Наверное задам дебильный вопрос, но уж извините...

при установке 2003ее и поднятии домена создаются две сетевые папки: netlogon и sysvol. Их местонахождение при установке я оставил по умолчанию в папке винды.
Сейчас посмотрел и увидел папку C:\WINDOWS\sysvol, в ней папку C:\WINDOWS\sysvol\sysvol, расшареную как sysvol, еще глубже C:\WINDOWS\sysvol\sysvol\***.LOCAL\scripts, которая расшарена как нетлогон, но есть папка C:\WINDOWS\sysvol\domain, которая по структуре похожа на sysvol (зачем она нужна?, и может это она должна быти расшарена как нетлогон?)
вопрос: а правельно ли расшарены папки и кому какой доступ на них должен быть, чтобы домен работал без ошибок

все совершенно правильно и верно у вас
каталоги одинаковые, тк это физически один и тот же каталог, но имеющий 2 точки подключения с разными названиями.

разрешения система задает автоматически. вашего участия в их дополнительной настройке - не требуется.

Но проблема в том что я задавал разрешения на доступ к диску С, указав применить ко всем вложеным папкам и файлам. :)
Ну была такая необходимость, чтож поделаешь :)

а теперь мне пишет на "члене домена   8-)", в журнале - невозможно получить доступ к каталогу АД, на сервере - аналогично для терминальных сессий

В разрешениях стоят:
пользователи домена - чтение и выполнение
система - полный доступ
администраторы (домена) - полный

внес еще:
сеть, ремоте интерактив логон, нетворк сервис - чтение и выполнение.

может еще надо кого туда вкинуть? и с какими правами?

пользователи домена - чтение и выполнение
система - полный доступ
администраторы (домена) - полный

совершенно верные разрешения..
так и тут говорится: http://support.microsoft.com/default.aspx?scid=kb;en-us;319808

а разрешения на C:\Winnt\Ntds, кстати, какие?

SkyF


разрешения для  ntds:
система- полный на  - все
группа админов -полный на -  все
локал сервис -создание папок и дозапись данных на - этой папки и подпапок
создатель владелец - полный (а на фига?) на - только для подпапок и файлов

Master Bob
так и что, проблема не снялась?

а на другие каталоги системные какие разрешения?
может раз уж ваша "необходимость" так довело контроллер - поставить на %SYSTEMROOT% разрешения ВСЕ-ПД и применить ко всем подкаталогам?
в принципе, если локально не работает на консоли никто , то это не важно..

SkyF

гы, так в том то и прикол, что на консольке сидит такая МАЛЕНЬКАЯ кучка народу, и давать им доступ к серваку, и тем более полный...
недай бог у кого взыграет любопытство как оно работает...

а с 1с, прописав ее в среде на загрузку, если не запрещать доступ к эксплореру он через меню прекрасно грузится (равно как и регедит) причем довольно любопытные права у юзверей :((

а ваабще большое тебе спасибо.

в принципе с локальными станциями пока разобрался но на серваке RSoP.msc выдает следующее:

[hr]
бла бла бла "недостаточно прав или нет доступа к сетевым ресурсам" бла бла бла
[hr]
system.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\system.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwmplayer.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wmplayer.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwuau.adm
Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wuau.adm"
Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет д
[hr]
(захожу по терминалке, под админом)
ДНС работает нормально

для терминальных подключений тоже в журнале постоянно выскакивают сообщения 1030 и 1058


Добавлено:

попробовал через пуск\выполнить\  следующее:

\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\gpt.ini

на станциях в домене - файл открывается
на серваке через терминалку под админом - неверный формат сетевого имени

\\***.LOCAL
на станциях в домене - открывается сервер
на серваке через терминалку под админом - выдает окно запроса перед подключением к server.***.LOCAL (какой пользователь? какой пароль? глюк такой чтоли?)

конечно перебор паролей и пользователей ничего недал :) кроме очередного гемороя на голову

попробовал через пуск\выполнить\  следующее:

\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\gpt.ini

а это к чему вы пробовали? что проверяли? а те adm файлики доступны для клиентов? какие у них разрешения?

и я так понял, что вы подключались по имени домена: те \\domain.local\sysvol... , а если непосредственно имя доменного контроллера указать: \\server\sysvol?

есть подозрение что это может быть ошибка маршрутизации, ведь если подключатся
\\server.домен.LOCAL\-все нормально
а если просто
\\домен.LOCAL\-полный ПЭ

может где-то что-то нетак настроено.
ведь вторая сетевая, которая в инет, подключалась уже после установки и настройки системы

Исправлено: Master Bob, 15:52 14-07-2004

SkyF



1. файлы для клиентов доступны, и теперь политики к ним применяются нормально



2. а если непосредственно имя доменного контроллера указать: \\server\sysvol то и сервак папку находит (запрос пользователя и пароля зашит скорее всего зашит на модеме (adsl, подключение постоянное))



но на серваке политики все равно не применются как к терминальным подключениям так и ваабще (т.е. NT AUTHORITY\SYSTEM),

winlogon.log выдает:

Ошибка 0 при передаче управляющего флага 1 серверу.

RSoP.msc ругается по прежнему, хотя для системы и админа полный доступ и я их могу редактировать (сохранять)

а остальное все нормально



относительно п.1. -политики стали применятся после того как открутил назад

evenlog/prevent local guest group from accessing ...(3 штуки)

а причем здесь это?



по поводу политик по незнанию крутил дефолтовые. скорее всего на выходных попробую открутить все назад и создать новые gpo, а там посмотрим



но SkyF ты не знаешь что это за

Ошибка 0 при передаче управляющего флага 1 серверую.?

и почему если есть доступ к файлам RSoP.msc неможет их открыть?



p.s. еще раз большое спасибо

[hr]

прикол, написал и попробовал щелкать по политикам- после gpupdate SceCli пишет что все ok, но тут же после этого NT AUTHORITY\SYSTEM начинает крыть матом - невозможно бла бла бла






winlogon.log выдает:
Ошибка 0 при передаче управляющего флага 1 серверу.
RSoP.msc ругается по прежнему, хотя для системы и админа полный доступ и я их могу редактировать (сохранять)

не знаю почему ругатеся что он говорит-то хоть?


относительно п.1. -политики стали применятся после того как открутил назад
evenlog/prevent local guest group from accessing ...(3 штуки)
а причем здесь это?
явно никак не причем, а во ттут фигурирует записи гостей - значит что с авторизацией проблемы - нормальные пользователи определяются как гости, странно


\\server.домен.LOCAL\-все нормально
а если просто
\\домен.LOCAL\-полный ПЭ

может где-то что-то нетак настроено.

какие настройки протоколов на сетевых интерфейсах?
что находится в зоне DNS на сервере? у всех клиентах указан этот сервер в качестве первичного сервера DNS?

SkyF
отвечаю по порядку

какие настройки протоколов на сетевых интерфейсах?
протокол тср/ир, адреса статичные, ip сервера 192,168,0,1 ip второй сетевой карты 192.168.1.2 (adsl модема на который глядит 192.168.1.1) поднят dns , dhcp, нетвиос не активировался
что находится в зоне DNS на сервере?
?. Кроме кучи чего-то непонятного??
Зона обратного просмотра отсутствует, а так все как создовалось, по умолчанию.
А ничего что местами мелькает ip второй сетевой - 192.168.1.2 ?
конкретно в

gc._msdcs.***.LOCAL
DomainDnsZones.***.LOCAL
ForestDnsZones.***.LOCAL
TAPI3Directory.***.LOCAL


у всех клиентах указан этот сервер в качестве первичного сервера DNS?
да. у всех юзверей стоит шлюз на сервер (для нета) и предпочитаемый днс тоже на сервер (192.168.0.1)


RSoP.msc ругается по прежнему-но с ним пока сам помучаюсь, есть пару подозрений...

Есть еще такая фича с лицензирование сервера терминалов, скорее всего оно все связано:
http://forum.oszone.net/topic.cgi?forum=3&topic=5248

протокол тср/ир, адреса статичные, ip сервера 192,168,0,1 ip второй сетевой карты 192.168.1.2 (adsl модема на который глядит 192.168.1.1) поднят dns , dhcp, нетвиос не активировался
1я сетевая: IP 192.168.0.1
в настройках DNS пусто (либо 192.168.0.1), шлюз тоже пуст.
2я сетевая: IP 192.168.1.2
ни DNS, ни шлюз ни указан (или шлюз всеже может быть на 1.2?)

да. у всех юзверей стоит шлюз на сервер (для нета) и предпочитаемый днс тоже на сервер (192.168.0.1)
а что все клиенты к домену через 1ю сетевую карту подключаются? через Сеть никто на 2й интерфейс не захидит (я имею в виду терминальных клиентов)? просто тогда у них должен быть и IP 192.168.1.ххх DNS указывать на 192.168.1.2.А ничего что местами мелькает ip второй сетевой - 192.168.1.2 ?

мелькать он должен в прямой зоне рядом с 192.168.0.1 в подзонах же указывается просто ИМЯ А записи вашего сервера. Т.е по этому имени все клиенты, со всех подсетей должны пинговать ваш сервер. (это я опять на внешних клиентов указываю - не знаю есть они у вас или нет)

SkyF

1я сетевая: IP 192.168.0.1
в настройках DNS пусто (либо 192.168.0.1), шлюз тоже пуст.
2я сетевая: IP 192.168.1.2
ни DNS, ни шлюз ни указан (или шлюз всеже может быть на 1.2?)

первая сетевая, которая в локалке -192.168.0.1, днс на ней 192.168.0.1, шлюза нет

вторая сетевая 192.168.1.2, днс только провайдера (первичный)
шлюз на 192.168.1.1 (т.е. она шлюзуется на adsl модем который глядит в нет)

внешних подключений к домену нет, тока внутренняя сеть.
все юзвери (для выхода в нет) и терминальные юзвери подключаются к серваку (192.168.0.1). На вторую сетевую никто не смотрит
[hr]
появилось подозрение что вся хрень с неприменением политик возникла после того как в дефолтовых политиках безопасности ДОМЕНА, А НЕ КОНТРОЛЛЕРА сделал переименование учетки админа (стояли разные машины с руским и инглиш хр-поди запомни кто где :)  ) . причем учетка на серваке не переименовалась, но изменилось имя входа для админа на сервак ?????. сейчас эта политика уже отключена, на локальных станциях более-менее порядок. но сервак... мля...

гость на серваке отключен нафик

и в журнале приложений теперь через каждые 5 минут вохзникают события:
[hr]
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1058
Дата: 20.07.2004
Время: 10:21:22
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={**********},cn=policies,cn=system,DC=*домен*,DC=LOCAL. Этот файл должен находиться в <\\*домен*.LOCAL\sysvol\*домен*.LOCAL\Policies\{**********}\gpt.ini>. (Неверный формат сетевого имени. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
[hr]
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1030
Дата: 20.07.2004
Время: 10:16:21
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVER
Описание:
Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

SkyF, вполне возможно что политики перестали применятса на сервере из-за

проблем с лицензированием - глянь пожалуста
http://forum.oszone.net/topic.cgi?forum=3&topic=5248
из-за отключеной учетки гостя ??почему??
переименование учетки админа (хотя возврат предыдущего имени входа (не через GPO а через ад\полизователи и компы) ничего не дал)

попробуйте протестировать вашу настройку пр ипомощи Microsoft Product Support Reporting Tool ( http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en#filelist )
необходим модуль для AD ( http://download.microsoft.com/download/b/b/1/bb139fcb-4aac-4fe5-a579-30b0bd915706/MPSRPT_DirSvc.EXE )

может найдется решение..
вообще странно что не выдается список политик..
в любом случа, мне кажется, чт ни в 1, ни в 2, ни в 3 дела нет..

SkyF

прогнал я нетдиагом и он выдал:

   Testing DNS
   [WARNING] The DNS entries for this DC are not registered correctly on DNS server 'днс провайдера'. Please wait for 30 minutes for DNS server replication.
   PASS - All the DNS entries for DC are registered on DNS server '192.168.0.1' and other DCs also have some of the names registered.

еще ругалось по поводу NetBT - я его не устанавливал за ненадобностью

MPSRPT_DirSvc.EXE выдала мне тоже что и нетдиаг:
Gathering Network Diagnostics (NETDIAG.EXE)(22.07.2004 10:15:47)...Completed with status = 1 (22.07.2004 10:15:54)

Collecting USERENV Debug Log File(22.07.2004 10:15:56)...Completed with status = 2 (22.07.2004 10:15:56)

Gathering Record Membership of Pre-Windows 2000 Compatible Access Group(22.07.2004 10:15:57)...Completed with status = 2 (22.07.2004 10:15:57)

получается что все упирается в днс

вот таблица маршрутизации
вопрос, а надо ли в ней забивать наш ip(статичный), котрый в нете? (вроде же ненадо)
IPv4 таблица маршрута
===========================================================================
Список интерфейсов
***
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
         0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     20
       127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
     192.168.0.0    255.255.255.0      192.168.0.1      192.168.0.1     20
     192.168.0.1  255.255.255.255        127.0.0.1        127.0.0.1     20
   192.168.0.255  255.255.255.255      192.168.0.1      192.168.0.1     20
     192.168.1.0    255.255.255.0      192.168.1.2      192.168.1.2     20
     192.168.1.2  255.255.255.255        127.0.0.1        127.0.0.1     20
   192.168.1.255  255.255.255.255      192.168.1.2      192.168.1.2     20
       224.0.0.0        240.0.0.0      192.168.0.1      192.168.0.1     20
       224.0.0.0        240.0.0.0      192.168.1.2      192.168.1.2     20
 255.255.255.255  255.255.255.255      192.168.0.1      192.168.0.1      1
 255.255.255.255  255.255.255.255      192.168.1.2      192.168.1.2      1
Основной шлюз:         192.168.1.1
===========================================================================
Постоянные маршруты:
 Отсутствует

настройка на сетевых карточках:
Настройка протокола IP для Windows
  Имя компьютера  . . . . . . . . . : server
  Основной DNS-суффикс  . . . . . . :*домен*.LOCAL
  Тип узла. . . . . . . . . . . . . : неизвестный
  IP-маршрутизация включена . . . . : нет
  WINS-прокси включен . . . . . . . : нет
  Порядок просмотра суффиксов DNS . : *домен*.LOCAL

internet - Ethernet адаптер:
  DNS-суффикс этого подключения . . :
  Описание  . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
  Физический адрес. . . . . . . . . : ---------------------
  DHCP включен. . . . . . . . . . . : нет
  IP-адрес  . . . . . . . . . . . . : 192.168.1.2
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз . . . . . . . . . . : 192.168.1.1
  DNS-серверы . . . . . . . . . . . : днс провайдера
  NetBIOS через TCP/IP. . . . . . . : отключен

Подключение по локальной сети - Ethernet адаптер:
  DNS-суффикс этого подключения . . :
  Описание  . . . . . . . . . . . . : 3Com Gigabit LOM (3C940)
  Физический адрес. . . . . . . . . : ---------------------
  DHCP включен. . . . . . . . . . . : нет
  IP-адрес  . . . . . . . . . . . . : 192.168.0.1
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз . . . . . . . . . . :
  DNS-серверы . . . . . . . . . . . : 192.168.0.1

по моему слабому пониманию получается что днс сервер работает нормально по отношению к юзверькам, но на сервере при попытке подключения к
\\домен.LOCAL\ переадресация идет через прова и не пускает в домен, а выполнив
\\server.домен.LOCAL\ запрос переадресуется на localhost и проходит нормально


подскажи чего исправить, настроить (кроме ryki.sys :)

попробуем на сетевой internet - Ethernet адаптер:
1.) убрать совсем DNS провайдера!
настроить переадресацию на этот IP в свойствах сервера DNS (локального).
2.) в окошке  Сетевые подключения - далее на панелке где меню - выбираем дополнительно и далее Дополнительные параметры - смотрим порядок использования сетевых карточек - ставим нашу локальную карту - в списке ВЫШЕ чем интернетную.

пока все.

SkyF

по пункту 2 все ясно, но по 1- днс то я уберу, а что делать дальше?

попробуем на сетевой internet - Ethernet адаптер:
1.) убрать совсем DNS провайдера!
настроить переадресацию на этот IP в свойствах сервера DNS (локального).
если не трудно распиши где там? и как? и что?

а прикола насчет 2 пункта я узнал впервые :)

[hr]
АААААААААААААААААААААА!!!!!!!!!!!!!!!!!
Политика безопасности в объектах групповой политики успешно применена.
уже прошло целых 27 минут и все в порядке!!!!!!!!!!!!!
(раньше через каждые 5 минут 1030+1058 вылетали)
АААААААААААААААААААААА!!!!!!!!!!!!!!!!
делаю
\\server.домен.LOCAL\ - все открывается
\\домен.LOCAL\ - ТОЖЕ ВСЕ ОТКРЫВАЕТСЯ - теперь папки сервака открываются и нет запроса на пороля
АААААААААААААААААААААА!!!!!!!!!!!!!!!!

а все го то лишь поставил локальную сетевую первой!!!!
знать бы раньше!!!!!!!!!!!!!

теперь остается только ждать, ждать, ждать, ждать...............
нужно проверить как к терминальным пользователям применяются политики, и не исчезла ли проблема с лицензированием сервера терминалов (когда он произвольно отрубается)........................

целых 38 минут и все в порядке!!!!!!!!!!!!!

SkyF, если не затруднит чиркани все таки относительно п.1
что и где настраивается или кинь ссылочкой (чтоб просто зтать)

целых 38 минут и все в порядке!!!!!!!!!!!!!

нетдиаг выдает:

DNS test . . . . . . . . . . . . . : Passed
         [WARNING] Cannot find a primary authoritative DNS server for the name
           'server.*домен*.LOCAL.'. [RCODE_SERVER_FAILURE]
           The name 'server.*домен*.LOCAL.' may not be registered in DNS.
   PASS - All the DNS entries for DC are registered on DNS server 'днс провайдера '
and other DCs also have some of the names registered.
   [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver 'днс провайдера '. Please wait for 30 minutes for DNS server replication.

??????????????????

целых 56 минут и все в порядке!!!!!!!!!!!!!

п.1 убрать DNS провайдера из свойств локальных сетевых карт.

те теперь все запросы на DNS будут идти через ваш сервер.
поэтому необходимо вашу службу DNS настроить на разрешение имен через внешние серверы (пересылка).
для этого через Администрирование\DNS заходим в оснастку и щелкаем на имени вашего сервера. Далее свойства - и закладка - пересылка - указываем IP DNS сервера провайдера.
тестируем при помощи команды nslookup разрешение на консоли сервера внешних имен и локальных.

SkyF

а там создать или добавить днс в список ip-адресов серверов ?

при помощи команды nslookup разрешение на консоли сервера внешних имен и локальных
?
??
ну ваще ничего не понял

на серваке в принципе стоит wingate и зверьки через него, через нат-в нет
? а не получится ли что после добавления туда днса прова все полезут в обход winгада?

Цитата:
DNS test . . . . . . . . . . . . . : Passed
        [WARNING] Cannot find a primary authoritative DNS server for the name
          'server.*домен*.LOCAL.'. [RCODE_SERVER_FAILURE]
          The name 'server.*домен*.LOCAL.' may not be registered in DNS.
  PASS - All the DNS entries for DC are registered on DNS server 'днс провайдера '
and other DCs also have some of the names registered.
  [WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver 'днс провайдера '. Please wait for 30 minutes for DNS server replication.

и как эту фигню побороть? или добавления туда днса заставит нетдиаг заткнуться? или забить?

кстате, будешь в минске (белорусь, если не занешь :)  ) то пиво с меня

а там создать или добавить днс в список ip-адресов серверов ?
а там это где?

просто в свойствах вашего DNS сервера - есть закладка перенаправление - нужно активизировать перенаправление установив галочку ( это будет доступно, если у вас удалена зопа "." в списке зон прямого просмотра). когда пересылку разрешили - то в список IP адресов добавляем IP DNS провайдера.

делее тестируем:
из командной строки вводим nslookup [Enter] и потом любые DNS имена, которые должны быть преобразованы в IP - например www.ru (внешний адрес ) или *домен*.LOCAL (лоакльные адреса ваших КД для локального домена) или comp1.*домен*.LOCAL (просто локальный адрес).
все эти имена должны быть преобразованы в адреса.

наличие wingate на это не влияет ( в принципе, наверно у него тоже есть такая настройка - внешние IP DNSсерверов, я не работал с ним, не знаю точно - но это можно не настраивать).


         The name 'server.*домен*.LOCAL.' may not be registered in DNS.
 [WARNING] The DNS entries for this DC are not registered correctly on DNS server 'днс провайдера '.
это как раз потому, что раз указано на внешней сетевой карте IP адрес DNS провайдера - то служба NETLOGON и пытается подключиться к нему и записать записи в него о своем домене.. естественно, это сделать нельзя. убираем все внешние IP DNS и оставляем только пустые значения в этих полях настройки TCP на картах (что равносильно 127.0.0.1 - адресу локалхоста)


=)) В белорусии был в июне - где-то километрах в 200 от витебска на С-З (там еще много озер), названия селений не помню.