Задать вопрос

Роман Безруков

системный инженер
Ответы пользователя по тегу Windows Server

  • Как правильно перенести файлы пользователя в AD на новый компьютер?

    @NortheR73
    системный инженер
    User State Migration Tool (USMT)
    Ответ написан
    Комментировать
    Комментировать

  • Предупреждения на Windows server в журнале событий, что значат?

    @NortheR73
    системный инженер
    В интернете ненагуглил
    "нам-то не гони..." (С)
    EventID 16398, источник - Bits-Client. Две первые ссылки в гуглопоиске - раз и два
    Ответ написан
    1 комментарий
    1 комментарий

  • Почему не применяются политики GPO на члены группы безопасности?

    @NortheR73
    системный инженер
    видимо, GPO Loopback Processing...
    1. политика применяется к OU с объектами-компьютерами, а настройки в пользовательской секции
    2. в политике в Security Filtering убрать Authenticated Users и добавить группу Old_Server
    3. в политике во вкладке Безопасность добавить Authenticated Users с правами Read, у группы Old_Server должны быть Read и Apply group policy
    4. включить в политике Loopback Processing (Merge)

    не забываем читать логи...
    Ответ написан
    Комментировать
    Комментировать

  • Как восстановить связь между Windows 11 24h2 и server 2003?

    @NortheR73
    системный инженер
    Контроллер, видимо, в единственном числе (случайно не Small Business Server 2003 ?).
    Поддержка Windows Server 2003 (даже расширенная) закончилась 10 лет назад. С тех пор в более актуальных системах произошло огромное количество изменений в плане безопасности - изменение/отключение алгоритмов шифрования, различных фич и компонентов (SMBv1, NTLMv1,..) и т.д. Вы же берете самую свежую клиентскую ОС и пытаетесь ее скрестить с "динозавром" - да, возможно, это и получится путем включения устаревших алгоритмов/компонентов (если они не удалены из кодовой базы) для совместимости с устаревшими ОС. Так вы решите одну-две проблемы сейчас, а сколько их еще появится в будущем?
    Возможно, вашу проблему решит добавление ключа в реестре на КД (перезагрузка не требуется):
    HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes со значением 0x7

    In our case this solution solved the problem that was caused by some more recent Microsoft updates that disable RC4 encoding for Kerberos. One of our servers in local domain still required RC4 for authentication and by following exactly the instructions of this article and setting HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes to 0x7 on domain controller restored access to still very much needed other server in local domain.

    либо второй вариант: в свойствах конкретного доменного ПК поставить значение атрибута msDS-SupportedEncryptionTypes равным 7.
    Но все это временные решения (допускаю, что могут не сработать). По-хорошему - обновляйте свой КД до актуальной версии и добавляйте второй КД.
    Внеклассное чтение:
    Network security: Configure encryption types allow...
    Temporarily allow Kerberos authentication to Windo...
    Ответ написан
    1 комментарий
    1 комментарий

  • Как удалить письма с общего почтового ящика в папку "удаленные" этого общего ящика?

    @NortheR73
    системный инженер
    Иные способы - использовать какие-то сторонние инструменты (не встречал, да и необходимости не было), написать собственного агента. Либо довольствоваться правкой реестра (можно через GPO).
    В любом случае, такая настройка работает только для Outlook Desktop - в OWA, Outlook Mobile и т.д. работать не будет
    Ответ написан
    4 комментария
    4 комментария

  • Критично ли предупреждение NTP? Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено неверно, так как поле RefID в ....?

    @NortheR73
    системный инженер
    UDP123 в обе стороны открыт? Синхронизация времени между хостом и ВМ отключена (если КД=ВМ)? В политиках ничего не отключено в плане времени (политики для NTP-клиентов могут быть отключены или не настроены)?
    Внешний источник времени можно поменять...
    Все КД одновременно являются и NTP-клиентами, и NTP-серверами...
    обычно PDCe смотрит наружу на внешний источник времени (как клиент) и внутрь домена как надежный источник времени (сервер) с типом NTP. Остальные КД являются клиентами PDCe и серверами времени для рядовых серверов и ПК, при этом тип должен быть NT5DS
    w32tm /monitor - показывает, емнип, разницу во времени между текущим КД и внешним источником, я им пользуюсь редко, чаще использую w32tm /stripchart...
    Ответ написан
    7 комментариев
    7 комментариев

  • Как синхронизировать время на DC AD?

    @NortheR73
    системный инженер
    1. на КД (с ролью "эмулятор PDC") поднимается и настраивается NTP-клиент (через w32tm), который ходит за временем до надежного источника в сети (например, до сетевой железки или до внешних источников времени) - в настройках такого клиента указывается тип NTP;
    2. на этом же КД (PDCe) поднимается NTP-сервер, который раздает время клиентам в домене - и на доменных клиентах указывается тип NT5DS, в том числе и на остальных КД
    Ответ написан
    3 комментария
    3 комментария

  • Почему на сервер с AD не ставится win server 2025?

    @NortheR73
    системный инженер
    In-place upgrade - штука сама по себе не совсем безопасная, тем более для контроллера домена. По-хорошему - рядом разворачивается новый сервер с нужной ОС и поднимается до КД
    ошибка на этапе установки safe_os во время операции boot 0xC1900101 - 0x20017
    ошибка-то, в целом, более-менее известная, причин - вагон+тележка (свободное место на диске, дисковые разделы, драйверы, настройки обновлений, папка Software Distribution и т.д.)

    P.S. я с In-place upgrade до WS2025 еще не игрался - про указанную ошибку конкретно в случае WS2025 ничего не скажу...
    Ответ написан
    4 комментария
    4 комментария

  • Hyper-V Replica и как быть с моим псевдо-кластером?

    @NortheR73
    системный инженер
    если сервера имеют на борту несколько дисков и достаточно дискового места, то можно настроить и использовать Storage Spaces Direct вместо общего хранилища.
    Журнал "Здоровье" так и пишет:
    Storage
    You must use Storage Spaces Direct or shared storage that's compatible with Windows Server 2012 R2, Windows Server 2012, and later.
    Ответ написан
    3 комментария
    3 комментария

  • Почему нет доступа на WMI запрос?

    @NortheR73
    системный инженер
    ОС: Win11 и WinSrv2022

    WMIC is deprecated as of Windows 10, version 21H1; and as of the 21H1 semi-annual channel release of Windows Server. This utility is superseded by Windows PowerShell for WMI; see Chapter 7 - Working with WMI. This deprecation applies only to the WMIC utility. Windows Management Instrumentation (WMI) itself is not affected.
    тут

    Starting January 29, 2024, you'll find Windows Management Instrumentation Command line (WMIC) feature "disabled by default" on the insider build of Windows 11. If your application is dependent on WMIC, please migrate away from it using this post as a guide. Let's catch up on the latest and learn how you can use PowerShell and programmatic ways to query WMIC today.
    тут

    что можно предпринять?
    перейти на PowerShell - Working with WMI
    по портам: нужны 135 (RPC) и 49152-65535 (DynRPC)
    Ответ написан
    Комментировать
    Комментировать

  • Модификация интерфейса Active directory administrative center?

    @NortheR73
    системный инженер
    что-то я не помню каких-то специальных настроек для ADAC, тем более для изменения размеров элементов управления (List View). Если все-таки хочется поменять, то шатать надо, скорее всего, эти две библиотеки:
    Microsoft.ActiveDirectory.Management.UI.dll
    Microsoft.ActiveDirectory.Management.UI.resources.dll

    тут либо пилить свой GUI/веб-интерфейс, либо PoSh, либо сторонние инструменты (Manage Engine и т.д.)
    Ответ написан
    1 комментарий
    1 комментарий

  • Как запустить службу adfssrv?

    @NortheR73
    системный инженер
    как минимум, сервисной учетке ADFS нужны права Logon-As-A-Service
    Ответ написан
    4 комментария
    4 комментария

  • Как решить проблему с WDS?

    @NortheR73
    системный инженер
    Какое состояние IPv6 на интерфейсах WDS?
    10.0.2.15:67
    на этом интерфейсе второй IP-адрес не прописан случайно?
    При попытке инициализировать поставщика WDSPXE...
    эта ошибка может быть связана с AD и Global Catalog. Проверьте что указано в свойствах WDS для DC и GC
    Ответ написан
    Комментировать
    Комментировать

  • Active Directory как сменить IP после восстановления?

    @NortheR73
    системный инженер
    How to Restore Domain Controller From Backup?
    Restore a virtual domain controller
    To properly restore the DC, you must start the DC in DSRM, not normal mode. If you miss the opportunity to enter DSRM during system startup, turn off the DC's VM before it can fully start in normal mode. It's important to start the DC in DSRM because starting a DC in normal mode increments the USNs, even if the DC is disconnected from the network

    Как поменять IP-адрес у КД (первая страница результатов поиска в гугле):
    раз
    два
    три
    Проверяйте, что вы не сделали при восстановлении или сделали не так

    P.S. При наличии, как минимум, еще одного живого КД проще и быстрее поднять новый КД, чем восстанавливать из бэкапа. Если КД единственный - тогда все, как описано выше.
    Ответ написан
    2 комментария
    2 комментария

  • Как определить самые используемые папки в сети на DFS?

    @NortheR73
    системный инженер
    самые высоконагруженные папки
    по каким критериям - количество одновременно открытых файлов, количество обращений пользователей, дисковая очередь и т.д.?

    нагрузки на диск
    раз упоминается NAS, то, скорее всего, у вас организован какой-то дисковый массив (возможно, и не один), соответственно, ваши папки физически могут размещаться на нескольких дисках...

    Можно для анализа работы проделать следующие действия (не обязательно проделывать все действия):
    - посчитать количество файлов и размер папок;
    - посчитать IOPS, учесть размер блока;
    - посчитать количество открытых SMB-сессий;
    - посчитать количество открытых файлов и т.д. (Как найти и закрыть открытые файлы в сетевой папке...);
    - настроить счетчики производительности дисков и собрать данные за неделю, например;
    - на основании полученных результатов сделать какие-то умозаключения

    P.S. а DFS тут вообще зачем?
    Ответ написан
    Комментировать
    Комментировать

  • Как заставить пользователя перезагрузить пк (домен, gpo)?

    @NortheR73
    системный инженер
    По опыту - в большинстве случаев простого уведомления в почте бывает достаточно. В "тяжелых" случаях - делайте принудительно в нерабочее время
    Как через GPO принудительно перегрузить комп
    Можно создать задачу в планировщике с PS-скриптом, который, например, проверяет uptime компа каждые 4-6 часов, если uptime больше, скажем, 240 часов - принудительно перегружает комп (нужную логику добавить по вкусу).

    Дополнительно - внутренние административные меры, например, документ "Правила работы в корпоративной сети", который подписывает каждый пользователь, и согласно которому пользователь раз в неделю в обязательном порядке должен перегружать свой комп - иначе временный бан во внутреннем хелпдеске/ТП и т.д. (тут простор для фантазии)
    Ответ написан
    Комментировать
    Комментировать

  • Как проверить права пользователей на объекты в Windows?

    @NortheR73
    системный инженер
    Как можно решить эту задачу? (получить права пользователей на объекты, при этом пропустив объекты для которых права отсутствуют)
    штатными средствами - например, CMD и/или PowerShell
    # экспорт ACL в файл рекурсивно, с игнорированием ошибок доступа
# в файле будут относительные пути, и для каждого указаны текущие разрешения в формате SDDL
icacls "yourpath" /save C:\somepath\acl.txt /t /c

    то же самое на PowerShell
    # запрос ACL рекурсивно, с игнорированием ошибок доступа
# на выходе список с абсолютными путями и SDDL, можно экспортировать в CSV-файл
Get-ChildItem "yourpath" -Recurse -ErrorAction SilentlyContinue | Get-Acl | fl @{"N"="ObjectPath";"E"={($_.Path -split "::")[1]}},sddl
    Ответ написан
    2 комментария
    2 комментария

  • Почему при нацеливании групповой политики невозможно выбрать пользователь в группе, а только компьютер в группе?

    @NortheR73
    системный инженер
    как утверждается в Patch Megathread - обновы KB5041578 (Windows Server 2019) и KB5041160 (Windows Server 2022) ломают работу Item-level targeting (неактивен User in group)...При этом для 2019 якобы было сломано еще в июльских обновлениях...
    Но - проблема затрагивает только GUI, через PowerShell все работает как надо
    Ответ написан
    1 комментарий
    1 комментарий

  • Как настроить интервал опроса NTP для клиентов домена?

    @NortheR73
    системный инженер
    на доменных NTP-клиентах указывается тип NT5DS
    1. на КД (обычно это эмулятор PDC) поднимается NTP-клиент, который ходит за временем до надежного источника в сети (например, до сетевой железки или до внешних источников времени) - вот тут в настройках клиента указывается тип NTP;
    2. на этом же КД (PDCe) поднимается NTP-сервер, который раздает время клиентам в домене - и на доменных клиентах указывается тип NT5DS, в том числе и на остальных КД
    Ответ написан
    3 комментария
    3 комментария

  • Сквозная авторизация GLPI на XXAMP?

    @NortheR73
    системный инженер
    Это называется Single Sign On (SSO)
    Ответ написан
    2 комментария
    2 комментария