Архивы: active directory

Корзина Active Directory Recycle Bin в домене Windows Server 2008 R2

Использование корзины Active Directory Recycle Bin в домене Windows Server 2008 R2.

Для возможности активации корзины AD функциональный уровень леса должен быть не ниже – Windows Server 2008 R2. Чтобы проверить текущий уровень леса выполним:

Import-Module ActiveDirectory
Get-ADForest | Format-List Name,ForestMode,DomainNamingMaster

Параметр DomainNamingMaster вернёт нам имя сервера, который выполняет роль мастера именования (Domain Naming Master FSMO). Имя этого сервера потребуется нам в дальнейшем при включении функционала корзины AD.
Если уровень значения ForestMode ниже Windows2008R2Forest и вы готовы выполнить его повышение, выполним:
Get-ADForest | Set-ADForestMode –ForestMode Windows2008R2Forest Читать далее »

Добавляем в описание компьютера AD имя пользователя

Задача  нужно добавить в описание компьютера в AD имя пользователя и телефон.

Делаем GP на OU компов,   (хотя можно и на пользователей, поэкспериментируйте) с запуском такого скрипта

Читать далее »

Windows 2008 Core установка контролера домена

Недавно я писал статью, как установить и настроить сервер Windows Core, сейчас я расскажу, как я установил резервный контролер домена на недавно подготовленный сервер Core. И так установка очень простая. Вначале переименовываем машину, так как будет называться контролер домена, прописываем IP адреса и DNS, устанавливаем все обновления. Далее у нас есть уже домен и мы хотим поставить дополнительный контролер домена с ролью DNS. Для этого вводим такую строку. Читать далее »

Порты используемые Active Directory

Active directory - выбор имени домена

Active directory порты

Нашел полезные ссылки ниже, в которых описывается какие службы используют протоколы и порты, а также полный список портов используемый для работы компьютеров в active directory. Стоит отметить специфику работы RPC, для которой нужно открывать большой диапазон портов, в настройках фаервола  нужно использовать так называемые фильтры, которые открывают для текущего сеанса порты после установки соединения на первоначальном порту. По аналогии с FTP 21  и 20 портом. Читать далее »

Выбор имени active directory

Active directory - выбор имени домена

Задача: каждым системным администратором рано или поздно сталкивается с задачей установить новый домен в организации, организация не большая, планируется создать один сайт и один домен. У организации есть сайт в интернете www.domain.ru. При установки нового домена Active Directory важным пунктом идет какое же имя домена Active Directory выбрать. Читать далее »

Контроллеры домена предприятия не имеет replicating directory changes in filtered set

Проблема: при проверки AD утилитой dcdiag  -> не пройдена проверка NCSecDesc.

Читать далее »

расширение схемы windows 2003 r2

Проблема: нужно  добавить контролер домена на базе Windows 2003 R2.

Операция не выполнена по следующей причине: Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Дополнительные сведения о команде Adprep см. в справке Active Directory.

«Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.»

Читать далее »

Создание пользователя в AD

Задача — добавить из Excel списка пользователей в AD (Active Directory) контакты или пользователей.

Решение 1 вариант:

Добавляем из CSV Файла при помощи dsadd
Читать далее »

Перенос ролей контроллера домена

Перед переносом ролей контролера домена делаем и проверяем бэкапы.
Заходим на новый сервер контролера домена, которому будем передавать роли AD.

1. Смотрим текущие роли командной netdom query fsmo (чтобы netdom стал доступным в windows server 2003 ставим support tools есть в установочном диске SUPTOOLS.MSI)

2. Заходим в AD — пользователи, меню через мышь на домене, выбираем Хозяева операции…, нажимаем изменить во всех трех вкладках

3. Смотрим текущие роли командной netdom query fsmo
Также переносим Хозяина именования доменов, через AD — домены и доверие

4. Переносим последую роль Хозяин схемыили Схема (Schema owner)

Регистрируем dll regsvr32 schmmgmt.dll
Заходим в mmc добавляем Схема Active Directory
Меню — хозяин операции и меняем Хозяин схемы.

Вариант2: Через консоль
Запускаем команду ntdsutil.
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server имя_сервера
Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
Binding to имя_сервера
Connected to имя_сервера using credentials of locally logged on user
server connection: quit
fsmo maintenance: transfer schema master
fsmo maintenance: transfer domain naming master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: quit
ntdsutil: quit
Для захвата ролей, при не доступном владельце контролера домена, вместо transfer пишем seize.

Проверяем netdom query fsmo.
Проверяем dcdiag /v
Удачи и хороших логов на сервере.

Примечание:
1. По возможности не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога.
2. Сервер глобального каталога должен также выполнять функции Хозяина именования доменов.
3. Сменить сервер глобального каталога так:
Active Directory — сайты и службы.
Откройте папку Серверы и выделите требуемый контроллер домена.
В папке контроллера домена дважды щелкните элемент Параметры NTDS.
В меню Действие выберите команду Свойства.
Перейдите на вкладку Общие и установите флажок Глобальный каталог.
4. Передавший роли сервер теряет возможность исполнять эти роли навсегда, или до вывода сервера из домена и смены SID. Это предусмотрено в целях целостности AD в случаях сбоя работы.
5.ссылки в помощь
http://support.microsoft.com/kb/255504
http://www.osp.ru/win2000/2000/04/174312/_p2.html