Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Требуется помощь в передаче роли основного КД (http://forum.oszone.net/showthread.php?t=157123)

CyberDYne 15-11-2009 11:17 1270715
Требуется помощь в передаче роли основного КД
 
История такая:

было 3 контроллера домена: 1 основной (имя server ip 192.168.0.3) + (server2 - 192.168.0.2 и server3 - 192.168.0.5)2 резервных.

На основном КД также была расшаренная папка файло-обмена для всех пользователей, которую предварительно я зархивировал. Также имеется полный образ основного КД (развернуть на основном КД заново не удалось).

В итоге основной КД пал смертью храбрых и больше не существует.

Согласно инфе и мануалам решил сделать server2 основным КД при помощи команды ntdsutil. Но при подготовке в какой-то момент потребовалась перезагрузка и сейчас зайти в обычном режиме на него не получается - идёт очень долгая "подготовка сетевых подключений", а затем когда ввожу имя администратора домена и пароль идёт также долгое "применение личных параметров" и затем вылет в "синий экран смерти". Зашёл в сейф-моде и в журнале событий обнаружил несколько ошибок.

Я так понимаю основная моя ошибка была в том, что сначала нужно было передать роли основного КД резервному server2 и только потом уже чего-то начинать делать. Сейчас я так понимаю всё функционирует благодаря server3, но общие ресурсы пока расшарить не получается. Я так понимаю нужно корректно передать роли на оставшийся КД. Только как это сделать при отсутствие основного КД? Все как правило ссылаются на ntdsutil, но непонятно какие именно команды нужно выпонять.

Ivan Bardeen 15-11-2009 11:39 1270730
Цитата:
Цитата CyberDYne
Только как это сделать при отсутствие основного КД? »
http://support.microsoft.com/kb/255504
там же ссылка "Удаление данных из Active Directory после неудачного понижения роли контроллера домена"
http://support.microsoft.com/kb/216498/

CyberDYne 15-11-2009 12:35 1270770
http://support.microsoft.com/kb/255504

вообщем-то всё понятно, кроме того, что какую именно всё-таки команду использовать для получения или для передачи роли? Т.е. команда transfer или seize?

Ivan Bardeen 15-11-2009 12:37 1270773
seize - так как предыдущего держателя роли больше нет

CyberDYne 15-11-2009 14:36 1270853
не получается
пишет "нет связи с текущем владельцем fsmo"

Также пишет о 5 известных ролях и перечисляет их.

Ivan Bardeen 15-11-2009 14:44 1270857
Цитата:
Цитата CyberDYne
не получается
пишет "нет связи с текущем владельцем fsmo" »
повторюсь - делайте seize, а не transfer

CyberDYne 15-11-2009 15:00 1270882
Делаю seize - выходит сначала то что я описал выше, а если сделать 2-ой раз, то вроде как передача роли проходит успешно и в инфе о 5ти ролях вроде видно, что хозяин тот контроллер, который нужно.

Так-с, хорошо, а что дальше? Вроде как роли он подхватил...

Ivan Bardeen 15-11-2009 15:08 1270889
http://support.microsoft.com/kb/216498/
Удаляете данные о КД который "пал смертью храбрых"

CyberDYne 15-11-2009 15:24 1270903
Чё-то всё-таки не так пошло... в ДНСе нового контроллера не вижу зон прямого и обратного просмотра... такое чувство что не вс ещё до конца проделал...

CyberDYne 15-11-2009 19:45 1271137
Всё вроде заработало - кое что маленько перемудрили, но сделали потом всё по-новой и вроде как новый основной КД поднят. ДНС и всё остальное также реплицировалось и вроде всё функционирует.

Теперь такой вопрос - на старом основном КД была расшаренная папка и каждому новому пользователю она автоматически подключалась. Теперь эта папка недоступна и у меня у пользователей постоянно висит сообщение об автономной работе и невозможностью соединиться с server (тот который умерший КД). Теперь вопрос каким образом наиболее эффективно будет реанимировать и эту функцию на новой основном КД (или даже дополнительном резервном)? Полазив в групповых политиках ничего там толком не нашёл. Может быть есть возможность как-то переназначить эту папку для файлообмена через новый основной КД или же придётся ручками везде ходить исправлять сетевой ресурс? И как быть с этой синхронизацией?

ЗЫ Большое спасибо за помощь, кстати говоря! :-)

Michael 15-11-2009 23:44 1271321
CyberDYne,
Цитата:
Цитата CyberDYne
на старом основном КД была расшаренная папка и каждому новому пользователю она автоматически подключалась »
2008 R2 - Сетевой диск и Групповая политика
CyberDYne, Скайнет бодяжишь? ;)

CyberDYne 16-11-2009 09:40 1271548
Цитата:
2008 R2 - Сетевой диск и Групповая политика
Спасибо! Я так понимаю для 2003R2 также справедливо?

Цитата:
CyberDYne, Скайнет бодяжишь?
скайнет рулит! :-)

CyberDYne 16-11-2009 13:17 1271696
Ещё один немаловажный вопрос, если можно...

Сейчас занимаюсь раздачей прав на общий сетевой ресурс. Вообщем-то это одна папка, расположенная на резервном КД. Общий ресурс я сделал. Внутри этого ресурса есть папки, где каждому пользователю определяются полномочия в соответствие с группой этого пользователя и его должностью. Так вот как сделать так, чтобы сам сетевой ресурс они видели и заходили в него, а вот в подпапки уже должны быть ограничения. И вот тут мне не очень понятно - если группа "пользователи домена", к которой относятся все пользователи без исключения назначить корневой ресурс на общий доступ с определёнными правами, то эти права наследуются на подпапки и ограничить на некоторые подпапки доступ уже не получается. Может есть что-то и по этому вопросу?

Ivan Bardeen 16-11-2009 15:12 1271709
Отключить наследование на подпапках. Или поправить DACL на корневом ресурсе, чтобы ACE действовали только на объекты внутри папки, а не на подпапки и файлы
PS: ACE - access control entry - для тех кто не в курсе

monkkey 17-11-2009 09:42 1272336
CyberDYne,
В свойствах безопасности - дополнительно - вышестоящей папки уберите галку "Заменять разрешения..." (по умолчанию галка стоит), либо в низлежащих папках снимайте галку "Наследовать разрешения"

CyberDYne 17-11-2009 11:46 1272459
Нашёл я способ правильно распределить права. Наследование отключать нельзя, потому что тогда почему-то не могут люди видеть папки, даже если их в подпапки явно прописать (или их группу). Решение было простое - сделать наследование прав на корневую папку всем пользователям (группа "общая" допустим), а доступ только на чтение (одна галка всего) и по мере необходимости в дальнейшем в подпапки просто добавлять нужные права и нужные группы пользователей.

Ещё раз спасибо всем за советы!

У меня образовался ещё один вопрос:

У некоторых пользователей папки "Мои документы" находились в сети в той самой расшаренной папке. И, по умолчанию, когда пользователь грузился, происходила синхронизация. Сейчас путь к этим папкам поменялся (т.к. поменялось имя сервера файлообмена) - так вот теперь вопрос - где именно надо прописать правильный путь конечным пользователям, т.к. если его не прописать, то идут очень сильные тормоза (навернгое из-за обращений к несуществующей папке). Или это нужно делать на сервере?

Просто заметил такую вещь - если просто тупо открыть проводник и правом кликом вызвать свойства "моих документов", то там явно прописывается путь к этой папке и его, при желании, можно поменять. Но вот у тех пользователей, что "мои документы" были на сети этот путь "серый" и его поменять на правильный не получается. Так где это можно всё-таки сделать?

CyberDYne 17-11-2009 12:24 1272494
Всё нашёл как! )))) Вопрос исчерпан....

monkkey 17-11-2009 16:06 1272661
Если она автоматически подключалась через net use, поместите скрипт на логон пользователя в Групповой политике типа
net use k: /delete
net use k: \\server_new\share

Цитата:
Цитата CyberDYne
Всё нашёл как! )))) Вопрос исчерпан.... »
Если не сложно - приведите решение.


Время: 07:23.

Время: 07:23.
© OSzone.net 2001-