ну раз так, тогда скажи, уважаемый, как это сделать?

Называется DCDIAG. Предназначена для диагностики, восстановления поврежденной, и других низкоуровневых операций над AD. Там всё по русски, если ось локализована. Хелп подробнейший.

Полезно будет вначале и забэкапить системный раздел, например акронисом.

Удачи.

2 AndreyN
а я гляжу ты продуман, счетчик сообщений накручиваешь... :)
этот в состав системы входит чтоли?

AndreyN
Что-то я не помню такого, чтобы DCDIAG могла сохранять что-то из AD в файл, она ведь и называется то:
Domain Controller Diagnostic Tool (Dcdiag.exe)
Утилита эта из Support Tools

Angel13
А по поводу Вашего вопроса, то на W2000 этого сделать нельзя !!!
Хотя есть утилиты CSVDE и LDIFDE, которые помогут извлечь кое-какую информацию из AD в текстовый файл, а потом обратно занести в AD.
На 2003 можно было снять бекап System State с DC и потом восстановить его на другом сервере так называемая функция Windows Server 2003 Domain Controller (DC) Install-From-Media для модернизации сервера Windows 2003 до уровня контроллера домена, но это сделано для тонких каналов между площадками, чтобы синхранизация AD не занимала канал, а взяла, только последние данные.

:confused:
pazdak
Скажи пожалуйста, каким образом мне всёж таки убить недоубитый домен второго уровня. Того контроллера нет давным-давно. Немного позже я удалил его из DNS. Теперь встал вопрос удаления упоминаний этого поддомена из AD. Осталось только Имя и Название домена. Но не удаляется. Ругается не по-русскии и выдаёт ошибку.
Без этого не могу нормально интегрировать дополнительный 2003-й DC в 2000-ю схему и плавно перейти на 2003-й полностью. Ругается, что у меня не хватает прав. ;) Я его породил, но прибить не могу. :idontnow:

Это я уже всё делал и не раз, К сожалению не помогает. В самом конце ругается, но на что не могу понять, т.к. popup-окошко сыпет "гречкой". :(

Есть неплохая книга, с разрешением практически всех вопросов по AD.

Приветствую!
Могу (к сожалению) ошибиться, но помниться некоторые возможности предлагала утилитка eximwiz.exe (хотя в прямую она предназначалась для exchange server'a)

УДАЧИ!

Кстати вспомнил о прелестной утилитке какраз для этих целей Ideal Migration ot Pointdev

Поддомен похоже всё-таки удалось убить.
Но пока убивал нашелся тот злополучный комп и пришлось подключить его в сеть. AD работает на половину. Кое-что видит, а кое-что нет. Например, просто вручную подключиться к серверам в обе стороны через сеть можно. А вот когда настраиваю серверного каспера он "не находит сервера со списком компьютеров для данной рабочей группы", т.е. группу-домен видит, а открыть ветку не может. Перепрописание в ДНС не решило проблему. Маршрутизация работает, но WINS сервера не синхронизируются. Ругаются поочереди оба, что аппонент не настроен для такого типа синхронизации.
Вопрос: Как переустановить учетную запись контроллера подчиненного домена, перепрописать его в AD? :help: :молись: :help: :молись: :help:

P.S. Опустить до рядового и поднять до DC не получается, т.к. второй сервер "не видит" основного контроллера домена. "Переустановить учетную запись" в доменах и довериях не возможно. Для контроллеров эта операция не допустима. :idontnow:

Может только у меня не получилось, но 3 метра зря скачал. Содержание есть, а содержимого нет. :idontnow:

chm файл 3.5 Мб весом. Открывается нормально. Может, ты его пытаешься открыть с другого компа (с разделяемого диска)? Так мелкомягкие в борьбе с дырами запретили открывать хелпы с удаленных компов :) - только в локальном каталоге...

Тема злободневная.
Отягченая тем, что в мелкобюджетном варианте DC обьединяется с файл-сервером.
Сегодня доблестно производил перенос w2k сервера.
1. Слил копию системного раздела в образ при помощи "ghost-7"
2. Залил из образа на диск нового сервера (номер раздела обязательно должен совпадать для уменьшения гемороя)
3. Запустил системку подключив диск мимо райд-контроллера, который истошно верещал в ходе процедуры.
4. Залогинился и вбил в систему драйвер для райд контроллера.
5. Перезагрузил, подключив диск на его родную соску на райде.
6. Поставил драйвера на новую мать.


........ после того, как перенесу юзерские каталоги и восстановлю шары, попытаюсь пустить полученый сервант в сеть.

ЗЫ: если чипсеты на матерях от разных производителей, то стоит поискать других окольных путей:(

7. Переписал узерские каталоги, почти все шары после перезагрузки встали на место.

в общем сервер после копирования зашел в сеть и принял в себя паркованые в АD компы как родные:)

Вопрос по Active Directory
 

Скажите пожалуйста кто знает.

Есть лес (forest), в который входят два домена: Domain1, Domain2.
Функциональный уровень обоих доменов - Windows 2000 Mixed.

В Domain1 у меня есть сервер (не контроллер домена, а просто сервер), на котором расшарена папка. Я хочу дать доступ группе Group2 из Domain2 к этой папке.
Как это можно сделать ?

Давать полные права доступа к папке вообще всем пользователям (Everybody) нельзя.

Или то что я хочу невозможно для Windows 2000 Mixed mode и надо поднимать уровень доменов до Windows 2000 Native или Windows 2003 ?

люди подскажите команду, которая покажет всех юзеров из АД(win2k server),если это коенчно возможно, у которых через N-дней истекает аккаунт в системе? Помню читал книгу по win2k3 server и там было сказанно о ней dsquery -stalepwd N или dsquery -inactive N, но почему-то cmd не распознаёт команду dsquery.
Спасибо.

kasha, должны быть в windows\system32 проверяй, они у тебя там есть?
если есть, смотри path в environment

что именно должно быть?


а это где?:help:

В win2000, в отличие от 2003, dsquery отсутствует как класс...
Реакция ОС на ввод несуществующей команды вполне себе предсказуема...

Merlin Cori, опять же, Твой ответ относится к 2003, у 2000 папка винды по умолчанию называется WinNT.
dsquery.exe, но опять же полько у 2003.
Это в свойствах системы, вкладка "дополнительно", кнопка "Переменные среды", переменная окружения PATH. Или можно просто запустить командную строку и там ввести path (без параметров).

Вопрос!
 

Итак. Есть 2 контроллера домена. На первом произошло недорозумение в плане: Администрирование - политика безопасности контроддера домена.

Консоль управления (ММС) не может создать оснастку.Оснастка может быть установлена неправильно.

Имя: Редактор обьектов групповой политики
CLSID: {8FC0B734-A0E1-11D1-0000F87571E3}

Вопрос.
Возможно ли решить эту проблемму не переустанавливая АД?
Возникнет ли такая ошибка если использовать перенятие ролей на второй сервер? (естественно соблюдая все правила процедуры перенятия ролей)

...вот уже лет пять, как я не админю сетки и БДшки, но когда этим делом занимался, то всегда перво-наперво обращался к первоистокам, то бишь к мелкомягким. Что ты имеешь: код ошибки и текст ошибки, кои здесь (по крайней мере я) не увидел.
При "перенятии" ролей на второй сервер ? хмм... конечно же возникнет, если это проблема политики безопасности... подозреваю, что ты просто ММСку каким-то образом "попортил"...
Ещё раз повторюсь: "заграница нам поможет" :о) ... или "код в студию"...

Тут же!
 

Эмм...сказать так, код в студию не скажу ибо в эвентах конкретно к этому код ошибки не выпадает. Выпадает 2 ошибки с кодом 1090 и 9097.
При этом зависимость несколькоих служб (Kerberos, RSoP) ссылается на WMI: не найден

Возможно именно из-за этого и весь "сыр-бор".

Если есть мысли поделитесь.

Заранее благодарен.

Стоп, паря... я могу, конечно же и напутать, но групповую политику (при условии домен-админа) с твоего сервера можно снять и "через второй" сервер... она же у тебя только для одного определена... дык и снимай её :о)
снял ? тады бум дальше посмотреть...
по кодам действительно сыр-весь-в-дырках... не разобрался...

!
 

В ощем. Разобрался я что почем и почему. На сервере вылетел весь инструментарий (WMI) и соответственно ММС косолька в том числе. Буду со вторичного лепить мастера! Как справлюсь опишу все подробно!

Репликация!
 

Итак. По сути дела ничего пока не решил с ММС (ибо все намного сложнее). Возникла следующая грабля. Что такое файловая репликация именно файловая?И как ее восстановить?

Заранее спасибо!

Доброго времени суток.
Прошу помощи у тех кто знает что надо делать в следующей ситуации.
Есть сервак Server 2003 - контроллер домена, он же единственный AD и файловый сервер. Работает где-то года два.
Т.к. я в AD не силен и меня уверили что все настроено особо туда не сувался. Посматривал события в управлении компом. Иногда выскакивали ошибки. Последнее время очень часто и много ошибок типа
в сиситеме
При установке сеанса с компьютера КАССА не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи КАССА$. Ошибка:
Отказано в доступе.
в приложениях
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={(убрал для сокращения места)...\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

В DNS-сервер
DNS-серверу не удалось загрузить зону, поскольку не удалось завершить перечисление служб зоны DOM.local. Данный DNS-сервер настроен для получения и использования информации этой зоны из Active Directory. Проверьте, что Active Directory функционирует нормально и повторите перечисление зоны. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

DNS-серверу не удалось загрузить зону, поскольку не удалось завершить перечисление служб зоны _msdcs.DOM.local. Данный DNS-сервер настроен для получения и использования информации этой зоны из Active Directory. Проверьте, что Active Directory функционирует нормально и повторите перечисление зоны. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке.

Служба репликации файлов
Служба репликации файлов больше не препятствует компьютеру SERV стать контроллером домена. Системный том был успешно инициализирован и служба NetLogon была уведомлена о том, что системный том подготовлен и к нему может быть открыт общий доступ как к общему ресурсу SYSVOL.
Введите команду "net share" чтобы проверить наличие общего ресурса SYSVOL.

Как оказалось, чел просто установил вин2003, запустил мастер настройки сервера. Установил ФС. Установил ДНС. Установил Контроллер домена. Установил DHCP.
Завел пользователей и все.

С прошлой недели сижу читаю интернет по этим ошибкам, советов и рекомендаций много, но проблеммы у людей (с моей точки зрения) другие. Качнул книжку "Учебный курс микрософт. Active Directiory server 2003" Виртуальный сервак для экспериментов с книжкой сделал. Но что то не могу понять с чего мне начинать что бы что то сделать со своими ошибками.

Подскажите плиз.

Alex Dark
Ну для начала, как всегда сделать команды с контроллера домена (устанавливаются вместе с Support Tools):
1) dcdiag
2) netdiag

ЗюЫю Можно запустить каждую команду с ключем /fix

без фикса dcdiag
добавлено через 10 минут
и netdiag без фикса
Кстати. Рарод у меня сейчас работает, действия не повлияют? А то может это делать в выходной или вечером?

Alex Dark, основа для нормальной работы AD это грамотно работающий DNS . советую перелопатить все настройки DNS.

что за комп GNSSERV? и почему в DC не прописан шлюз ?

GNSSERV остаток от названия сервера с добавленным мною серв. Реальное название домена или сервера не имеет в своем названии указателя на то что это домен или сервер. Поэтому чтобы не путаться заменил их (здесь в тексте) реальные названия на DOM и SERV

Я понимаю что надо перелопатить настройки DNS. Я не знаю как и в какой последовательности.
я две недели читал по этому поводу инет и умную книжку (название давал выше)
В голове полная каша. На выходных сделал бекап сервака. Сейчас хочу загрузить его в виртуальную машину и экспериментировать.

Если Вы мне подскажете что и в какой последовательности выполнять, это будет быстрее чем если я сначала прочту книгу.

Настрой зависимость служб, в службах выбери netlogon перейди во вкладку зависимости и добавь туда dns службу. и после смотри логи.

Если я правильно понял, то ты говорил про администрирование, запустить службы и там у меня
НетЛогон работает на автомате. Зависит от Server и Workstation.
А как туда запихнуть DNS?
Или это в другом месте надо делать?

добавлено через 13 минут
PS я на виртуальной машине установил win2003 добавил контроллет домена и ДНС.
У него в службах и зависимостях все так же как и на серваке

Не отрабатывают политики в Актив директории
 

Здравствуйте! помогите пож.
У нас филиал и есть Голова филиала далоко от нас, недавно свой филиал перевела в домен, проблема в том что не отрабатывают политики в актив директории сталкнулась в первый раз. Сидим в домене а управлять не могу еще называюсь админом. DNS находится так же в головном филиале.
Ошибки : 1.Не удалось получить имя контроллера домена в этой сети. Обработка групповой политики прекращена.
2. Не правильные данные RSOP. Повреждение данных. Данные были удалины или не были созданы.

Elnura
Отличное описание, как проблемы, так инфраструктуры :biggrin:

Опишите как был произведен перевод филиала в домен Головы?
(в филиале поднят домен контроллер или просто включили все компы филиала в домен Головы)

это у вас такой способ помощи да? смейтись.
писала что не домен не АД я незнаю вообще до этого времени не сталкивалась. Спасибо за ответ.
в филиале нет своего домена контроллера, перегнали на головной. Была локальная своя сеть сказали какой прописать ДНС и имя домена и все. Поставила админпак 2003 для управления.
Проверяла события системы и увидела ошибки такие. Ответили: что у нас на филиале не отрабатывают политики. Что нужно поднять сервер 2003 и про тестировать. Сервер подняла но еще нечего не делала, хотела узнать здесь на форуме может что посоветуют.
И еще ошибка: что не удалось зарегистрировать записи ресурсов (РР) узлов (А)для сетевого адаптера с параметрами.
Даже незнаю как правильно описать ситуацию:(

Elnura, не стоит так расстраиваться.
Если к доктору придешь и скажешь "у меня здесь чешется, там колет, а вот тут ноет. Выпишите таблетку что бы было все в норме". То доктор тебя куда пошлет?
Правильно, в регистратуру за историей болезни.

Так и здесь. Домен это не фигура их трех пальцев. Почему произошло - предположить можно, а что делать - вариантов много.

Есть куча книг в инете, например "Виндовс сервер 2003: Справочник администратора". Попробуй ее почитать. В свое время она мне помогла.

Поиск в AD пользователей из определенной группы.
 

Имеем Win Serv 2003 Ent - Основным доменом + Win Serv 2008 Stand.
Есть созданная группа, предположим, "ip_user" и она, как и пользователи, находится в своём OU.

Пришла трабла, надо всех юзверей которые вхожи в группу "ip_user" - перенести в другой OU.

Когда смотрим список членов в самой группе, то она всех их показывает, но для их переноса и работы с ними нам нужен другой интерфейс - вот тут то грабельки и оказались под ногами незаметно :(

Пытаясь разными путями выцепить юзверов из этой группы я получаю список ТОЛЬКО в том случае, если там ещё присутствует изначальный Domain users, но эта группа с определенного времени выносилась - ибо нефиг, и в этой ситуации когда у пользователей в группах есть ТОЛЬКО "ip_user" - они НЕ показываются ...
А нужно выцепить ВСЕХ пользователей которые есть в этой группе и перенести в новый OU :(

Искал с указанием полного пути к группе - аля: CN=ip_user,OU=1,OU=connections,OU=local,DC=mycompany,DC=ru

Сервак 2008 х86 RU (помоему такой траблы на EN нету ???)

Делаю лабораторку , не могу зайти в DC1 (домен контроллер) , юзерами не являющимися админом , добавляя их в группу админы , всё равно не даёт , а пишет :

ВЫ НЕ МОЖЕТЕ ВЫПОЛНИТЬ ВХОД , ПОСКОЛЬКУ ИСПОЛЬЗУЕМЫЙ МЕТОД ВХОДА НЕ РАЗРЕШЁН НА ЭТОМ КОМПЬЮТЕРЕЮ ОБРАТИТЕСЬ К АДМИНУ

При попытке с DC1 подключится к терминальному серваку (в него могу заходить и Админом и юзверями) , пишет :

Подключение было запрещено , так как учётная запись пользователя не имеет прав для удалённого входа в систему...

Причём тоже вставлял этих юзверей в группу удалённых пользователей , лазил по их свойствам и т.п...


Всё это звенья одной цепи возможно связанные с GPO или настройками DC1 , ЧТО ДУМАЕТЕ ???

Проверить в ГПО настройки Allow logon localy

Это лабораторка по MCITP ... (2008 сервак соответственно)
Есть 3 виртуалки :

1. Контроллер домена DC (на нём ещё разумеется DNS , DHCP нет) его координаты единственный адаптер (local only) IP 10.10.0.10 ; mask 255.255.0.0 ; Gateway 10.10.0.1 ; dns 10.10.0.10

2. Cервак RRAS с установленными Network Policy & Access Server (remote & routing server) первый адаптер (Local only) имеет статический адрес 10.10.0.24 доменная сеть ; второй адаптер (получает от внешнего раутера) DHCP адрес 192.168.2.100 , при настройке Routing and Remote Access Is Configured on This Server я выдал область для VPN , как пишется в лабораторке 192.168.2.100-174

3. Клиент Vista подключенный к этому домену , со статическим адресом 10.10.0.30.
Я создаю на нём VPN подключение , он находит сервер соединяется , а при попытке Аутентикации пишет , что винда не может подключиться по этому логину и паролю , а они Администраторские , и в домен я вхожу под ними Administrator и Password...

В свойствах пользователя (в active directory) нужно проверить как определяются права на Remote Access -- поставил РАЗРЕШИТЬ !!!

Ковырялся в Настройке счёта администратора на DC и даже внёс его во все группы , не катит...