Какие минимальные настройки нужно делать для AD?

Question

[Шамиль]

Создавать с нуля доменную сеть не приходилось (лишь поддерживать имающуюся), и поэтому задался вопросом - а есть ли какой-то базовый must have при поднятии 2х контроллеров домена ?
т.е. вот я поднял 1й КД (dc1), установил ему адрес 192.168.88.2, и в dns добавил 1 запись, самого себя.
далее добавил 2й сервер (dc2) в существующий лес, дал ему адрес 192.168.99.2 (в качестве DNS1 указан dc1), и на dc1 как dns2 указал dc2.
в принципе более особо ничего и не делал.. создал OU-шки, добавил несколько серверов и пк в домен.
вроде пашет, все норм.. но т.к. dc2 пока еще не бывает включен все время (сервер тестируется на столе, и частенько выключаем чтоб не шумел) и решил глянуть статус репликации, а там ошибка

ошибка репликации

Repadmin: выполнение команды /showrepl контроллере домена localhost с полным дос
тупом
Default-First-Site-Name\DC2
Параметры DSA: IS_GC
Параметры сайта: (none)
DSA - GUID объекта: 4d3dea67-53d7-4da8-b9a0-00569a31b761
DSA - код вызова: 89eeaf8f-f9f0-4f0c-92b0-acd501db0a7a

==== ВХОДЯЩИЕ СОСЕДИ ======================================

DC=ds,DC=local
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: f60a4698-fa86-45d1-b5d4-fb7a815adb72
Последняя попытка @ 2024-03-13 09:05:24 успешна.

CN=Configuration,DC=ds,DC=local
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: f60a4698-fa86-45d1-b5d4-fb7a815adb72
Последняя попытка @ 2024-03-13 08:54:37 успешна.

CN=Schema,CN=Configuration,DC=ds,DC=local
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: f60a4698-fa86-45d1-b5d4-fb7a815adb72
Последняя попытка @ 2024-03-13 08:54:37 успешна.

DC=DomainDnsZones,DC=ds,DC=local
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: f60a4698-fa86-45d1-b5d4-fb7a815adb72
Последняя попытка @ 2024-03-13 08:54:37 успешна.

DC=ForestDnsZones,DC=ds,DC=local
Default-First-Site-Name\DC1 через RPC
DSA - GUID объекта: f60a4698-fa86-45d1-b5d4-fb7a815adb72
Последняя попытка @ 2024-03-13 08:54:37 успешна.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.

dhcp на AD не развернут, т.к. эту роль выполняет mikrotik.
собственно, из-за ошибок при репликации и навела мысль - а может я что-то пропустил, когда решил добавить 2й КД ?
p.s. оба КД в одном сайте, хоть подсети и отличаются, но физически это один бридж, просто в 99 подсеть решил перенести сервера и принтеры

Comments

[Drno]

они друг друга то видят - по IP и имени? пингуют?

[Шамиль]

Drno, само собой.
т.е. когда я кого-то добавляю в домен - на обоих контроллерах появляется запись

[Роман Безруков]

Шамиль, если с DC2 выполнить repadmin /syncall - ошибки есть?

[Шамиль]

Роман Безруков,

ошибка 8453.. но и по ней и так и сяк гуглил... не понял что не то

СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Сейчас выполняется следующая репликация:
От: 4d3dea67-53d7-4da8-b9a0-00569a31b761._msdcs.ds.local
Кому: f60a4698-fa86-45d1-b5d4-fb7a815adb72._msdcs.ds.local
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Ошибка выдачи репликации: 8453 (0x2105):
Доступ к репликации отвергнут.
От: 4d3dea67-53d7-4da8-b9a0-00569a31b761._msdcs.ds.local
Кому: f60a4698-fa86-45d1-b5d4-fb7a815adb72._msdcs.ds.local
СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.

Функция SyncAll сообщает о следующих ошибках:
Ошибка выдачи репликации: 8453 (0x2105):
Доступ к репликации отвергнут.
От: 4d3dea67-53d7-4da8-b9a0-00569a31b761._msdcs.ds.local
Кому: f60a4698-fa86-45d1-b5d4-fb7a815adb72._msdcs.ds.local

[Артем]

Как второй контроллер поднимался?

[Артем]

Шамиль, команду от имени админа выполняешь?

[Шамиль]

Артем, блэд... запуск от админа нужен был

Answer 1

[MVV]

я поднял 1й КД (dc1), установил ему адрес 192.168.88.2, и в dns добавил 1 запись, самого себя.

Когда КД в сети больше одного, то так делать не надо. Добавляйте на него второй DNS на DC2. Иначе есть возможность, что содержимое зон DNS на обоих КД будет рассогласовано (впрочем, для вас, судя по в вашему описанию, эта возможность - теоретическая, но все равно стоит делать хорошо сразу).

решил глянуть статус репликации, а там ошибка
ошибка репликации

Прямо сейчас там ошибок нет: все разделы каталога среплицировались. Но проверьте обратную репликацию на DC1 - она совершенно отдельная, мало ли что там.
Те сообщения, которые вы видите - это пока не забытые прошлые ошибки (например, при старте AD). Или такое бывает, если команда была запущена не в режиме администратора.

PS А вообще состояние КД лучше проверять командой dcdiag (из командной строки в режиме администратора). Если не хотите читать лишние буквы - используйте dcdiag /q, тогда будут выведены только тесты с ошибками.

Comments

[MGren]

Меня вот больше интересует вопрос - есть ли инструменты проверить что в существующем AD все нормально в плане безопасности, прав, что предыдущий админ, условно, не наворотил чего со стандартными группами, контейнерами и прочим? Кроме best practice анализера ничего на ум не приходит, но там не совсем все, вероятно.

[Роман Безруков]

MGren,
в AD есть штатный механизм SDProp/AdminSDHolder, который периодически запускается на контроллерах домена и восстанавливает ACL’ы объектов в Active Directory. Образцовые ACL'ы берутся из AdminSDHolder. Нашаманить, например, с Domain Admins или Enterprise Admins вряд ли получится...
Предыдущий админ мог вывести из-под действия перечисленных механизмов группы операторов (Account Operators, Server Operators, Print Operators, Backup Operators) - это видно в атрибуте dsHeuristics у специального объекта CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydom, а еще он мог делегировать разным группам разные права в AD - это можно проверить с помощью, например, AD ACL Scanner
Можно найти инструменты (разной степени платности) от ManageEngine, SolarWinds, Netwrix и т.д., которые помогут выполнить аудит полномочий в AD и предоставить разные отчеты

Answer 2

[DeathRAMCC]

Скажите а 192.168.88.2 и 192.168.99.2 в одной сети? А то без маски это не понятно. Или роутинг из 88й в 99ю настроен? Они друг друга вообще видят?

Answer 3

[Dupych]

1. Dc1
Dns1 - 127.0.0.1
Dns2 - 192.168.99.2

Dc2
Dns1 -:127.0.0.1
Dns2 - 192.168.88.2

2. Добавить DNS серверы в DNS - Name Servers или Серверы имен. Там указываешь список всех серверов.

Dc1
Dc2
Маршрутизатор.

Comments

[the_vitas]

Не понял про второй мункт это куда и чего? Если предлагаете сделать ns записи в зонах, так они там и так при развертывании роли dc прописываются.

[Роман Безруков]

При таком конфиге репликация должна работать как часы, особенно если КД ещё и DNS-сервер (Best practices for DNS client settings in Windows ...), дабы не получить "dns island"
Раньше рекомендовалось наоборот - loopback-адрес ставить вторым/третьим, а первым указывать адрес соседнего КД (и у подавляющего большинства сделано именно так)

Answer 4

[MGren]

И не забыть сделать оба КД глобальными каталогами. По крайней мере при такой топологии - это желательно.