись.
салим
5/17/2006, 10:47:34 PM
вопрос на сервере 2000 периодически отваливается "Системное приложение COM+" , а в системных логах про это ничего нет, да и в службах показывает, хотя "Система событий COM+" запущена, что все в порядке. но только когда службу перезапустишь ручками, она нормально запускается ( конкретно sql server 2000).
вопрос как отследить что служба не работает? и вопрос чего она вообще глючит?
DELETED
5/18/2006, 5:11:51 PM
(салим @ 17.05.2006 - время: 18:47)вопрос на сервере 2000 периодически отваливается "Системное приложение COM+" , а в системных логах про это ничего нет, да и в службах показывает, хотя "Система событий COM+" запущена, что все в порядке. но только когда службу перезапустишь ручками, она нормально запускается ( конкретно sql server 2000).
вопрос как отследить что служба  не работает? и вопрос чего она вообще глючит?
COM+ System Application и COM+ Event System разные службы. Глючить может после установки .NET'а. Может просто глючить. :)
  • Создай и установи значение HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3\GipActivityBypass DWORD в 1.
  • Если не поможет, создай и установи значение HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3\System.EnterpriseServices\DisableAsyncFinalization DWORD 1.
  • Если не поможет, переустанови COM+. Это точно будет гуд. Только после этого будет глючить то, из-за чего глючит в настоящий момент COM+ System Application... wink.gif
    • Переименуй %SystemRoot%\System32\Clbcatq.dll в Clbcatq.dll.bak.
    • Перезагрузи W2K и загрузись в Safe Mode.
    • Удали ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3.
    • Открой cmd.exe
      • >pushd %SystemRoot%.
      • >rd /s /q Registration.
      • >popd
      • >exit
    • Открой в блокноте %SystemRoot%\Inf\Sysoc.inf и удали слово Hide из строки "COM=...".
    • Далее Установка и удаление программ/Добавить удалить компоненты Windows и переустанови COM+.

nicer
7/28/2006, 7:45:35 AM
Может и не сюда вопрос, но проблема возникла именно на Windows 2000 Server.
Сервер выключается на ночь.
Все бы ничего, но каждый раз сбрасывается настройка: "Разрешить кэширование записи на диск"
Глюк или фича?
Кто-нибудь знает как вылечить?
DELETED
7/28/2006, 8:21:52 PM
(nicer @ 28.07.2006 - время: 03:45)Может и не сюда вопрос, но проблема возникла именно на Windows 2000 Server.
Сервер выключается на ночь.
Все бы ничего, но каждый раз сбрасывается настройка: "Разрешить кэширование записи на диск"
Глюк или фича?
Кто-нибудь знает как вылечить?
Скорей всего на диске лежит база ntds.dit, она же база AD, а сервер является DC. wink.gif Если очень надо, то можно принудительно включать write cache при каждой загрузке автоматически:
  • Качаем dskcache.exe и копируем в %system32%
  • Там же создаем скрипт dskcache.cmd c таким текстом:
    echo off
    c:\dskcache.exe +w
    exit
  • Start->Run->gpedit.msc
  • Local Computer Policy\Computer Configuration\Windows Settings\Scripts
  • И добавляем в Startup скрипт dskcache.cmd.

Описание dskcache тут .
Качаем dskcache тут или в аттаче. :)