Показать полную графическую версию : [решено] вход пользователей при отсутствии связи с головным доменом???
petru440
26-01-2010, 17:48
Подскажите, как решить такую задачу: есть головной домен и дочерний, подключенный через VPN. при отсутствии связи с головным, пользователи дочернего не могут зайти в свои учетки. Как это можно исправить?
Telepuzik
26-01-2010, 17:57
В дочернем есть контроллер домена ?
El Scorpio
27-01-2010, 03:09
пользователи дочернего не могут зайти в свои учетки. Как это можно исправить? »
Разрешить кеширование паролей.
Правда,*в этом случае при отсутствии связи пользователи смогут войти только на свои компьютеры, а сетевые ресурсы соседних будут недоступны.
Для полноценной работы сети нужно поднимать в локальной сети дополнительный контроллер домена.
Delirium
27-01-2010, 03:44
несколько вариантов:
1. Поставить дочерний КД с установкой роли Глобальный каталог.
2. Поставить ОТДЕЛЬНЫЙ контроллер и настроить доверительные отношения между доменами.
3. Вариант El Scorpio про кеширование паролей.
petru440
27-01-2010, 11:09
У меня 2 контроллера домена, между ними родительско-дочерние отношения (это про доверия);
На счёт сервера глобального каталога, не помню как ставил... а где это можно посмотреть?
Ivan Bardeen
27-01-2010, 11:12
не помню как ставил... а где это можно посмотреть »
На КД дочернего домена покажите вывод команды
repadmin /options
petru440
27-01-2010, 11:26
на дочернем:
repadmin running command /options against server localhost
Current DC Options: (none)
на головном:
repadmin running command /options against server localhost
Current DC Options: IS_GC
понимаю, что дочерний не является сервером глобального каталога. А как это можно исправить?
Telepuzik
27-01-2010, 11:35
Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог".
petru440
27-01-2010, 15:45
Всем спасибо, наверное помогло (проверять не буду :) )
Dimas_83
27-01-2010, 21:29
Вообще-то глобальный каталог не нужен для аутентификации юзера.
Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог". »
Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах".
Windows Server 2003 поддерживает новую функцию кэширования универсального группового членства, которая дает возможность входить в сеть Windows Server 2003 без контакта с GC-каталогом. Универсальное групповое членство кэшируется на контроллерах домена, не являющихся контроллерами GC, если эта опция разрешена, а пользователь впервые пытается войти в систему. Как только эта информация попадает в GC-каталог, она кэшируется на неограниченное время на контроллере домена сайта и периодически обновляется (по умолчанию каждые 8 часов). Включение этой функции приводит к ускорению входа в систему пользователей с удаленных сайтов, так как для аутентификации контроллеру домена не требуется обращения к GC-каталогу.
Ivan Bardeen
27-01-2010, 23:29
Вообще-то глобальный каталог не нужен для аутентификации юзера »
Добавлю - одного юзера, а именно встроенной УЗ administrator, да - он может аутентифицироваться и без ГК.
Для все остальных ГК для аутентификации обязателен.
Кэширование членства в UG - это "костыли" для медленных и ненадежных каналов связи, когда объем ГК может занимать многие гигабайты (но это очень большой лес с кучей доменов и объектов)
Кэширование не поможет, когда связи с ГК нет и пользователь впервые входит в систему на сайте, где нет ГК
petru440
28-01-2010, 13:29
Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах". »
"Чтобы кэшировать членство в универсальных группах"
Active Directory - сайты и службы/сайты/сайт, для которого нужно разрешить кэширование членства в универсальных группах
В области сведений щелкните правой кнопкой раздел Параметры сайта NTDS и выберите команду Свойства.
Установите флажок Включить кэширование членства в универсальных группах.
В разделе Обновлять кэш из щелкните сайт, с которого будет обновляться кэш данного сайта, или примите значение <По умолчанию>, чтобы обновлять кэш с ближайшего сайта, на котором имеется глобальный каталог."
Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах?
Ivan Bardeen
28-01-2010, 14:23
Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах? »
Вы уже как я понял, на КД дочернего домена установили ГК. Таким образом кэширование членства в UG вам не нужно
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.