![]() |
[решено] AD, sysvol, netlogon - невозможно применить политику
Наверное задам дебильный вопрос, но уж извините...
при установке 2003ее и поднятии домена создаются две сетевые папки: netlogon и sysvol. Их местонахождение при установке я оставил по умолчанию в папке винды. Сейчас посмотрел и увидел папку C:\WINDOWS\sysvol, в ней папку C:\WINDOWS\sysvol\sysvol, расшареную как sysvol, еще глубже C:\WINDOWS\sysvol\sysvol\***.LOCAL\scripts, которая расшарена как нетлогон, но есть папка C:\WINDOWS\sysvol\domain, которая по структуре похожа на sysvol (зачем она нужна?, и может это она должна быти расшарена как нетлогон?) вопрос: а правельно ли расшарены папки и кому какой доступ на них должен быть, чтобы домен работал без ошибок |
AD, sysvol, netlogon
все совершенно правильно и верно у вас
каталоги одинаковые, тк это физически один и тот же каталог, но имеющий 2 точки подключения с разными названиями. разрешения система задает автоматически. вашего участия в их дополнительной настройке - не требуется. |
AD, sysvol, netlogon
Но проблема в том что я задавал разрешения на доступ к диску С, указав применить ко всем вложеным папкам и файлам. :)
Ну была такая необходимость, чтож поделаешь :) а теперь мне пишет на "члене домена 8-)", в журнале - невозможно получить доступ к каталогу АД, на сервере - аналогично для терминальных сессий В разрешениях стоят: пользователи домена - чтение и выполнение система - полный доступ администраторы (домена) - полный внес еще: сеть, ремоте интерактив логон, нетворк сервис - чтение и выполнение. может еще надо кого туда вкинуть? и с какими правами? |
AD, sysvol, netlogon
Цитата:
так и тут говорится: http://support.microsoft.com/default...b;en-us;319808 а разрешения на C:\Winnt\Ntds, кстати, какие? |
AD, sysvol, netlogon
SkyF
разрешения для ntds: система- полный на - все группа админов -полный на - все локал сервис -создание папок и дозапись данных на - этой папки и подпапок создатель владелец - полный (а на фига?) на - только для подпапок и файлов |
AD, sysvol, netlogon
Master Bob
так и что, проблема не снялась? а на другие каталоги системные какие разрешения? может раз уж ваша "необходимость" так довело контроллер - поставить на %SYSTEMROOT% разрешения ВСЕ-ПД и применить ко всем подкаталогам? в принципе, если локально не работает на консоли никто , то это не важно.. |
AD, sysvol, netlogon
SkyF
гы, так в том то и прикол, что на консольке сидит такая МАЛЕНЬКАЯ кучка народу, и давать им доступ к серваку, и тем более полный... недай бог у кого взыграет любопытство как оно работает... а с 1с, прописав ее в среде на загрузку, если не запрещать доступ к эксплореру он через меню прекрасно грузится (равно как и регедит) причем довольно любопытные права у юзверей :(( а ваабще большое тебе спасибо. в принципе с локальными станциями пока разобрался но на серваке RSoP.msc выдает следующее: бла бла бла "недостаточно прав или нет доступа к сетевым ресурсам" бла бла бла system.adm Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\system.adm" Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwmplayer.adm Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wmplayer.adm" Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет дwuau.adm Размещение - "\\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\Adm\wuau.adm" Ошибка - Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет д (захожу по терминалке, под админом) ДНС работает нормально для терминальных подключений тоже в журнале постоянно выскакивают сообщения 1030 и 1058 Добавлено: попробовал через пуск\выполнить\ следующее: \\***.LOCAL\sysvol\***.LOCAL\Policies\{***}\gpt.ini на станциях в домене - файл открывается на серваке через терминалку под админом - неверный формат сетевого имени \\***.LOCAL на станциях в домене - открывается сервер на серваке через терминалку под админом - выдает окно запроса перед подключением к server.***.LOCAL (какой пользователь? какой пароль? глюк такой чтоли?) конечно перебор паролей и пользователей ничего недал :) кроме очередного гемороя на голову |
AD, sysvol, netlogon
Цитата:
и я так понял, что вы подключались по имени домена: те \\domain.local\sysvol... , а если непосредственно имя доменного контроллера указать: \\server\sysvol? |
AD, sysvol, netlogon
есть подозрение что это может быть ошибка маршрутизации, ведь если подключатся
\\server.домен.LOCAL\-все нормально а если просто \\домен.LOCAL\-полный ПЭ может где-то что-то нетак настроено. ведь вторая сетевая, которая в инет, подключалась уже после установки и настройки системы [s]Исправлено: Master Bob, 15:52 14-07-2004[/s] |
AD, sysvol, netlogon
Цитата:
Цитата:
Цитата:
Цитата:
что находится в зоне DNS на сервере? у всех клиентах указан этот сервер в качестве первичного сервера DNS? |
AD, sysvol, netlogon
SkyF
отвечаю по порядку Цитата:
Цитата:
Зона обратного просмотра отсутствует, а так все как создовалось, по умолчанию. А ничего что местами мелькает ip второй сетевой - 192.168.1.2 ? конкретно в
Цитата:
Цитата:
Есть еще такая фича с лицензирование сервера терминалов, скорее всего оно все связано: http://forum.oszone.net/topic.cgi?fo...amp;topic=5248 |
AD, sysvol, netlogon
Цитата:
в настройках DNS пусто (либо 192.168.0.1), шлюз тоже пуст. 2я сетевая: IP 192.168.1.2 ни DNS, ни шлюз ни указан (или шлюз всеже может быть на 1.2?) Цитата:
Цитата:
|
AD, sysvol, netlogon
SkyF
Цитата:
вторая сетевая 192.168.1.2, днс только провайдера (первичный) шлюз на 192.168.1.1 (т.е. она шлюзуется на adsl модем который глядит в нет) внешних подключений к домену нет, тока внутренняя сеть. все юзвери (для выхода в нет) и терминальные юзвери подключаются к серваку (192.168.0.1). На вторую сетевую никто не смотрит появилось подозрение что вся хрень с неприменением политик возникла после того как в дефолтовых политиках безопасности ДОМЕНА, А НЕ КОНТРОЛЛЕРА сделал переименование учетки админа (стояли разные машины с руским и инглиш хр-поди запомни кто где :) ) . причем учетка на серваке не переименовалась, но изменилось имя входа для админа на сервак ?????. сейчас эта политика уже отключена, на локальных станциях более-менее порядок. но сервак... мля... гость на серваке отключен нафик и в журнале приложений теперь через каждые 5 минут вохзникают события: Тип события: Ошибка Источник события: Userenv Категория события: Отсутствует Код события: 1058 Дата: 20.07.2004 Время: 10:21:22 Пользователь: NT AUTHORITY\SYSTEM Компьютер: SERVER Описание: Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики cn={**********},cn=policies,cn=system,DC=*домен*,DC=LOCAL. Этот файл должен находиться в <\\*домен*.LOCAL\sysvol\*домен*.LOCAL\Policies\{**********}\gpt.ini>. (Неверный формат сетевого имени. ). Обработка групповой политики прекращена. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". Тип события: Ошибка Источник события: Userenv Категория события: Отсутствует Код события: 1030 Дата: 20.07.2004 Время: 10:16:21 Пользователь: NT AUTHORITY\SYSTEM Компьютер: SERVER Описание: Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя. Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". SkyF, вполне возможно что политики перестали применятса на сервере из-за
|
AD, sysvol, netlogon
попробуйте протестировать вашу настройку пр ипомощи Microsoft Product Support Reporting Tool ( http://www.microsoft.com/downloads/d...ng=en#filelist )
необходим модуль для AD ( http://download.microsoft.com/downlo...RPT_DirSvc.EXE ) может найдется решение.. вообще странно что не выдается список политик.. в любом случа, мне кажется, чт ни в 1, ни в 2, ни в 3 дела нет.. |
AD, sysvol, netlogon
SkyF
прогнал я нетдиагом и он выдал: Цитата:
MPSRPT_DirSvc.EXE выдала мне тоже что и нетдиаг: Цитата:
вот таблица маршрутизации вопрос, а надо ли в ней забивать наш ip(статичный), котрый в нете? (вроде же ненадо) Цитата:
Цитата:
\\домен.LOCAL\ переадресация идет через прова и не пускает в домен, а выполнив \\server.домен.LOCAL\ запрос переадресуется на localhost и проходит нормально подскажи чего исправить, настроить (кроме ryki.sys :) |
AD, sysvol, netlogon
попробуем на сетевой internet - Ethernet адаптер:
1.) убрать совсем DNS провайдера! настроить переадресацию на этот IP в свойствах сервера DNS (локального). 2.) в окошке Сетевые подключения - далее на панелке где меню - выбираем дополнительно и далее Дополнительные параметры - смотрим порядок использования сетевых карточек - ставим нашу локальную карту - в списке ВЫШЕ чем интернетную. пока все. |
AD, sysvol, netlogon
SkyF
по пункту 2 все ясно, но по 1- днс то я уберу, а что делать дальше? Цитата:
а прикола насчет 2 пункта я узнал впервые :) АААААААААААААААААААААА!!!!!!!!!!!!!!!!! Цитата:
(раньше через каждые 5 минут 1030+1058 вылетали) АААААААААААААААААААААА!!!!!!!!!!!!!!!! делаю \\server.домен.LOCAL\ - все открывается \\домен.LOCAL\ - ТОЖЕ ВСЕ ОТКРЫВАЕТСЯ - теперь папки сервака открываются и нет запроса на пороля АААААААААААААААААААААА!!!!!!!!!!!!!!!! а все го то лишь поставил локальную сетевую первой!!!! знать бы раньше!!!!!!!!!!!!! теперь остается только ждать, ждать, ждать, ждать............... нужно проверить как к терминальным пользователям применяются политики, и не исчезла ли проблема с лицензированием сервера терминалов (когда он произвольно отрубается)........................ целых 38 минут и все в порядке!!!!!!!!!!!!! SkyF, если не затруднит чиркани все таки относительно п.1 что и где настраивается или кинь ссылочкой (чтоб просто зтать) целых 38 минут и все в порядке!!!!!!!!!!!!! нетдиаг выдает: Цитата:
целых 56 минут и все в порядке!!!!!!!!!!!!! |
AD, sysvol, netlogon
п.1 убрать DNS провайдера из свойств локальных сетевых карт.
те теперь все запросы на DNS будут идти через ваш сервер. поэтому необходимо вашу службу DNS настроить на разрешение имен через внешние серверы (пересылка). для этого через Администрирование\DNS заходим в оснастку и щелкаем на имени вашего сервера. Далее свойства - и закладка - пересылка - указываем IP DNS сервера провайдера. тестируем при помощи команды nslookup разрешение на консоли сервера внешних имен и локальных. |
AD, sysvol, netlogon
SkyF
а там создать или добавить днс в список ip-адресов серверов ? Цитата:
?? ну ваще ничего не понял на серваке в принципе стоит wingate и зверьки через него, через нат-в нет ? а не получится ли что после добавления туда днса прова все полезут в обход winгада? Цитата:
кстате, будешь в минске (белорусь, если не занешь :) ) то пиво с меня |
AD, sysvol, netlogon
Цитата:
просто в свойствах вашего DNS сервера - есть закладка перенаправление - нужно активизировать перенаправление установив галочку ( это будет доступно, если у вас удалена зопа "." в списке зон прямого просмотра). когда пересылку разрешили - то в список IP адресов добавляем IP DNS провайдера. делее тестируем: из командной строки вводим nslookup [Enter] и потом любые DNS имена, которые должны быть преобразованы в IP - например www.ru (внешний адрес ) или *домен*.LOCAL (лоакльные адреса ваших КД для локального домена) или comp1.*домен*.LOCAL (просто локальный адрес). все эти имена должны быть преобразованы в адреса. наличие wingate на это не влияет ( в принципе, наверно у него тоже есть такая настройка - внешние IP DNSсерверов, я не работал с ним, не знаю точно - но это можно не настраивать). Цитата:
=)) В белорусии был в июне - где-то километрах в 200 от витебска на С-З (там еще много озер), названия селений не помню. |
AD, sysvol, netlogon
1. открываю днс
в зонах прямого просмотра: *домен*.local и _msdcs.*домен*.local 2. иду в свойства днс сервера 3. вкладка пересылка 4. В группу "все другие днс домены" добавляю днс прова 5. галка не использовать рекурсию снята 6. затираю на карточе (в нет смотрит) днс прова (ругается -список днс серверов пуст. локальный ip адрес бдет настроен как адрес первичного днс сервера, поскольку на этом компьютере установлен днс сервер микрософт)-и нетдиаг ругается по поводу что мол незарегистрировано 192,168,0,1.... ручками в свойства подключения к нету дописываю локальный днс (192,168,0,1) и ругатся перестает. сейчас нетдиаг пишет: Цитата:
но при попытке подключения с сервера к \\домен.LOCAL\ выводится окно на запрос имени пользователя и пароль, а при подключении к \\server.домен.LOCAL\ открывается сервер пока все нормально, но как бы через пару часов снова не посыпались 1030+1058 через каждые 5 минут. вопрос: как сделать чтобы при пуск\выполнить \\домен.LOCAL\ выдавалось не окно запроса пользователя и пороля, а открывался сервак? похоже надо еще что-то где-то дописать в днс |
AD, sysvol, netlogon
Цитата:
Цитата:
- когда вы указываете \\имя - то это имя не через DNS может разрешиться, а через NETBIOS - с эти иногда бывают проблемы. - проверьте к какому IP адресу вы действительно подключаетесь по имени домен.LOCAL - при помощи команды ping (и nslookup не забудьте). ЗЫ а зачем вам вообще на имя домена подключаться? - этим вы в каталогам общего входа домена пытаетесь протестировать подключение что-ли? вроде как \\домен.LOCAL\sysvol <etc>? |
AD, sysvol, netlogon
SkyF
Цитата:
Цитата:
Цитата:
NetBT , как и netbios дополнительно неустанавливался |
AD, sysvol, netlogon
gc._msdcs.***.LOCAL
DomainDnsZones.***.LOCAL ForestDnsZones.***.LOCAL TAPI3Directory.***.LOCAL а где ето [email]splash@]нарушение п.3.16 общих правил форума [s]Исправлено: SkyF, 12:52 30-09-2004[/s] |
AD, sysvol, netlogon
Guest 213.234.205.*
gc._msdcs.***.LOCAL DomainDnsZones.***.LOCAL ForestDnsZones.***.LOCAL TAPI3Directory.***.LOCAL находится в администрирование\днс\ там разворачиваешь список - зоны прямого просмотра тока осторожно - (незнаешь-неберись, невлезай-убьет) :) |
Здрасте всем.
Как быть с некоректными записями в ДНС, на которые ругается netdiag ? Кто поможет ? |
Serjione
не я сно на что и каким именно образом у вас ругается утилита netdiag попробуйте для начала просмотреть справку по коанде этой. |
Время: 22:59. |
Время: 22:59.
© OSzone.net 2001-