0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроллеры доменов

Контроллеры доменов

Хозяин инфраструктуры — это роль на уровне домена, и в каждом домене может быть только по одному хозяину инфраструктуры. Для работы с этими настройками вы должны быть членом группы Domain Admins. Хозяин инфраструктуры отслеживает объекты в своем домене и предоставляет эту информацию всем DC в этом домене. Для этого он сравнивает свои данные с глобальным каталогом, и если имеются отличия, то он запрашивает обновление с глобального каталога. (Глобальный каталог получает регулярные обновления объектов во всех доменах посредством репликации, поэтому данные глобального каталога всегда соответствуют текущему состоянию.)

По сути, данные, которые хранятся на этом DC, — это каталог домена. И здесь имеется источник потенциальной проблемы, поскольку приоритет получает глобальный каталог, и если он находится на DC, который действует как хозяин инфраструктуры , то данные домена никогда не реплицируются на другие DC в этом домене.

У вас не будет подобной проблемы, если у вас только один домен и только один DC в этом домене (поскольку глобальный каталог совпадает с каталогом домена). Кроме того, если все контроллеры домена содержат глобальный каталог, то все эти контроллеры имеют данные на уровне текущего состояния и тогда не имеет значения, какой контроллер домена исполняет роль хозяина инфраструктуры. Информацию по глобальному каталогу см. ниже в разделе «Глобальный каталог».

Чтобы передать роль хозяина инфраструктуры, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
  3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
  4. Щелкните на кнопке OK.
  5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  6. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure (Инфраструктура).
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры указанному компьютеру.

Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

  1. Откройте Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  3. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure.
  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры локальному компьютеру.

W32Time

В Windows Server 2003 включена служба времени Windows (W32Time), которая обеспечивает синхронизацию таймеров всех компьютеров Windows 2000/XP/2003 в вашей сети. Ее нельзя назвать простым средством, поскольку с этой службой связаны безопасность Kerberos и другие средства сетевого уровня.

Аутентификация Kerberos не выполняется, если показания времени на клиентском компьютере и на аутентифицирующем DC отличаются более чем на пять минут. Этот интервал называется Maximum Tolerance for Synchronization of Computer Clocks (Максимальный допуск для синхронизации таймеров компьютеров). Вы можете использовать групповую политику, чтобы изменить (увеличить) это значение , но это ослабляет безопасность сети. (Политики Kerberos находятся в Default Domain Policy внутри Computer Configuration Windows SettingsSecurity SettingsAccount PoliciesKerberos Policy .)

Репликация зависит также от точности меток времени, поскольку в процессе репликации используется метка «последнего изменения», чтобы определить необходимость репликации данных. Но еще важнее то, что если отличие в значениях времени между двумя DC больше величины Kerberos Maximum Tolerance for Synchronization of Computer Clocks, то аутентификация между этими DC не проводится, а это означает, что не запускаются процессы репликации.

Не менее важно то, что компьютеры с различными значениями времени могут вызвать повреждения при записи в файлы данных. Неточность меток времени может нарушить работу таких функций, как синхронизация автономных файлов и работа над совместными документами.

Ознакомление с иерархией синхронизации времени

В рамках вашего предприятия синхронизация времени конфигурируется на иерархической основе, чтобы каждому компьютеру в сети не приходилось сверять свой таймер с одним компьютером. Вверху этой иерархии находится руководящий сервер времени, выбираемый следующим образом.

  • Для домена этим сервером является хозяин эмулятора PDC.
  • Если у вас несколько доменов, то хозяин эмулятора PDC в первом домене, который вы создали в лесу, является руководящим сервером времени для этого леса.

Все контроллеры доменов Windows Server 2003 и Windows 2000 находятся на втором уровне этой иерархии, и они синхронизируют свои таймеры по этому руководящему серверу времени. Все рядовые серверы и рабочие станции, работающие под управлением Windows 2000 или последующих версий Windows , автоматически синхронизируют свои таймеры по контроллеру домена, который аутентифицирует их.

В Windows Server 2003 (и Windows 2000) предлагается возможность поместить другой сервер времени поверх этой иерархии — как внешний таймер , который считается очень точным. Вы можете сделать так, чтобы ваш руководящий сервер времени синхронизировал свой таймер с этим таймером. См. ниже раздел «Использование внешнего таймера времени», где описывается, как найти и подсоединиться к внешнему таймеру.

Ознакомление с процессом синхронизации

При входе в домен компьютеров, работающих под управлением Windows 2000 или последующих версий, служба времени Windows проверяет время на подходящем компьютере, чтобы определить искомое время,которое должно использоваться как значение времени на этом компьютере. Для контроллеров домена искомое время — это время на руководящем сервере времени. Для всех остальных компьютеров искомое время — это время на аутентифицирующем DC.

Если искомое время не совпадает с временем локального таймера, то выполняющий вход компьютер выполняет следующие шаги, чтобы скорректировать свой таймер.

  • Если искомое время больше локального времени, то W32Time автоматически устанавливает локальное время равным искомому времени.
  • Если искомое время отстает от локального времени на три минуты или меньше, то W32Time «замедляет» локальный таймер, пока не совпадут показания времени.
  • Если искомое время отстает от локального времени более чем на три минуты, то W32Time автоматически приравнивает локальное время к искомому времени.

Синхронизация времени происходит не только в процессе входа — компьютеры периодически продолжают синхронизировать время. Компьютеры один раз за каждый период подсоединяются к компьютерам, которые являются их источниками времени, и каждый компьютер определяет свой период следующим образом.

  • Начальный период составляет 45 минут.
  • Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный восьми часам.
  • Если время не удается синхронизировать три раза подряд, то период остается равным 45 минутам и процесс определения периода продолжается, пока не будут успешно выполнены три последовательные попытки синхронизации.
  • Если после изменения периода на восемь часов время не синхронизируется три раза подряд, то период изменяется на 45 минут и весь процесс начинается заново.
Читайте так же:
Как отрегулировать ширину экрана компьютера

Прежде чем приступить к синхронизации времени, компьютер, на котором устанавливается время, обменивается пакетом данных с компьютером, который задает время. Целью обмена этим пакетом данных является измерение задержки в передаче данных между этими двумя компьютерами. Эта задержка учитывается в расчете при сравнении значений таймеров. Это означает, что услуги времени, предоставляемые через глобальную сеть, столь же эффективны, как и услуги, предоставляемые через локальную сеть.

Синхронизация компьютеров со старыми версиями Windows

На компьютерах со старыми версиями Windows нет службы W32Time, поэтому не существует автоматических проверок для синхронизации времени. Это не является препятствием для аутентификации или соединений, поскольку Kerberos не аутен-тифицирует эти компьютеры. Однако для поддержания точности меток времени в документах или в записях баз данных имеет смысл стараться держать таймеры этих компьютеров как можно ближе к остальным таймерам сети.

Компьютеры со старыми версиями Windows позволяют вручную синхронизировать их таймеры с уже синхронизированным таймером с помощью следующей команды:

<Имя_компьютера> — это имя компьютера в домене, на котором, как вы считаете, работает точный таймер.

/set — указывает компьютеру, что нужно синхронизировать время (а не только проверить время на удаленном компьютере).

/yes — подтверждает, что время на удаленном компьютере следует записать на локальном компьютере.

Вы можете ввести эту команду в пакетном файле и поместить ссылку (значок) на этот пакетный файл в папке Startup меню Programs, чтобы синхронизировать время при каждой загрузке данного компьютера, или можете поместить ссылку на эту команду в значке на рабочем столе и позволить пользователям синхронизировать время по мере надобности.

Кроме того, если ваша сеть охватывает сайты в различных временных зонах (часовых поясах), не беспокойтесь — Windows автоматически вносит поправку на часовые пояса (если вы правильно сконфигурировали ваши компьютеры для их локальных часовых поясов).

Использование сервера внешнего времени

Для служб вашей сети (таких как Kerberos) не имеет значения точность таймеров относительно внешнего мира; главное, чтобы они были синхронизированы между собой в пределах заданного допуска. Но если таймеры всех компьютеров вашей сети синхронизированы между собой, то, конечно, удобнее, если они будут соответствовать остальному миру.

Для этого нужно, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним таймером, точность которого гарантирована. А поскольку компьютеры вашего предприятия синхронизируют свое время в соответствии с иерархией, каждый таймер в вашей системе будет показывать точное время.

Имеется два способа, позволяющих вашему руководящему серверу времени синхронизировать свой таймер с внешним миром: приобрести устройство, получающее сигналы со спутников, и подсоединить его к руководящему серверу времени; или использовать Интернет для доступа к внешнему таймеру, показывающему точное время. Я предполагаю, что вы решите выбрать Интернет-вариант, поэтому в оставшейся части этого раздела дам его описание.

Серверы времени доступны по всему миру, и они поддерживаются в виде иерархии. Первичные серверы (уровень 1) наиболее точны, но вторичные серверы (уровень 2) обычно синхронизируются точно с серверами уровня 1 или отличаются всего лишь на несколько тактов от серверов уровня 1. Отличия между серверами уровней 1 и 2 никогда не превышают нескольких наносекунд, и этой величиной, несомненно, можно пренебречь.

  • Список серверов уровня 1 ( stratum 1) находится в http://www.eecis.udel.edu/

Каждый список содержит серверы времени NTP (Network Time Protocol — синхронизирующий сетевой протокол), предоставляемые для открытого доступа, включая любые ограничения на их использование (например, некоторые сайты серверов времени требуют, чтобы вы уведомляли их, что используете их таймер). Списки отсортированы по кодам стран. Вы можете выбирать только те серверы времени, которые используют протокол Simple Network Time Protocol (это протокол, используемый службами времени Windows), и эти серверы помечены как » NTP Servers.»

Если вы не хотите выполнять поиск, то можете использовать предлагаемые Microsoft серверы внешнего времени (все это серверы открытого доступа, то есть у вас не будут запрашиваться полномочия).

Единственный компьютер на вашем предприятии, который может выполнять доступ к серверу внешнего времени, — это ваш руководящий сервер времени (хозяин эмулятора PDC). Чтобы задать синхронизацию времени с внешним NTP -таймером, введите следующую команду в командной строке:

где список-серверов — это один или несколько адресов серверов времени NTP .

Список из нескольких внешних серверов вводится для того, чтобы в случае отсутствия доступа к одному из серверов руководящий сервер времени обращался к следующему серверу в списке. Адреса отделяются друг от друга пробелами, и весь список заключается в кавычки (например, net time /setsntp:»time.windows.com time.nist.gov» ).

Вам достаточно ввести эту команду только один раз, поскольку система записывает список серверов времени NTP в реестр, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним источником автоматически. Адреса, которые вы указываете в команде, сохраняются в виде блока, который полностью заменяется, если вы вводите команду снова. Это означает, что если вы добавляете другой адрес, то должны ввести команду с полным списком, включая первоначальные и новые адреса. С другой стороны, если вы не боитесь работать с реестром, то можете добавить новый адрес непосредственно в раздел HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesW32TimeParameters.

Чтобы увидеть текущий список серверов NTP , введите в командной строке на вашем руководящем сервере времени net time /querysntp . Система возвратит адрес(а) серверов внешнего времени.

interface31

ad-pdc-ntp-000.pngСинхронизация времени — важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.

Читайте так же:
Lumia 435 программа синхронизации

Прежде всего вспомним, как происходит синхронизация времени в Active Directory. В качестве эталона времени выступает контроллер, владеющий ролью эмулятора PDC. Это FSMO-роль и эмулятором PDC может являться только один контроллер в каждом домене. С ним синхронизируют время остальные контроллеры домена. Доменные ПК и рядовые серверы сверяют часы с ближайшим контроллером домена.

ad-pdc-ntp-001.png

Сам эмулятор PDC в качестве источника точного времени может использовать либо аппаратные часы материнской платы, либо внешний источник точного времени, при нахождении в виртуальной среде также может быть использовано время хоста виртуализации.

О последней поговорим более подробно. Раньше все было довольно просто, источником времени в домене обычно служили аппаратные часы эмулятора PDC, ну отстали или убежали на пару минут, в конце концов можно и подвести. Когда добавилось требование взаимодействия с внешними системами критичными к точному времени (например, использующих криптографию), то в качестве источника времени стал выступать внешний сервер. От него получал время эмулятор PDC, с ним синхронизировались контроллеры, а от них точное время расходилось на остальных участников домена.

С приходом виртуализации все изменилось, появился еще один источник времени — время хоста виртуализации. Многие гипервизоры по умолчанию имеют включенной настройку синхронизации времени гостевых систем и при попадании в виртуальную среду контроллера может возникнуть следующая коллизия: контроллер синхронизирует время с хостом, но сам хост, являясь членом домена, в свою очередь синхронизируется с контроллером.

Еще хуже, если в виртуальную среду попадает эмулятор PDC, в силу особенностей таймера виртуальных машин, время внутри может достаточно сильно плавать, поэтому виртуальный эмулятор PDC всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена, последнее касается и всех остальных виртуальных членов домена.

Давайте перейдем от теории к практике. Начнем с того, что выясним кто из контроллеров является эмулятором PDC и эталоном времени для домена. Это можно сделать на любом контроллере домена командой:

В выводе будут показаны все хозяева операций, нас интересует только эмулятор PDC.

ad-pdc-ntp-002.png

Затем перейдем на указанный контроллер и узнаем источник времени для него, для этого выполните команду:

Если в выводе вы увидите:

то источником времени являются аппаратные часы. А если там будет:

то вы имеете дело с виртуальной машиной, которая синхронизирует время с хостом.

Данную настройку следует исправить, это можно сделать в настройках виртуальной машины, отключив синхронизацию времени с хостом, либо в самой системе, для этого откройте ветвь реестра:

и установите для параметра Enabled значение .

ad-pdc-ntp-003.png

После данного изменения следует перезапустить Службу времени Windows или перезагрузить компьютер.

Следующим шагом будет настройка нашего эмулятора PDC на работу с внешними источниками точного времени. Все изменения также будут вноситься через реестр. Прежде всего изменим тип сервера на NTP, для этого откроем ветку

и для параметра Type укажем строковое значение NTP. А для параметра NtpServer зададим адреса серверов точного времени, после каждого из которых, через запятую укажем 0x8, если мы хотим работать как стандартный NTP-клиент или 0x1 если будем использовать собственные параметры, например:

Параметр Enabled установим в значение 1.

Затем перейдем в

и установим для параметра AnnounceFlag значение A.

Следующие параметры будут работать, только если мы при указании серверов добавили 0x1, иначе будут использоваться настройки, предлагаемые сервером. Чтобы задать период синхронизации откройте ветку

и для параметра SpecialPollInterval укажите десятичное значение в секундах.

и зададим максимальное время опережения и отставания часов, после которых синхронизация производиться не будет. Для этого используются параметры MaxPosPhaseCorrection (опережение) и MaxNegPhaseCorrection (отставание) для которых также следует задать десятичное значение в секундах. По умолчанию стоит 48 часов. Это значит, что если время на эмуляторе PDC уйдет от точного источника более чем на 48 часов в любую сторону, то синхронизация производиться не будет.

Если вы хотите, чтобы время синхронизировалось всегда, то установите в оба параметра шестнадцатеричное значение FFFFFFFF.

Выполнив настройки перезапустите Службу времени Windows, это также можно сделать в командной строке:

После чего еще раз выполним

и убедимся, что источником времени для эмулятора PDC является внешний сервер.

ad-pdc-ntp-004.png

Затем выполним данную команду на рядовых контроллерах домена, в качестве источника времени там должен быть указан эмулятор PDC, и на обычных ПК, где в выводе будет присутствовать любой из контроллеров домена. Обязательно выполните контроль для виртуальных машин, чтобы быть уверенным, что они используют время домена, а не хоста виртуализации.

Компьютеры не синхронизируют время с контроллером домена

Обновление домена Windows NT.

Обновление домена Windows NT существенно сложнее, чем обновление просто сервера Windows NT. Кроме того, процедуры обновления главного и резервных контроллеров домена несколько различаются.

Не смотря на то, что процедура обновления домена Windows NT достаточно проста и обычно завершается без ошибок, рекомендуется сначала провести экспериментальное обновление домена на специально созданной тестовой конфигурации. Для этого вполне приемлемо установить в сети еще один резервный контроллер домена, после чего перенести его в отдельную физически изолированную сеть и повысить до главного контроллера домена.

Если серверы либо клиентские компьютеры работают под управлением Windows NT 3.51, рекомендуется установить на них операционную систему более поздней версии, или выполнить обновление имеющейся версии на всех этих компьютерах, либо отказаться от их использования. Если имеются несколько доменов, необходимо обновить контроллеры доменов под управлением Windows NT 3.51, чтобы обеспечить надежную проверку учетных данных при входе в систему. В любом случае, обновление или отказ от использования компьютеров под управлением Windows NT 3.51 повышает безопасность и снижает количество расхождений версий между компьютерами, что упрощает управление и устранение неполадок.

Для обновления домена Windows NT рекомендуется указанная ниже последовательность действий:

Планирование и создание пространства имен и инфраструктуры DNS
Так как служба DNS необходима для Active Directory, необходимо убедиться, что создана служба DNS и пространство имен Active Directory, а также настроены серверы DNS, либо служба DNS будет автоматически создана с помощью мастера установки Active Directory.

Определение функциональности леса
Функциональность леса определяет, какие возможности Active Directory могут быть включены внутри одного леса. Каждый режим работы леса имеет специальные требования к версиям операционных систем, под управлением которых могут работать контроллеры домена в лесу. Например, для работы леса в режиме Windows Server 2003 необходимо, чтобы все контроллеры домена работали под управлением продуктов семейства Windows Server 2003.

Читайте так же:
Синхронизация файлов внешнего жесткого диска

При обновлении первого домена Windows NT до Windows Server 2003 рекомендуется установить режим работы леса предварительной версии Windows Server 2003, который будет предложен в процессе установки. Этот режим включает все возможности режима Windows 2000, в том числе две существенные, указанные ниже, дополнительные обработки репликации Active Directory.

  • Улучшенная эффективность и масштабируемость репликации.
  • Репликация связанного значения для повышения эффективности репликации участия в группах.

Режим работы леса предварительной версии Windows Server 2003 доступен только при обновлении первого домена Windows NT в составе нового леса и может быть настроен вручную после обновления. Данный режим работы леса поддерживает контроллеры домена под управлением только Windows Server 2003 и Windows NT и не поддерживает контроллеры домена под управлением Windows 2000. Невозможно установить Active Directory на серверы под управлением Windows 2000 в лесу, работающем в режиме предварительной версии Windows Server 2003.

Обновление основного контроллера домена
Первый сервер, который необходимо обновить, это основной контроллер домена (PDC) под управлением Windows NT или более ранних версий. Во время обновления с помощью мастера установки Active Directory следует выбрать присоединение к существующему дереву доменов или лесу, либо создание нового дерева доменов или леса. Если необходимо присоединиться к существующему дереву доменов, следует указать желаемый родительский домен.

С помощью мастера установки Active Directory устанавливаются все необходимые компоненты контроллера домена, например хранилище данных каталога и программное обеспечение проверки подлинности протокола Kerberos V5. После установки протокола Kerberos V5 процесс установки запускает службу проверки подлинности и службу выдачи билетов.

При создании нового дочернего домена устанавливается транзитивное доверительное отношение с родительским доменом. В итоге, контроллер домена копирует все данные схемы и конфигурации в контроллер нового дочернего домена. Объекты диспетчера учетных записей (SAM) будут скопированы из реестра в новое хранилище данных. Эти объекты являются участниками безопасности.

В процессе обновления для хранения учетных записей и групп из домена Windows NT создаются объекты-контейнеры. Эти объекты-контейнеры называются Users, Computers и Builtin и отображаются как папки в консоли Active Directory — пользователи и компьютеры. Учетные записи пользователей и стандартные группы направляются в контейнер Users. Учетные записи компьютеров направляются в контейнер Computers. Встроенные группы направляются в контейнер Builtin.

Группы, существующие в Windows NT 4.0 и более ранних версиях, помещаются в различные папки в зависимости от характера группы. Встроенные локальные группы Windows NT и более ранних версий (такие как «Администраторы» и «Операторы сервера») помещаются в контейнер Builtin. Глобальные группы Windows NT и более ранних версий (например «Администраторы домена») и любые созданные пользователем локальные и глобальные группы помещаются в контейнер Users.

Обновленный главный контроллер домена может синхронизировать изменения участников безопасности для оставшихся резервных контроллеров домена (BDC) под управлением Windows NT 4.0 или более ранних версий. Резервные контроллеры домена под управлением Windows NT 4.0 или более ранних версий распознают обновленный главный контроллер домена как хозяина домена.

Обновленный контроллер домена является полнофункциональным членом леса. Новый домен добавляется в структуру домена и узла, и все контроллеры домена получают уведомление о присоединении к лесу нового домена.

Обновление всех оставшихся резервных контроллеров домена
После обновления главного контроллера домена под управлением Windows NT 4.0 или более ранних версий можно приступать к обновлению всех оставшихся резервных контроллеров домена. В процессе обновления для обеспечения сохранности данных в случае возникновения каких-либо проблем следует удалить резервный контроллер домена из сети. Данный резервный контроллер домена будет хранить защищенную копию текущей базы данных домена.

В случае возникновения каких-либо проблем в процессе обновления имеется возможность удалить все контроллеры домена под управлением Windows Server 2003 из рабочего окружения, затем вернуть резервный контроллер домена в сеть и сделать его основным. После этого новый основной контроллер домена реплицирует данные внутри домена и домен будет возвращен к первоначальному состоянию.

Единственным недостатком этого метода является то, что все изменения, сделанные за время, когда защищенный резервный контроллер домена был отключен, будут потеряны. Чтобы свести к минимуму эти потери, можно периодически включать защищенный резервный контроллер домена и затем снова выключать его (когда домен находится в устойчивом состоянии) в процессе обновления для обновления защищенной копии каталога на этом резервном контроллере.

Если контроллер домена под управлением Windows Server 2003 отключен и других контроллеров домена под управлением Windows Server 2003 в домене нет, то для выполнения роли отключенного контроллера домена резервный контроллер домена под управлением Windows NT может быть повышен до основного контроллера домена.

При обновлении доменов Windows NT 4.0 или более ранних версий только контроллер домена под управлением Windows Server 2003 может создавать основные объекты безопасности (учетные записи пользователей, групп и компьютеров). Отдельный контроллер домена настроен как хозяин операций эмулятора основного контроллера домена. Хозяин операций эмулятора основного контроллера домена эмулирует Windows NT 4.0 или более раннюю версию основного контроллера домена.

Завершение обновления домена
После обновления всех существующих основных и резервных контроллеров домена Windows NT 4.0 и более ранних версий до серверной операционной системы Windows Server 2003, если не планируется дальнейшее использование контроллеров домена Windows NT 4.0 и более ранних версий, можно изменить режим работы домена со смешанного Windows 2000 на основной Windows 2000.

При изменении режима работы домена на основной режим Windows 2000 происходит следующее:

  • Контроллеры домена более не поддерживают репликацию NTLM.
  • Контроллер домена, эмулирующий хозяина операций основного контроллера домена, не может синхронизировать данные с резервным контроллером домена под управлением Windows NT 4.0 или более ранней версии.
  • Контроллеры домена под управлением Windows NT 4.0 и более ранних версий не могут быть добавлены к домену. Можно добавлять новые контроллеры домена только под управлением Windows 2000 или Windows Server 2003.
  • Пользователи и компьютеры, использующие предыдущие версии Windows, получают преимущества использования транзитивных доверительных отношений Active Directory и получают доступ ко всем ресурсам леса при наличии соответствующих разрешений. Несмотря на то что предыдущие версии Windows не поддерживают протокол Kerberos V5, контроллерами домена обеспечивается сквозная проверка подлинности, предоставляющая возможность пользователям и компьютерам проходить проверку подлинности в любом домене леса. Это предоставляет возможность пользователям или компьютерам получать доступ в любом домене в составе леса к ресурсам, на которые у них есть соответствующие разрешения.
Читайте так же:
Как синхронизировать аккаунт google с huawei

Кроме расширенного доступа ко всем остальным доменам леса клиенты не будут извещены о каких-либо изменениях в домене.

После обновления домена Windows NT 4.0 до домена Active Directory рекомендуется удалить и создать заново все существовавшие ранее доверительные отношения с доменами Active Directory. Даже после обновления домена доверительные отношения остаются доверительными отношениями Windows NT 4.0. IP-безопасность (IPSec) не работает для доверительных отношений Windows NT 4.0.

Установка клиентского программного обеспечения Active Directory на устаревшие компьютеры клиентов
Компьютеры под управлением клиентского программного обеспечения Active Directory могут использовать возможности Active Directory, такие как проверка подлинности, для доступа к ресурсам в дереве доменов или лесе и запросам каталога. По умолчанию клиентские компьютеры под управлением Windows 2000 Professional и Windows XP Professional имеют встроенное клиентское программное обеспечение и имеют обычный доступ к ресурсам Active Directory.

Для компьютеров под управлением предыдущих версий Windows (Windows 95, Windows 98 и Windows NT) для получения доступа к ресурсам Active Directory требуется установка клиентского программного обеспечения Active Directory. Без клиентского программного обеспечения предыдущим версиям Windows домен доступен только как обычный домен Windows NT 4.0 и более ранние версии, а также доступны только те ресурсы, которые доступны через односторонние доверительные отношения Windows NT 4.0 и более ранних версий.

Обновление главного контроллера домена.

Перед началом обновления главного контроллера домена выполните следующие действия:

  • Отключите от сети все резервные контроллеры домена
  • Остановите службу WINS. Если работоспособность клиентских компьютеров на период обновления не критична, то рекомендуется деинсталлировать WINS
  • Остановите службу DHCP. Если работоспособность клиентских компьютеров на период обновления не критична, то рекомендуется деинсталлировать DHCP
  • Зарегистрируйтесь на компьютере под учетной записью администратора домена

При обновлении главного контроллера домена вам будет предложено создать новый домен (дочерний или корневой), новое дерево доменов и новый лес. Вы должны выбрать вариант, удовлетворяющий вашему плану развертывания Active Directory.

После обновления главного контроллера домена восстановите необходимую конфигурацию служб DHCP и WINS (последняя, скорее всего, будет не нужна), а затем проверьте возможность регистрации клиентов в домене и доступность необходимых сетевых ресурсов.

Обновление резервного контроллера домена.

После обновления главного контроллера домена вы можете по отдельности обновлять резервные контроллеры домена, последовательно подключая их к сети. После подключения резервного контроллера к сети дайте ему время на установление связи с новым контроллером домена и репликацию данных каталога.

При обновлении резервного контроллера домена у вас будет возможность сделать компьютер еще одним контроллером домена, либо сделать его простым членом домена. Независимо от выбора вы должны провести процедуру обновления на всех резервных контроллерах домена, чтобы домен считался обновленным.

Компьютеры не синхронизируют время с контроллером домена

Внимание ! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986(http://support.microsoft.com/kb/256986/) Описание реестра Microsoft Windows

Проблема

После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 или Windows Server 2003 появляется следующее сообщение об ошибке.

DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31

Если запустить команду REPADMIN /SHOWREPS на контроллере домена в локальном режиме, появляется следующее сообщение об ошибке:

[D:ntprivatedssrcutilrepadminrepinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).

При попытке получить с контроллера домена доступ к сетевому ресурсу (включая ресурсы с именами в формате UNC и подключенные сетевые диски) появляется следующее сообщение об ошибке:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (c000005e = «STATUS_NO_LOGON_SERVERS»)
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки «Active Directory — сайты и службы» и «Active Directory — пользователи и компьютеры», появляется одно из следующих сообщений об ошибках.

Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Клиенты Microsoft Outlook, подключающиеся к серверу Exchange, который использует данный контроллер домена для проверки подлинности, получают запрос на указание учетных данных, даже если проверка подлинности при входе на других контроллерах домена прошла успешно.

Средство Netdiag отображает следующие сообщения об ошибках.

DC list test . . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <servername>.<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <hostname><fqdn>

В журнале системных событий на контроллере домена регистрируется следующая запись.

Тип: Ошибка
Источник: Диспетчер служб
Код (ID): 7023
Описание: Служба «Центр распространения ключей Kerberos» завершена из-за ошибки: Диспетчер защиты (SAM) или локальный сервер (LSA) не смог выполнить требуемую операцию.

Решение

Далее в этой статье расположен список способов устранения таких ошибок. После списка для каждого способа представлен подробный перечень подлежащих выполнению действий. Используйте способы по очереди до полного устранения проблем. В конце статьи приведен перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.

Способ 1. Исправление ошибок в службе доменных имен (DNS)
Способ 2. Синхронизация времени компьютеров
Способ 3. Проверка наличия права Доступ к компьютеру из сети
Способ 4. Проверка значения атрибута userAccountControl на контроллере домена
Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

Способ 1. Исправление ошибок в DNS

1.В командной строке введите netdiag -v . В папке, из которой был произведен запуск, эта команда создает журнал Netdiag.log.
2.Перед тем как перейти к выполнению последующих действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, загрузить средства поддержки Windows 2000 Server можно с веб-узла корпорации Майкрософт по следующему адресу:

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp3.Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS: контроллер домена указывает для разрешения имен DNS на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета

Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт.

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт.

Способ 3. Проверка наличия права «Доступ к компьютеру из сети»

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующим пользователям предоставлено право Доступ к компьютеру из сети на контроллере домена. Для этого выполните следующие действия.

1.Внесите изменения в файл Gpttmpl.inf политики по умолчанию для контроллеров домена. Права пользователей на контроллере домена, как правило, определяются в составе политики по умолчанию для контроллеров домена. Файл Gpttmpl.inf политики по умолчанию для контроллеров домена располагается в следующей папке.

Примечание . Папка Sysvol может находиться в другом месте, однако путь к файлу Gpttmpl.inf остается неизменным.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

C:WINNTSysvolSysvol<имя_домена>Policies<6AC1786C-016F-11D2-945F-00C04fB984F9>MACHINEMicrosoftWindows NTSecEditGptTmpl.inf
2.
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. следующие примеры.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

Примечание . Группы «Администраторы» (S-1-5-32-544), «Прошедшие проверку» (S-1-5-11), «Все» (S-1-1-0) и «Контроллеры домена предприятия» (S-1-5-9) имеют хорошо известные одинаковые для любого домена идентификаторы безопасности.
3.
Удалите все данные справа от записи SeDenyNetworkLogonRight (Отказ в доступе к компьютеру из сети). См. следующий пример.

Примечание . Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.

По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_ произвольная_строка. (Учетная запись Support_ произвольная_строка используется удаленным помощником.) Поскольку учетная запись Support_ произвольная_строка имеет в каждом домене уникальный идентификатор безопасности (SID), ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте идентификатор SID в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (его можно будет скопировать обратно после устранения проблемы).

Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если выполнение описанных выше действий не приводит к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для политики по умолчанию для контроллеров домена.

Способ 4. Проверка значения атрибута userAccountControl на контроллере домена

1.В меню Пуск выберите пункт Выполнить и введите команду adsiedit.msc .
2.Последовательно разверните узлы Domain NC , DC= имя_домена и OU=Domain Controllers .
3.Щелкните правой кнопкой мыши контроллер домена и выберите команду Properties .
4.На компьютере под управлением Windows Server 2003 установите на вкладке Attribute Editor флажки Show mandatory attributes и Show optional attributes . На компьютере под управлением Windows 2000 Server выберите значение Both в списке Select which properties to view .
5.На компьютере под управлением Windows Server 2003 выберите в списке Attributes атрибут userAccountControl . На компьютере под управлением Windows 2000 Server выберите атрибут userAccountControl в списке Select a property to view .
6.Если значение атрибута не равно 532480, введите 532480 в поле Edit Attribute , и последовательно нажмите кнопки Set , Apply и OК .
7.Закройте оснастку ADSI Edit.

Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)

Примечание . Этот способ применим только к Windows 2000 Server.
Внимание ! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

1.Откройте редактор реестра.
2.На левой панели разверните узел HKEY_LOCAL_MACHINESECURITY .
3.В меню Безопасность выберите команду Разрешения , чтобы предоставить локальной группе «Администраторы» право полного доступа к кусту SECURITY, а также вложенным в него объектам и контейнерам.
4.Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolPrDmN.
5.На правой панели один раз щелкните параметр <Без имени>: REG_NONE
6.В меню Вид выберите команду Вывод двоичных данных . В разделе Формат выберите вариант 1 байт .
7.В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
8.Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolACDmN.
9.На правой панели два раза щелкните параметр <Без имени>: REG_NONE .
10.В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена).
11.Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

1.Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную».
2.С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:

netdom resetpwd /server: другой контроллер домена /userd:domainadministrator /passwordd: пароль администратора

Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае ожидаемый результат достигнут не был). Для домена Contoso, в котором контроллер домена, где наблюдаются проблемы, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо запустить команду netdom следующего вида:

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector