Архив

Архив 2009

techdays seminar – 23 октября

23 Октябрь 2009 Нет комментариев

23 октября 2009 года в московском офисе Microsoft прошел семинар Techdays, мои заметки по данному мероприятию.

Читать далее…

  • Share/Bookmark
Categories: Windows, it Tags:

Ссылки по теме удаленных ящиков в Exchange 2007 (2003) и Active Directory 2007

12 Октябрь 2009 Нет комментариев

В случае когда пользователь удален из Active Directory, и его мейлбокс не появляется в EMC (консоли Exchange), все не так страшно – все восстановимо и даже не из резервных копий. Ниже ссылки.

Can’t see Deleted Mailbox in Disconnected Mailbox under Recipient Configuration - http://exchangeshare.wordpress.com/

How do I restore a deleted Exchange 2007 user? or A funny thing happened on the way to a reconnect? - http://blog.pennic.com/?p=4

Восстановление отдельного почтового ящика в Exchange Server 2003 - http://support.microsoft.com/

О powershell командлете Clean-MailboxDatabase - http://technet.microsoft.com/ru-ru/library/bb124076.aspx

  • Share/Bookmark
Categories: Windows Tags: , ,

почты в outlook на 64битных (64bit) платформах на которых не появилась иконка Почта (mail) в панели управления

11 Октябрь 2009 Нет комментариев

Запуск настройки почты в outlook на 64битных (64bit) платформах на которых не появилась иконка Почта (mail) в панели управления:

control mlcfg32.cpl

если не запускается, то ищем файл mlcfg32.cpl и открываем его с помощью control.exe для 32-х систем.

  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

Список участников динамической группы в Exchange 2007

8 Октябрь 2009 Нет комментариев
cls
$MarketingDepartment = Get-DynamicDistributionGroup -Identity «ml-sponsor-market»
Get-Recipient -Filter $MarketingDepartment.RecipientFilter -OrganizationalUnit «pmbs.intranet/Рассылки/Sponsor-Market» | ft name, PrimarySmtpAddress

cls

$1 = Get-DynamicDistributionGroup -Identity «имя динамической группы»

Get-Recipient -Filter $1.RecipientFilter -OrganizationalUnit «domain.intranet/OUname» | ft name, PrimarySmtpAddress

  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

Курс 50028: Установка и настройка System Center Operations Manager 2007

26 Сентябрь 2009 Нет комментариев

Курс 50028: Установка и настройка System Center Operations Manager 2007

dg2nf24x_205gfchvpc5_b
преподаватель: Дмитрий Иванов, Центр: Звезды и С
Цель: Научится устанавливать System Center Operations Manager 2007 и управлять его серверами и вспомогательными ролями System Center Operations Manager 2007 – инструмент для контроля за работой приложений и средство анализа их работы. Продукт позволяет отслеживать работу множества компьютеров в сети, контролируя стабильность и работоспособность многих приложений, включая, к примеру, такие продукты самой корпорации Microsoft, как Active Directory, Microsoft SQL Server, Microsoft Exchange Server.

OpsMgr, определяет состояние сервера, если  оно отличается от эталонного состояния – уведомляет оператора.
Audit collection service – сбор событий журналов и по ним формировать отчеты.
Мониторинг.

в основе OpsMgr лежит управляющая группа (создается про установке) – RMS
В удаленном не доверяемом лесу ставиться GMS (Gateway – Шлюз).

Создаем юзера в домене и добавляем его в группы на RMS (не в домене) – Users и Perfomance Monitor.

Ссылка на калькулятор для расчета размера базы под OpsMgr – OpsMgr 2007 R2 Sizing Tool - http://blogs.technet.com/momteam/archive/2009/08/12/operations-manager-2007-r2-sizing-helper.aspx
OpsMgr 2007 R2 Sizing Helper Tool.xls

Литература на System Center Operations Manager 2007 на Technet - http://technet.microsoft.com/ru-ru/library/bb310604.aspx.

Агенты для System Center Operations Manager 2007 http://technet.microsoft.com/en-us/opsmgr/cc539535.aspx

Heartbeat параметр, как часто агент или сервер уведомляет о том что он жив.
Database Grooming – сколько дней храниться инфа о закрытых алертах.
Notifications: настройка оповещений. E-mail, sms, IM.
по смс можно посмотреть Microsoft SMS Sender

Публикация OpsMgr, создать в AD контейнер, чтобы в нем управляющие сервера опубликовали информацию о себе и агенты её оттуда.
утилита MomAdAdmin.exe в корне Operations Manager
и в Regedit переключаем параметр EnableADIntegration

dg2nf24x_201t3444jg3_b

Путь: HKLM\System\CurrentControlSet\Services\HealthServices\Parameters\ConnectorManager

Настройка firewall на клиентских машинах:

dg2nf24x_202gf6cgrdh_b

Сервисы Ops Mgr 2007

dg2nf24x_204gjrn8scm_b

Что писать при создании монитора по лог файлам

params/param(1)
Value: Fail

adtadmin.exe /parameter /options
The twelve parameters are:
/AddGroup – Creates a new group on the collector
/DelGroup – Deletes a group on the collector
/ListGroup – Shows the groups that reside on the collector
/UpdGroup – Used to rename a group
/ListForwarders – Used to show the forwarders that are connected to the collector
/UpdForwarder – Used to change the priority value, group and name of a forwarder
/Disconnect – Used to disconnect a forwarder or a group of forwarder from the collector
/Stats – Used to show statistical information about the forwarders
24 Module 9: Audit Collection Services
/GetDBAuth – Used to show the authentication method used by the collector in order to connect to the database
/SetDBAuth – Used to configure either Windows or SQL authentication between the collector and the database
/GetQuery – Used to show the queries currently in used to filter the events before they are saved to the database
/SetQuery – Used to configure a query that will be used to filter events before they are saved to the database
Eleven options are used to further target the command that you are issuing. Most of the options are used to define values.
/Collector:Collectorname – Used to target the command at the collector specified
/Group:GroupName – Used to target the command at a group of forwarders
/GroupID:GroupID – Used to target or change a group’s identifier within the database
/Forwarder:ForwarderName – Used to target a forwarder
/ForwarderID:ForwarderID – Used to target or change a forwarder’s identifier within the database
/ForwarderSID:ForwarderSID – Used to target the forwarder based on the forwarders Security Identifier
/Name:NewName – Used to specify a new name for a forwarder or group when used in conjunction with /Group or /Forwarder
/Value:PriorityValue – Used to assign a new priority to a forwarder or group
/GroupValue – Used to specify that the group’s priority should be used for the forwarder’s priority instead of the forwarder’s defined value
/pwd – Prompts for a password

Ссылки по теме System Center Operations Manager 2007:

Syslog: How to collect and monitor UNIX Syslogs in System Center Operations Manager 2007 or in System Center Essentials 2007article id: 942863
http://support.microsoft.com/kb/942863

Мониторинг сетевого оборудования CISCO с помощью Microsoft System Center Operations Manager 2007- http://blog.vpn.ru/ru/?p=34

http://blog.vpn.ru/ru/?p=34#more-34
http://mbugriy.wordpress.com/
http://forum.ru-board.com/topic.cgi?forum=8&topic=9161

Документация
Блог по SCOM на spaces.live.com
Различные how-to и guides для SCOM2007
Тема на русских forums.microsoft.com
OpsMgr.ru – о SCOM 2007 по-русски
SCOM2007 на connect.microsoft.com – этот ресурс служит для публикации найденных багов. Официально поддерживается MS. Можно найти временные решения или запостить найденные ошибки.
Необходимые полномочия для основных аккаунтов, используемых в OpsMgr 2007 http://opsmgr.ru/Lists/Posts/Post.aspx?ID=17
Продолжение. Репортинг, DWDataReader и OpsMgrAdmins

Состояние монитора не переходит из Critical в Healthy, хотя вызвавшая критическое состояние проблема решена

Mastering System Center Operations Manager 2007 (ebook)

System Center Operations Manager 2007 Unleashed (Online)

Microsoft Office Visio 2007 Pro SCOM & SCCM Connectors

Записки о мониторинге инфраструктуры на русском языкеhttp://opsmgr.ru/default.aspx

Изменение параметров очистки в хранилище данных отчетов в Operations Manager 2007 – http://technet.microsoft.com/ru-ru/library/bb381315.aspx (How to Change Grooming Settings in the Reporting Data Warehouse in Operations Manager 2007)

  • Share/Bookmark
Categories: Windows, it, sysadmin Tags: , , ,

GeeXboX uShare – Установка на роутере Asus Wl-500gP

23 Сентябрь 2009 Comments off

GeeXboX uShare - A free UPnP A/V & DLNA Media Server for Linux – сайт проекта: http://ushare.geexbox.org/

Установка на роутере Asus Wl-500gP:

[root@router]$ ipkg install ushare

Конфиг:

# /etc/ushare.conf

# Configuration file for uShare

# uShare UPnP Friendly Name (default is ‘uShare’).

USHARE_NAME=ushare on wl-500g

# Interface to listen to (default is eth0).

# Ex : USHARE_IFACE=eth1

USHARE_IFACE=br0

# Port to listen to (default is random from IANA Dynamic Ports range)

# Ex : USHARE_PORT=49200

USHARE_PORT=49200

# Directories to be shared (space or CSV list).

# Ex: USHARE_DIR=/dir1,/dir2

USHARE_DIR=/mnt

После установки и настройки – на страничке по адресу: http://192.168.1.1:49200/web/ushare.html

будет доступен интерфейс с управлением Ushare, который позволяет обновлять шару и добавлять новые

Ну а запускал его я так:

[root@router]$ ushare -x -D

-x  -  это для поддержки Xbox

-D – запуск в режиме  демона

Все параметры ushare:

Options:

-n, –name=NAME              Set UPnP Friendly Name (default is ‘uShare’)

-i, –interface=IFACE        Use IFACE Network Interface (default is ‘eth0′)

-f, –cfg=FILE               Config file to be used

-p, –port=PORT              Forces the HTTP server to run on PORT

-q, –telnet-port=PORT       Forces the TELNET server to run on PORT

-c, –content=DIR            Share the content of DIR directory (default is ‘./’)

-w, –no-web                 Disable the control web page (enabled

by default)

-t, –no-telnet              Disable the TELNET control (enabled by default)

-o, –override-iconv-err     If iconv fails parsing name, still add to media contents (hoping the renderer can handle it)

-v, –verbose                Set verbose display.

-x, –xbox                   Use XboX 360 compliant profile

-d, –dlna                   Use DLNA compliant profile (PlayStation3 needs this)

-D, –daemon                 Run as a daemon.

-V, –version                Display the version of uShare and exit

-h, –help                   Display this help

Ссылки:

AsusForum.NET — WL500g (http://wl500g.info/index.php)

- Russian Discussion – РУССКИЙ (RU) (http://wl500g.info/forumdisplay.php?f=86)

-   – Ushare (http://wl500g.info/showthread.php?t=8367)

  • Share/Bookmark
Categories: it, linux, sysadmin Tags: , , ,

6425A Microsoft AD 2008 Learning (Star-s) день пятый

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день пятый6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services

Тренер: Егор Полосухин

день 5.
Мониторинг Active DirectoryReliability and Performance Monitor, есть возможность создавать алерты с  уведомлением.Monitoring Active Directory - http://technet.microsoft.com/ru-ru/library/bb727046(en-us).aspxActive Directory Baseline -Deploying Active Directory for Branch Office Environments Chapter 9 – Post Deployment Monitoring of Domain Controllershttp://go.microsoft.com/fwlink/?LinkId=99516
Active Directory auditing (Аудит AD).настройка: вкл. аудит в GPO (Security Settings – Local Policies – Audit Policy)и в свойствах индивидуальных групп тоже необходимо проставить Аудит. AD DS Auditing Step-by-Step Guide (Пошаговое руководство по аудиту изменений в доменных службах Active Directory в Windows Server 2008) там же список Event’ов. - http://technet.microsoft.com/ru-ru/library/cc731607(WS.10).aspx Windows Event Collector – CMD: wecutil qc (Y)
Windows Remote Management - winrm quickconfig and Y
Вопросы архивирования, восстановления AD.работа базы AD :

File

Ntds.dit – Файл базы

Edb*.log – transaction log file

Edb.chk – checkpoint file

ebdres00001.jrs and ebdres00002.jrs – reserved transaction log files (используются если нет места на диске)How the Data Store Workshttp://go.microsoft.com/fwlink/?LinkId=101077
Утилита для обслуживания базы AD – ntdsutil.exe- перенос файла базы- дефрагментация файла базы- делать снапшоты базы (для оффлайн просмотра)- управлять ролями FSMO
dcpromo /forceremoval – принудительное удаление AD (если недоступен GC или другие DC леса)после этого ntdsutil /metabasecleanup (для очистки AD и GC от DC и доменов не существующих)Смотреть справку к NTDSUTIL

Data Store Tools and Settings http://go.microsoft.com/fwlink/?LinkId=101078
Каждые 12 часов происходит «очистка мусора в базе AD», в том числе и дефрагментация. для оффлайн дефрагментации базы, остановка служб AD:- загрузиться в DSRM режиме- В 2008 можно остановить службу DSntdsutil – files – d:tmp (будет создана фрагментированная копия базы)Performing offline defragmentation of the Active Directory database - http://support.microsoft.com/kb/232122
перенос файлов базы (по умолчанию c:windowsntds): - остановить службу базы - ntdsutil – files – move db to d:NTDS (для логов move db to d:NTDS ) как обезопасить DC: минимальный набор сервисов для AD DS

  • Active Directory Domain Services
  • DNS Client
  • NetLogon
  • TCP/IP NetBIOS Helper
  • Windows Time
  • Workstation
  • Distributed File System
  • DNS Server
  • File Replication Service
  • Kerberos Key Distribution Center
  • Intersite Messaging
  • Remote Procedure Call (RPC) Locator

- Security Configurations Wizard

Security Configuration Wizard Overview - Общие сведения о мастере настройки безопасности -

http://technet.microsoft.com/ru-ru/library/cc757550(WS.10).aspx

Архивирование DC: что бэкапит System State Data:

Registry

COM+ Class Registration database

Boot files, as described earlier in this topic

Active Directory Certificate Services database

AD DS database

SYSVOL directory

Cluster service information

Microsoft Internet Information Services (IIS) metadirectory

System files that are under Windows Resource Protection

утилита - Windows Server Backup :The system volume: This hosts the boot files, which consists of the Bootmgr file and the Boot Configuration Data (BCD) store.

The boot volume: This hosts the Windows operating system and the Registry.

The volume that hosts the SYSVOL tree.

The volume that hosts the AD DS database (Ntds.dit).

The volume that hosts the AD DS database log files.

Step-by-Step Guide for Windows Server 2008 Active Directory Domain Services Backup and Recoveryhttp://go.microsoft.com/fwlink/?LinkId=101087Пошаговое руководство по архивации и восстановлению данных в доменных службах Active Directory - http://technet.microsoft.com/ru-ru/library/cc771290(WS.10).aspx Wbadmin (командная строка)WBAdmin Start Systemstatebackup –backuptarget:E: Восстановление DC:Windows RE (Recovery Enviroment) – начать установку с носителя Windows, войти в консоль восстановления. Рекомендуемая книжка: Active Directory Disaster Recovery, Expert guidance on planning and implementing Active Directory disaster recovery plans, Florian Rommel.
Рекомендуемая стратегия восстановления: поднять в виртуалке дополнительный домен контроллер в отдельном сайте с расписанием репликачии побольше. тем самым удалив кого-то на DC, мы на отдельном сайте можем поднять номер версии для объекта тем самым  он перезапишеться на основном DC. Вариант восстановления - normal restore (не позволяет восстановить удаленные объекты):- загрузка в DSRM (F8) или перед перезагрузкой bcdedit /set safeboot dsrepairвходим под учеткой DSRM (отдельный пароль для восстановления AD)- WBackup (из ночной базы)- Репликацией приходят изменения.
Вариант восстановления – Authoritative restore:- загрузка в DSRM (F8) или перед перезагрузкой bcdedit /set safeboot dsrepairвходим под учеткой DSRM (отдельный пароль для восстановления AD)- WBackup (из ночной базы)- для увеличения номера версии объекта в базе, ntdsutil:authoritative restore - restore subtree DistinguishedName- Adrestore (снимаем пометку Tomb stone), теряет членство в группах и т.п. Использование моментальных снимков (database snapshots)ntdsutil – snapshop c:snap1просмотр снимка при помощи утилиты Dsamain, будет доступен при помощи стандартных средств работы с AD на отдельно выбранном порту.Database Mounting Tool - http://go.microsoft.com/fwlink/?LinkId=101089Доменные службы Active Directory: средство подключения баз данных - http://technet.microsoft.com/ru-ru/library/cc753246(WS.10).aspx
AD DS troubleshooting- event log- System Center Operations Manager 2007
Overview of Active Directory Troubleshootinghttp://go.microsoft.com/fwlink/?LinkId=101093

Problem Troubleshooting Guidelines
Physical network issues
  • Use Ipconfig to verify the user’s IP address, subnet mask, gateway and name servers.
  • Verify the client can ping the server by IP address.
Name resolution issues
  • Verify the client can ping the server by name.
  • Use DNS Manager or NSlookup to verify that the DNS server is correctly resolving names.
  • Verify that the DNS server has correct SRV resource records for all domain controllers.
  • Verify that no improper name resolution method, such as an incorrect host file, is being used.
  • Use Ipconfig on the client to flush the resolver cache.
Login issues
  • Use NetDiag to verify that the client can contact its domain controller.
  • Use Active Directory Users and Computers, or Computer Management to verify that the username/password is correct.
  • Verify that the correct domain or local computer name has been chosen.
  • Verify the token SmartCard certificate or configuration.
  • Use AD Users and Computers to verify that the user account is not locked out, or does not have time/location restrictions.
  • Use gpresult or AD resultant set of policy (RSoP) to verify that the client is using time the correct authentication protocol.
  • Use the NET TIME command to verify the time synchronization between client and domain controller.
  • Use Repadmin to verify that user account changes have been replicated to the domain controller processing the logon request.
Unavailable server or service
  • Use the Control Panel Services Applet or the Event Viewer to verify that the service is running and has not stalled.
  • Verify that the others can connect to the same service.
Resource Access Control List restrictions
  • Verify permissions on the resource ACL, including AD DS permissions.
  • Check user group memberships.
Configuration issues
  • Verify correct configuration of user account, client, server, service, and network devices.
  • Verify that there is no client/server/intermediate device firewall blocking the connection.
Group Policy
  • Use gpresult.exe, or AD RSoP to identify Group Policy and logon script issues. Use gpupdtate.exe to update policy on the client without rebooting.

Windows Server 2003 Active Directory Branch Office Guide http://go.microsoft.com/fwlink/?LinkId=101095

Analyzing performance data – Анализ данных о производительности - http://technet.microsoft.com/ru-ru/library/cc784871(WS.10).aspx
Проблемы с разрешением DNS (Diagnosing Name Resolution Problems) - http://technet.microsoft.com/ru-ru/library/cc959340(en-us).aspx тестирование DNS соединений : NetDiagсброс DNS cache: ipconfig /flushdns
просмотр DNS кэш: ipconfig /displaydns, на сервере в консоли.
проверка регистрации A записи в DNS: dcdiag /test:registerindns /dnsdomain:<domain FQDN> /v проверка соединений DNS  с DC (DNS): dcdiag /test:dnsдля регистрации SRV записей нужно перегрузить сервис netlogon на DC
Проблемы зональное передачи: Troubleshooting zone problems – Устранение неполадок зон - http://technet.microsoft.com/ru-ru/library/cc737346(WS.10).aspx
Проблемы с репликацией.порты используемые при репликации AD:

LDAP udp 389

tcp 389
LDAP (SSL) udp 636

tcp 636
Kerberos udp 88

tcp 88
DNS udp 53

tcp 53
SMB over IP udp 445

tcp 445
Global Catalog Server tcp 3269

tcp 3268

Troubleshooting Active Directory Replication Problemshttp://technet.microsoft.com/ru-ru/library/cc738415(WS.10).aspx Утилита repadmin.синтаксис: repadmin command arguments [/u:[domain]user /pw:{password|*}]repadmin /showrepsrepadmin /showvectorrepadmin /showconnrepadmin /replicaterepadmin /syncall синтаксис: dcdiag command arguments [/v /f:LogFile /ferr:ErrLog ].тесты dcdiag /test:Connectivity
Replications
NetLogons
Intersite
FSMOCheck
Services
Kccevent
Topology Sysvol релицируется старой службой FRS, средства диагностики FRS:Ntfrsutl sets servernameNtfrsutl forcerepl servername /r SetName /p DNSNameFRSDiagDfsradmin healthTroubleshooting File Replication Servicehttp://go.microsoft.com/fwlink/?LinkId=101112

Replication of Group Policy settings between domain controllers fails http://go.microsoft.com/fwlink/?LinkId=101113

Решение проблем с GPO.На данный момент нет средств позволяющих проталкивать групповые политики на клиенты. как посмотреть тикеты на клиенте: утилита kerbtray, позволит понять зашел ли юзер под кешированными полномочиями. Netdiag
Ping
NSlookup
Set
Kerbtray Group Policy Troubleshootinghttp://technet.microsoft.com/ru-ru/library/cc736961(WS.10).aspx
Group Policy reporting
GPResult
Gpotool
Gpupdate
Dcgpofix
GPOLogView
Group Policy Management ScriptsGPMonitor.exe
Links:

GPO в системноми реестре

HKLMSoftwarePolicies

HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies

HKCUSoftwarePolicies

HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies

Fixing Administrative Template policy setting problemshttp://technet.microsoft.com/ru-ru/library/cc780392(WS.10).aspxTroubleshooting Group Policy application problems – Устранение неполадок, связанных с применением групповой политики - http://support.microsoft.com/kb/250842 Проблемы с запуском скриптов через GPO: режимы: – асинхронно (по умолчанию – startup) - синхронно (по умолчанию – logon) Информация о скриптах режит в реестре на клиентских машинах:

HKCUSoftwarePoliciesMicrosoftWindowsSystemScripts (User Scripts)

HKLMSoftwarePoliciesMicrosoftWindowsSystemScripts (Machine Scripts)

Fixing Scripts policy settings problemshttp://technet.microsoft.com/ru-ru/library/cc781809(WS.10).aspx

  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

6425A Microsoft AD 2008 Learning (Star-s) день четвертый

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день четвертый
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
Тренер: Егор Полосухин
день 4.

GPO templates
ADMX Файлы на xml, с расширенными настройками в отличии от ADM. Windows 2008 поддерживает и ADm.
Admx файлы не дублируются в каждой GPO, их не нужно класть в каждый GPO а кладется в спец.каталог в Sysvol.
на ПК ADM файлы находятся %SystemRoot%Inf
в Windows Vista или Windows Server 2008 workstation (windows 7) в %systemroot%PolicyDefinitions а далее разбито по языкам.
Решение конфликтов при применении GPO, приоритет в пользу последнего GPO (чем ниже тем важнее).
GPO filtering (фильтры применения).
Security Filtering, WMI filtering
если нужно применять ко всем кроме, то можно использовать Delegations (advanced – группа или юзер – deny (read and apply GPO))
WMI filtering, составляются Query (на языке WQL). На microsoft.com есть конструктор.
Режим loopback processing
Replace – применяются только User Policy из GPO на комп
Merge – применяются вместе, но приоритет при конфликтах у GPO на комп.
File-1
Мигрирование GPO (конвертирование ADM в ADMX): ADMX Migratorhttp://go.microsoft.com/fwlink/?LinkId=99466
Helpdesk group в локальные админы на компах через Restricted Groups
Группы с ограниченным доступом - http://technet.microsoft.com/ru-ru/library/cc785631(WS.10).aspx
File-2
  • Share/Bookmark
Categories: Windows, sysadmin Tags: , ,

6425A Microsoft AD 2008 Learning (Star-s) день третий

20 Сентябрь 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день третий
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
Тренер: Егор Полосухин
день 3.
трасты
траст должен быть обратным необходимому доступу.
Kerberos realm – траст с доменом не на Windows AD
управление трастами – в консоли domain and trusts
или
netdom trust …
Ввести компьютер в домен может любой пользователь домена, обладая правами локального администратора на компьютере.
аттрибут:
msDS-MachineAccountQuota (по умолчанию 10)
При удалении объекта из AD, он не удаляется а помечается как удаленный (изменяется параметр tombstone) и храниться около 180 дней.
в 2008 server R2, есть корзина.
можно восстанавливать через Sysinternals Adrestore.
или ntdsutil.exe (посмотреть список удаленных объектов и восстановить значение tombstone, на технете есть статья).
репликация:
принудительная репликация – консоль Sites and Services – site – DCname – NTDS – Replicate to from.
KCC (Knowledge Consistency Checker) отвечает за потроение топологии репликации.
Статья на технете по использованию AD между файрволами  - http://support.microsoft.com/kb/179442/ru
Active Directory Replication over Firewalls - http://technet.microsoft.com/ru-ru/library/bb727063(en-us).aspx
Режим кеширования универсальных групп – консоль Sites and Services – site – DCname – NTDS – Enable Universal Group Membership Caching
dg2nf24x_193fvfbk3d5_b
мониторинг репликации
repadmin /showrep DCname
replmon (в 2008 её нет, но её можно загрузить отдельно от 2003)
dcdiag /test:replications
nltest
Групповые политики (GPO):
приоритет политик – снизу важнее, если не Enforced
Применение политик происходит с правами аккунта System
Computer configuration является приоритетнее User configurations
интервал обновления GPO для рабочих станций – 90 мин, для DC чаще. (можно менять)
Параметры применения политик задается в Default Domain Policy: Computer Config – Policies – Administration Temlates – System – Group Policy
GPO объекты лежат в AD: консоль Users and Computers (adv. view) – domain – System – policies
на DC в Sysvol
  • Share/Bookmark
Categories: Windows, sysadmin Tags: , , ,

6425A Microsoft AD 2008 Learning (Star-s) день второй

18 Август 2009 Comments off

6425A Microsoft AD 2008 Learning (Star-s) день второй
6425A: Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services
день 2.
SRV запись (формат)
_Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target
Если DNS не поддерживает динамические апдейты, файл зоны храниться в тестовом формате: C:WINDOWSsystem32confignetlogon.dns
Если зона не интегрированная в AD, то она лежит в текстовом файле: C:WINDOWSsystem32dnsdomain.com.dns
Если зона находиться не на контроллере, она храниться только в текстовом формате. Интегрированные в AD зоны могут находиться только на DC.
посмотреть SRV записи через netlogon
ls -t SRV domain.com
dnscmd /enumdirectorypartitions
Утилиты для работы с Application Partition
ldp.exe adsiedit.msc ntdsutil.exe
чтобы небыло каши с записями в днс из-за межсайтовых соединений – можно в свойствах соединения для местной сети
снять галку в настройках сетевого подключения – register this conn…. in dns
File
RODC DNS
Install the DNS Server service

  • Use the Start /w Ocsetup DNS-Server-Core-Role to install the DNS server role.

  • Configure the DNS server to support all domain-wide and forest-wide zones.

Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com

Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com

Стратегии использования групп:
- AP (AccountPermissions) – нерекомендуемый способ
- AGP (ADLP) – рекоменд. для мелких организаций
- AGDLP  - рекоменд. для крупных
- AGUDLP
В локальную группу домена можно включать глобальные группы домена вне леса, но с трастами.
AD user and group command line tools
dsget
dsadd
dsmod
dsmove
dsquery
dsrm
net user
net group
net computer
Для выполнения пакетных операций с Ad, утилиты:
csvde – работает с CSV
ldifde
Ну и конечно Powershell для создания скриптов.
  • Share/Bookmark
Categories: Windows, it, sysadmin Tags: ,