Задать вопрос

RStarun

Ответы пользователя по тегу Active Directory

  • Как работает локальный DNS в домене?

    @RStarun
    Внутренний днс, если встречает запрос ответа на который он не знает, может:
    1 - ответить что не знает такого имени/адреса
    2 - переслать запрос дальше согласно настройкам пересылки (forward)

    Работает это исходя из зоны. Если он ответственный за зону mysubdomain.mycompany.ru, то запрос comp1.mysubdomain.mycompany.ru обработает только он. Если нет такого имени, ответит что нет.
    Запрос же comp1.mycompany.ru или ya.com он перешлет указанному у него серверу пересылки, поскольку они не входят в его зону ответственности.

    Можно так же создать зону othersubdomain.othercompany.ru и сказать что для нее ответственный сервер 192.168.10.3 и все запросы в эту зону и подзоны будут отправляться на указанный сервер, в то же время запросы ya.com пойдут на общий сервер пересылки.

    В процессе работы ДНС сервер как и положено кеширует результаты запросов, согласно указанным TTL. Кеши при необходимости можно сбросить (через оснастку управления DNS сервером). Тогда при следующем запросе он обратиться за помощью к серверу пересылки. Но и там может лежать устаревшая запись и вот там вы руками уже не обновите кеши, придется ждать пока они сами протухнут. Для понимания какой сервер какой ответ вам дает можно использовать nslookup.

    Например:
    nslookup
    comp1.mydomain.mycompany.ru
    (ответ в котором дефолтный днс скажет все что думает)
    server 77.88.8.8
    comp1.mydomain.mycompany.ru
    (теперь яндекс скажет все что он знает)
    Ответ написан
    3 комментария
    3 комментария

  • Контроллер домена исчез. Как сделать новый (win server 2019) из того, что раньше был в исчезнувшем домене без потери данных?

    @RStarun
    Смотрите, на контроллере домена лежала вся база данных с перечнем ПК, серверов, пользователей, а самое главное - паролей, ну и т.п.
    Каждый из компьютеров имеет информацию только о себе и мало что знает об окружающих. Ему и не надо, он обращается к КД если требуется.

    Если других серверов с ролью контроллер домена нет, то при потере вашего единственного контроллера вы теряете всю эту базу. Дальше если нет резервных копий то можно смело поднимать новый кд и заново ходить по ПК и заводить их в новый домен. Если всего 15+ ПК, это не займет много времени.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как подключить пользователей к серверу AD в другой подсети?

    @RStarun
    1. Сервер DC всегда должен быть единственным dns сервером для клиентских ПК.
    2. Сервер DC (DNS) должен быть настроен на пересылку запросов которые ему неизвестны вышестоящему серверу DNS (провайдера или гугла или яндекса, или дяди Феди). Это делается из оснастки DNS, закладка "сервер персылки" в свойствах DNS сервера.
    3. В настройках сетевых адаптеров сервера в качестве DNS должны быть указаны адреса самого сервера (127.0.0.1)
    4. DHCP клиентам лучше чтобы раздавал так же сервер. Для этого роутер настраиваем как релей DHCP, а на сервере заводим новый сегмент.
    Для проверки работы DNS используйте утилиту nslookup.
    Ответ написан
    Комментировать
    Комментировать

  • Как провести резервное копирование правильно?

    @RStarun
    Продумайте многоуровневое резервное копирование. Еще нужно учесть тип предоставляемых сервисов.
    1. Для файловой шары можно включить file history. Это помогает оперативно вернуть что-то что случайно затерли. Скорость восстановления самая высокая, надежность самая низкая.

    2. Встроенное резервное копирование средствами MS так же можно использовать. Ни разу не восстанавливал из него вроде ничего, но лучше его иметь чем не иметь. Можно на DAS, то есть на еще один диск подключенный прямо к этому же серверу. Емкость 2-3 тб. Может помочь в некоторых случаях вроде восстановления системы штатными средствами после случайной установки какого-нить лишнего ПО. Откат системы. Медленно, чуть более надежно чем вар 1.

    3. Любое клиент - серверное ПО для резервного копирования. И да, Veeam неплох. Сервер на который будут сниматься копии можно не вводить в домен, установить на него veeam server. А на тот что копируем - ставим агента. Копии снимаются медленно, восстановление тоже требует усилий (загрузочные диски там, вот это все) если сервер совсем сдох. Если не сдох, а просто файлики восстановить, то быстро. В целом медленно, но надежно.

    4. Ну и снятые копии можно время от времени закидывать в облака или на внешние носители. Это самый медленный вариант, но и самый надежный.

    5. Еще можно разделить снятие копии всего сервера и копирование файлопомойки. Так получится чаще бэкапить именно файлопомойку и все копии будут занимать чуть меньше места.
    Ответ написан
    Комментировать
    Комментировать

  • Как создать ярлык для доступа к NAS через GPO?

    @RStarun
    Шифровальщики шифруют не только локальные и сетевые диски, они шифруют и расшареные папки до которых могут дотянуться по сети. Так что "в целях безопасности" здесь не сработает, если я правильно понял запрос.
    Ответ написан
    Комментировать
    Комментировать

  • Каким ПО можно осуществлять мониторинг посещенных сайтов сотрудниками с интеграцией с AD?

    @RStarun
    смотрите в сторону ПО для слежки за сотрудниками. Их несколько на рынке. Снимают экраны периодически, сниффят клавиатуру, IM, mail.
    Имеют удобный интерфейс для просматривающего, и умеренную стоимость, незаметны для пользователя, а еще скорее всего нелегальны :)
    А так да - TMG или поделки вроде usergate
    Ответ написан
    Комментировать
    Комментировать