Windows 2008 server в домене Windows 2003

@ppv · Регистрация: 29.04.2010

Студворк — интернет-сервис помощи студентам

В домен dom.local включен сервер Windows 2008 с именем w8k16. Все работает без нареканий, но есть какое-то предупреждение (на рисунке) - в Центре управления сетями и общим доступом. При многочисленных манипуляциях с настройками безопасности и прочими этот значок может исчезнуть. Майкрософтовское определение ошибки не работает (нет связи). Изначально проблема возникла с терминальным доступом - грешили на этот значок. Но оказалось, что он, в общем-то, безобидный (пока). Желательно разобраться в причинах его появления, как его погасить (устранить причину) и не проявится ли это в дальнешем другими проблемами.

@ppv · 26.05.2010, 10:44 **[ТС]**

Возникла новая проблема. При подключении к пользовательскому компьютеру (Computers->Uses_PC-> Управление) нет доступа к папке "Локольные пользователи и группы" - на ней стоИт красный крестик. Это относится только к машинам, на которых любая ОС, кроме 2008. Как устранить проблему?

@Erix elegans · 27.05.2010, 20:30

Контроллер домена в сети есть? У меня такое было, когда криво встал главный контроллер домена.

@ppv · 28.05.2010, 08:15 **[ТС]**

Сообщение от Erix elegans

Контроллер домена в сети есть? У меня такое было, когда криво встал главный контроллер домена.

Да. Основной и резервный (в общем-то, они равноправны). Работают без нареканий, если не считать невозможность управления. Не столько оно нужно, сколько вызывает опасения по возможным в будущем проблемам.
Кривизну своего домена как устранял? Были ли какие-нибудь сообщения в логах или аудите?

@Erix elegans · 28.05.2010, 09:20

В моём случае мой контроллер домена был в порядке, а проблемы были с первым контроллером домена (основным), поэтому я просто передала информацию его админу.... А уж как он разруливал - не знаю. Но унас все серваки были под 2003.
Есть ли какие-то опорные точки, после чего начались подобные неприятности? Не может быть так, что роль КД была поднята неправильно, или неверно занесены пользователи/группы? На какой ОСи висят КД - 2008 или 2003?

@ppv · 28.05.2010, 10:37 **[ТС]**

Сообщение от Erix elegans

Есть ли какие-то опорные точки, после чего начались подобные неприятности?

Зацепиться не за что. АД установлен с нуля - месяц-два назад. При первом же обращении обнаружили такую траблу. То, что это трабла обранужили тоже случайно - оказалось, у коллеги доступ к пользователям есть. Но у него ОС 2008.

Не может быть так, что роль КД была поднята неправильно,

Утверждать не могу, но КД ставил в общей сложности раз 20, пока тренировался. Менял железо, играл с политиками, главным образом с правами на папки. Каждая установка проходила чисто, без малейших нареканий. Второй контроллер так же добавился просто идеально. Всё работает сейчас как часы.

или неверно занесены пользователи/группы?

Крайне маловероятно. Отрабатываются абсолютно все процедуры, которые мы пытаемся использовать. Мелочи, когда объем прав оказывался больше/меньше запланированных устранили штатными средствами. Вообще W2003 вызывает самые приятные впечатления.

На какой ОСи висят КД - 2008 или 2003?

Win2003 Server с MUI. Единственный минус - языковый. Все политики, настройки, ключи - англоязычные, хотя интерфейс - кириллический. Может быть, это как-то влияет?

@Erix elegans · 28.05.2010, 21:25

AD может цапаться с DNS-ом и выдавать такой глюк. У нас именно так и было, что сначала стоял только ДНС корневой, под ним ещё парочка ДНС-ов... А когда поставили КД, на машине с ДНС-ом второго уровня возникла подобная неприятность. Опытным путём выяснено, что лучше сначала ставить КД, а потом уже ДНС поднимать.
Политики безопасности прописаны только в контроллере, или на рабочих станциях тоже есть? До КД чем управлялись политики безопасности? Терминальный сервер нигде не завалялся случайно?
Мне кажется, что дело именно в политиках, поскольку столь чёткое разделение проявления траблы по версии оси не может не вызывать подозрений.

Добавлено через 2 часа 5 минут
Вот ещё что: проверьте, на тех компьютерах, где нет доступа, запущена ли служба "Поставщик результирующей политики RSoP".
Описание службы: позволяет пользователю подключаться к удалённому компьютеру, получать доступ к базе данных инструментария управления Windows (WMI) этого компьютера, проверять либо текущие параметры групповой политики для этого компьютера, либо новые параметры перед тем, как их применять. Если эта служба остановлена, удалённая проверка параметров не обеспечивается. Если эта служба отключена, любые службы, которые явно зависят от неё, не могут быть запущены.

@ppv · 03.06.2010, 09:15 **[ТС]**

Сообщение от Erix elegans

Опытным путём выяснено, что лучше сначала ставить КД, а потом уже ДНС поднимать.

ДНС единственный, на этом же КД. Рекомендуется ставить их в одной процедуре: ставишь КД и тут же делаешь его ДНС-ом. При такой тактике сервер АД ставил раз 20-30 - без проблем.

Политики безопасности прописаны только в контроллере, или на рабочих станциях тоже есть?

Существенные - на КД. Мелочь непринципиальная может оказаться и на станциях. Кстати, политика КД при включении "запирает" одноименную политику на станции.

До КД чем управлялись политики безопасности?

Станциями. Но в данном случае и КД и станция ставятся с нуля.

Терминальный сервер нигде не завалялся случайно?

Роли КД - файловый сервер, КД и ДНС. В домене "живут" три сервера с ролями терминалов. Один из них 2008 - к нему "управление" разрешено. Два других и несколько рабочих станций - недоступны. Причём у всех разрешено управление дисками, шарами, и ещё какой-то мелочью.

Мне кажется, что дело именно в политиках, поскольку столь чёткое разделение проявления траблы по версии оси не может не вызывать подозрений.

Видимо, ты прав. Но какой именно ключ (политика)? Простым просмотром ничего найти не удается.

проверьте, на тех компьютерах, где нет доступа, запущена ли служба "Поставщик результирующей политики RSoP".

Возможно, я смотрел невнимательно. Не могу найти эту службу. Как её зовут по английски? Да и по русски так ли точно она называется?

Описание службы: позволяет пользователю подключаться к удалённому компьютеру

Судя по описанию - это очень похоже на то, что нужно. Сейчас попробую её ещё раз поискать.

@Erix elegans · 03.06.2010, 13:51

по-русски именно так и называется, я переписывала прямо из перечня служб для точности. Как по-английски точно называется, к сожалению, не знаю: у меня русская версия оси...
Проверьте ещё, включены ли на других ПК встроенные гостевые учётные записи. Почему-то 2008 винда очень любит, чтобы втроенный гость был активен.

@ppv · 04.06.2010, 10:35 **[ТС]**

Сообщение от Erix elegans

по-русски именно так и называется, я переписывала прямо из перечня служб для точности. Как по-английски точно называется, к сожалению, не знаю: у меня русская версия оси...

Операционка на том компьютере, к которому подключаешься с контроллера домена в режиме "Управление"? У меня это Windows XP SP2 с MUI. Службы обозваны по-английски. Среди них нет ни одной, содержащей RSoP или в русском или в приблизительном (по тексту) английском варианте.

Проверьте ещё, включены ли на других ПК встроенные гостевые учётные записи. Почему-то 2008 винда очень любит, чтобы втроенный гость был активен.

Отключены. Включаю... На всякий случай перезагружаю комп.
Однако хитрость в том, что на комп я захожу доменным пользователем и учетные записи этого компа не нужны. Кроме того контроллер домена у меня на WinServer 2003.
Перезагрузился тестируемый комп (WinXP) - доступа к папке Пользователи как не было, так и нет.

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
		1
	Windows 2008 server в домене Windows 2003 29.04.2010, 14:10. Показов 5312. Ответов 9 Метки нет (Все метки) В домен dom.local включен сервер Windows 2008 с именем w8k16. Все работает без нареканий, но есть какое-то предупреждение (на рисунке) - в Центре управления сетями и общим доступом. При многочисленных манипуляциях с настройками безопасности и прочими этот значок может исчезнуть. Майкрософтовское определение ошибки не работает (нет связи). Изначально проблема возникла с терминальным доступом - грешили на этот значок. Но оказалось, что он, в общем-то, безобидный (пока). Желательно разобраться в причинах его появления, как его погасить (устранить причину) и не проявится ли это в дальнешем другими проблемами. Изображения 0

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
	26.05.2010, 10:44 [ТС]	2
	Возникла новая проблема. При подключении к пользовательскому компьютеру (Computers->Uses_PC-> Управление) нет доступа к папке "Локольные пользователи и группы" - на ней стоИт красный крестик. Это относится только к машинам, на которых любая ОС, кроме 2008. Как устранить проблему? Миниатюры 0

@Erix elegans 5 / 5 / 0 Регистрация: 04.04.2010 Сообщений: 47
	27.05.2010, 20:30	3
	Контроллер домена в сети есть? У меня такое было, когда криво встал главный контроллер домена. 0

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
	28.05.2010, 08:15 [ТС]	4
	Сообщение от Erix elegans Контроллер домена в сети есть? У меня такое было, когда криво встал главный контроллер домена. Да. Основной и резервный (в общем-то, они равноправны). Работают без нареканий, если не считать невозможность управления. Не столько оно нужно, сколько вызывает опасения по возможным в будущем проблемам. Кривизну своего домена как устранял? Были ли какие-нибудь сообщения в логах или аудите? 0

@Erix elegans 5 / 5 / 0 Регистрация: 04.04.2010 Сообщений: 47
	28.05.2010, 09:20	5
	В моём случае мой контроллер домена был в порядке, а проблемы были с первым контроллером домена (основным), поэтому я просто передала информацию его админу.... А уж как он разруливал - не знаю. Но унас все серваки были под 2003. Есть ли какие-то опорные точки, после чего начались подобные неприятности? Не может быть так, что роль КД была поднята неправильно, или неверно занесены пользователи/группы? На какой ОСи висят КД - 2008 или 2003? 0

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
	28.05.2010, 10:37 [ТС]	6
	Сообщение от Erix elegans Есть ли какие-то опорные точки, после чего начались подобные неприятности? Зацепиться не за что. АД установлен с нуля - месяц-два назад. При первом же обращении обнаружили такую траблу. То, что это трабла обранужили тоже случайно - оказалось, у коллеги доступ к пользователям есть. Но у него ОС 2008. Не может быть так, что роль КД была поднята неправильно, Утверждать не могу, но КД ставил в общей сложности раз 20, пока тренировался. Менял железо, играл с политиками, главным образом с правами на папки. Каждая установка проходила чисто, без малейших нареканий. Второй контроллер так же добавился просто идеально. Всё работает сейчас как часы. или неверно занесены пользователи/группы? Крайне маловероятно. Отрабатываются абсолютно все процедуры, которые мы пытаемся использовать. Мелочи, когда объем прав оказывался больше/меньше запланированных устранили штатными средствами. Вообще W2003 вызывает самые приятные впечатления. На какой ОСи висят КД - 2008 или 2003? Win2003 Server с MUI. Единственный минус - языковый. Все политики, настройки, ключи - англоязычные, хотя интерфейс - кириллический. Может быть, это как-то влияет? 0

@Erix elegans 5 / 5 / 0 Регистрация: 04.04.2010 Сообщений: 47
	28.05.2010, 21:25	7
	AD может цапаться с DNS-ом и выдавать такой глюк. У нас именно так и было, что сначала стоял только ДНС корневой, под ним ещё парочка ДНС-ов... А когда поставили КД, на машине с ДНС-ом второго уровня возникла подобная неприятность. Опытным путём выяснено, что лучше сначала ставить КД, а потом уже ДНС поднимать. Политики безопасности прописаны только в контроллере, или на рабочих станциях тоже есть? До КД чем управлялись политики безопасности? Терминальный сервер нигде не завалялся случайно? Мне кажется, что дело именно в политиках, поскольку столь чёткое разделение проявления траблы по версии оси не может не вызывать подозрений. Добавлено через 2 часа 5 минут Вот ещё что: проверьте, на тех компьютерах, где нет доступа, запущена ли служба "Поставщик результирующей политики RSoP". Описание службы: позволяет пользователю подключаться к удалённому компьютеру, получать доступ к базе данных инструментария управления Windows (WMI) этого компьютера, проверять либо текущие параметры групповой политики для этого компьютера, либо новые параметры перед тем, как их применять. Если эта служба остановлена, удалённая проверка параметров не обеспечивается. Если эта служба отключена, любые службы, которые явно зависят от неё, не могут быть запущены. 0

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
	03.06.2010, 09:15 [ТС]	8
	Сообщение от Erix elegans Опытным путём выяснено, что лучше сначала ставить КД, а потом уже ДНС поднимать. ДНС единственный, на этом же КД. Рекомендуется ставить их в одной процедуре: ставишь КД и тут же делаешь его ДНС-ом. При такой тактике сервер АД ставил раз 20-30 - без проблем. Политики безопасности прописаны только в контроллере, или на рабочих станциях тоже есть? Существенные - на КД. Мелочь непринципиальная может оказаться и на станциях. Кстати, политика КД при включении "запирает" одноименную политику на станции. До КД чем управлялись политики безопасности? Станциями. Но в данном случае и КД и станция ставятся с нуля. Терминальный сервер нигде не завалялся случайно? Роли КД - файловый сервер, КД и ДНС. В домене "живут" три сервера с ролями терминалов. Один из них 2008 - к нему "управление" разрешено. Два других и несколько рабочих станций - недоступны. Причём у всех разрешено управление дисками, шарами, и ещё какой-то мелочью. Мне кажется, что дело именно в политиках, поскольку столь чёткое разделение проявления траблы по версии оси не может не вызывать подозрений. Видимо, ты прав. Но какой именно ключ (политика)? Простым просмотром ничего найти не удается. проверьте, на тех компьютерах, где нет доступа, запущена ли служба "Поставщик результирующей политики RSoP". Возможно, я смотрел невнимательно. Не могу найти эту службу. Как её зовут по английски? Да и по русски так ли точно она называется? Описание службы: позволяет пользователю подключаться к удалённому компьютеру Судя по описанию - это очень похоже на то, что нужно. Сейчас попробую её ещё раз поискать. 0

@Erix elegans 5 / 5 / 0 Регистрация: 04.04.2010 Сообщений: 47
	03.06.2010, 13:51	9
	по-русски именно так и называется, я переписывала прямо из перечня служб для точности. Как по-английски точно называется, к сожалению, не знаю: у меня русская версия оси... Проверьте ещё, включены ли на других ПК встроенные гостевые учётные записи. Почему-то 2008 винда очень любит, чтобы втроенный гость был активен. 0

@ppv 2 / 2 / 0 Регистрация: 29.04.2010 Сообщений: 20
	04.06.2010, 10:35 [ТС]	10
	Сообщение от Erix elegans по-русски именно так и называется, я переписывала прямо из перечня служб для точности. Как по-английски точно называется, к сожалению, не знаю: у меня русская версия оси... Операционка на том компьютере, к которому подключаешься с контроллера домена в режиме "Управление"? У меня это Windows XP SP2 с MUI. Службы обозваны по-английски. Среди них нет ни одной, содержащей RSoP или в русском или в приблизительном (по тексту) английском варианте. Проверьте ещё, включены ли на других ПК встроенные гостевые учётные записи. Почему-то 2008 винда очень любит, чтобы втроенный гость был активен. Отключены. Включаю... На всякий случай перезагружаю комп. Однако хитрость в том, что на комп я захожу доменным пользователем и учетные записи этого компа не нужны. Кроме того контроллер домена у меня на WinServer 2003. Перезагрузился тестируемый комп (WinXP) - доступа к папке Пользователи как не было, так и нет. 0

Опции темы