Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] вход пользователей при отсутствии связи с головным доменом??? (http://forum.oszone.net/showthread.php?t=164756)

petru440 26-01-2010 17:48 1330518
вход пользователей при отсутствии связи с головным доменом???
 
Подскажите, как решить такую задачу: есть головной домен и дочерний, подключенный через VPN. при отсутствии связи с головным, пользователи дочернего не могут зайти в свои учетки. Как это можно исправить?

Telepuzik 26-01-2010 17:57 1330528
В дочернем есть контроллер домена ?

El Scorpio 27-01-2010 03:09 1330956
Цитата:
Цитата petru440
пользователи дочернего не могут зайти в свои учетки. Как это можно исправить? »
Разрешить кеширование паролей.
Правда,*в этом случае при отсутствии связи пользователи смогут войти только на свои компьютеры, а сетевые ресурсы соседних будут недоступны.

Для полноценной работы сети нужно поднимать в локальной сети дополнительный контроллер домена.

Delirium 27-01-2010 03:44 1330974
несколько вариантов:
1. Поставить дочерний КД с установкой роли Глобальный каталог.
2. Поставить ОТДЕЛЬНЫЙ контроллер и настроить доверительные отношения между доменами.
3. Вариант El Scorpio про кеширование паролей.

petru440 27-01-2010 11:09 1331176
У меня 2 контроллера домена, между ними родительско-дочерние отношения (это про доверия);
На счёт сервера глобального каталога, не помню как ставил... а где это можно посмотреть?

Ivan Bardeen 27-01-2010 11:12 1331179
Цитата:
Цитата petru440
не помню как ставил... а где это можно посмотреть »
На КД дочернего домена покажите вывод команды
repadmin /options

petru440 27-01-2010 11:26 1331195
на дочернем:

repadmin running command /options against server localhost
Current DC Options: (none)

на головном:

repadmin running command /options against server localhost
Current DC Options: IS_GC

понимаю, что дочерний не является сервером глобального каталога. А как это можно исправить?

Telepuzik 27-01-2010 11:35 1331203
Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог".

petru440 27-01-2010 15:45 1331449
Всем спасибо, наверное помогло (проверять не буду :) )

Dimas_83 27-01-2010 21:29 1331701
Вообще-то глобальный каталог не нужен для аутентификации юзера.

Цитата:
Цитата Telepuzik
Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог". »
Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах".

Цитата:
Windows Server 2003 поддерживает новую функцию кэширования универсального группового членства, которая дает возможность входить в сеть Windows Server 2003 без контакта с GC-каталогом. Универсальное групповое членство кэшируется на контроллерах домена, не являющихся контроллерами GC, если эта опция разрешена, а пользователь впервые пытается войти в систему. Как только эта информация попадает в GC-каталог, она кэшируется на неограниченное время на контроллере домена сайта и периодически обновляется (по умолчанию каждые 8 часов). Включение этой функции приводит к ускорению входа в систему пользователей с удаленных сайтов, так как для аутентификации контроллеру домена не требуется обращения к GC-каталогу.

Ivan Bardeen 27-01-2010 23:29 1331807
Цитата:
Цитата Dimas_83
Вообще-то глобальный каталог не нужен для аутентификации юзера »
Добавлю - одного юзера, а именно встроенной УЗ administrator, да - он может аутентифицироваться и без ГК.
Для все остальных ГК для аутентификации обязателен.
Кэширование членства в UG - это "костыли" для медленных и ненадежных каналов связи, когда объем ГК может занимать многие гигабайты (но это очень большой лес с кучей доменов и объектов)
Кэширование не поможет, когда связи с ГК нет и пользователь впервые входит в систему на сайте, где нет ГК

petru440 28-01-2010 13:29 1332291
Цитата:
Цитата Dimas_83
Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах". »
"Чтобы кэшировать членство в универсальных группах"

Active Directory - сайты и службы/сайты/сайт, для которого нужно разрешить кэширование членства в универсальных группах
В области сведений щелкните правой кнопкой раздел Параметры сайта NTDS и выберите команду Свойства.
Установите флажок Включить кэширование членства в универсальных группах.
В разделе Обновлять кэш из щелкните сайт, с которого будет обновляться кэш данного сайта, или примите значение <По умолчанию>, чтобы обновлять кэш с ближайшего сайта, на котором имеется глобальный каталог."

Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах?

Ivan Bardeen 28-01-2010 14:23 1332359
Цитата:
Цитата petru440
Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах? »
Вы уже как я понял, на КД дочернего домена установили ГК. Таким образом кэширование членства в UG вам не нужно


Время: 11:07.

Время: 11:07.
© OSzone.net 2001-