Ответы пользователя по тегу Windows Server
  • Не могу зайти на Windows Server - почему?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Если у вас установка свежая и ещё не в бою, считаю предпочтительным вариант выше, от Роман Безруков .
    Но есть альтернатива, которую можно попробовать: загрузиться в безопасном режиме восстановления службы каталогов (надеюсь пароль для этого режима у вас есть) и переименовать компьютер обратно, как было. После чего - помолиться своему богу или постучать по дереву и попробовать перезагрузиться.
    PS
    Непрошенный совет
    Раз уж вы взялись работать с AD, не набравшись перед этим знаний, как с не работать - работайте стандартно: выбирайте варианты по умолчанию, не пытайтесь прибумывать что-то свое и менять настройки вслепую. Варианты выборов по умолчанию в AD сейчас разумные, а сама по себе AD - штука очень сложная, накосячить по незнанию в ней можно легко. Впрочем, вы уже убедились в этом сами ;-)
    Ответ написан
    Комментировать
  • Как получить логи открытия папок/файлов в WinServer 2019/Win10?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Во-первых, включите в политике аудит доступа к файлам и папкам (в разделе аудита доступа к объектам). Во вторых, в свойстах папки (в окне по кнопке Дополнительно, на вкладке Аудит) добавьте пользователей и группы, чью активность вы собираетесь отслеживать. После этого записи аудита доступа (создание и открытие файлов и папок) будут писаться в журнал событий Безопасность.
    А вот как дальше обрабатывать их на python - это я вам не скажу.
    Ответ написан
    5 комментариев
  • Как удалить папку перемещаемого профиля?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Помимо разрешений на папку:
    1. Убедитесь, что папка и файлы внутри нее не открыты по сети (в узле "Общие папки\Открытые файлы"в консоли управления компьютером, например).
    2. Убедитесь, что у вас есть разрешения на удаление всех подпапкох и файлов на все подпапки внутри этой папки (имейте в виду, что наследуемые разрешения могут и не примениться, т.к. разрешения хранятся для кажого файла или папки отдельно).
    Ответ написан
    Комментировать
  • Как сменить сервер времени через GP у доменного пользователя?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Начать надо с того, что сервер времени - это часть конфигурации компьютера, а не пользователя (кстати, это видно на картинке по вашей ссылке). Поэтому посмотрите результат применения политик (RSOP) к компьютеру, для этого результат лучше всего вывести в файл: gpresult /scope computer /h файл.htm
    Ответ написан
    Комментировать
  • Как подключить пользователей к серверу AD в другой подсети?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Проверьте (например, командой ping) на сервере AD разрешение имен DNS для сайтов, которые находятся в интернете. Если оно не работает - настройте так, чтобы оно работало. Как именно настроить - завист от причины. Например, если запросы DNS наружу от сервера AD режутся у вас на маршрутизаторе - разрешите их: сервер DNS на сервере AD по умолчанию уже настроен на поиск в DNS, начиная с корневых серверов, и дальше в соответствиеи с делегированием, а чтобы этот поиск работал, нужно чтобы запросы проходили.
    Если запросы DNS к посторонним серверам (кроме своего) режет провайдер - настройти на сервере DNS для AD в его свойствах безусловную пересылку на сервер DNS провайдера.
    Ответ написан
    Комментировать
  • Задваивается доменное имя в DNS запросе?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Я так понимаю у меня не находит сервис из-за задваивания "looch.local" в запросе.

    Наоборот, запрос к имени с к нему дописанным суффиксом домена ("задваивание") происходит потому, что перед этим на запрос к самому имени клиенту приходит ответ, что имя не найдено.

    Как я понял, у вас это 172.16.128.1 - это микротик? Если да, тогда подозреваю, что его адрес отдавается по DHCP клиентам в качестве второго сервера DNS, а на самом микротике условная пересылка запросов к домену AD DNS на контроллер домена AD (КД) не настроена. Так? Если так (это - распространенная ошибка), то либо уберите микротик из списка серверов DNS, либо настройте на нем нужную условную пересылку (если это возможно и если вы это умеете). Потому что клиент, в какой-то момент может переключиться на этот второй сервер DNS на микротике (например, при сбое при обращении к DNS на КД), а микротик ничего про ваш домен AD не знает - вот и получается эта ошибка.
    Ответ написан
  • Ошибка репликации, как победить?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Похоже, у вас, на самом деле, всё нормально.
    Другое название папки на Win2012 - это след давней миграции репликации SYSVOL с FRS на DFSR.
    Код ошибки 0x800706e4 при проверке сервера Win20212 c Win2019 означает "Запрошенная операция не поддерживаяется" - т.е. налицо некоторая несовместимость версий по диагностическим механизмам, этим можно пренебречь, а состояние Win2012 - проверить с него самого.
    Не прошедший тест DFS Replications означает всего лишь то, что в журнале событий этой службы были ошибки и предупреждения. Посмотрите, какие были. Ошибки и предупреждения могут появляться и при нормальной работе репликации: например, при перезагрузке другого КД (ошибка потеря связи с ним) или при резервном копировании КД (предупреждение о заморозке записи в БД репликации в момент создания теневой копии системного тома).
    Для того, чтобы упокоиться, можете выполнить опрос состояния репликации на КД через WMI (из командной строки в режиме администратора):
    For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

    Числа в state означают следующее:
    0 = Uninitialized
    1 = Initialized
    2 = Initial Sync
    3 = Auto Recovery
    4 = Normal
    5 = In Error
    Ответ написан
    Комментировать
  • Пользователь с ipv6 localhost с именем совпадающим c именем компа пытается авторизоваться в системе. Что это может быть?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Коды ошибки показывают, что какая-то программа пытается подключиться к вашему компьютеру с него самого или, возможно, - с другого компьютера через какую-то выполняющуюся на вашем компьютерее программу, типа веб-сервера, через сеть с указанной (и не существующей) учетной записью.
    Чтобы понять, какая программа на вашем компьютере это пытается, попробуйте включить ненадолго аудит процессов, чтобы получить сведения о програмах и поискать корреляцию.
    Ответ написан
    Комментировать
  • Ошибка выпуска сертификата Enterprise CS. Не могу выпустить серт под админом, поможете?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    У вас проблема с профилем пользователя на машине, с которой вы пытаетесь выпустить сертификат.
    Закрытый ключ сертификата дожен храниться в профиле пользователя, а у вас там пользователь работает с временным профилем.
    Разбирайтесь с загрузкой профиля при входе в систему: ищите события в журнале событий в момент входа, описывающие ошибку.
    Ответ написан
  • Как в Windows Server DHCP добавить ip адрес в другой пул?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Во-первых, вы сделали суперобласть, включающую обе эти области ("пулы", если по-вашему)?
    Во вторых, если сделали, то проверьте MAC в записи аренды того адреса, который выдан: там иногда бывают чудеса - в виде дополнительных нулей, например.
    Ответ написан
    Комментировать
  • Код ошибки 10016 на Windows Server 2016 MSSQL, как исправить?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Чтобы устранить: запустите консоль конфигурирования DCOM (например dcomcfng.exe), перейдите в раздел Component Services/My Computer/DCOM Config, найдите там это приложение по имени (это некий "Flight API Settings Broker") или по AppId из события и дайте нужное разрешение указанной в событии учетной записи.
    Ответ написан
  • Как найти причину блокировки аккаунтов в Active Directory?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Включите аудит неудачных попыток входа в систему (через групповую политику) и смотрите в журналах Security событий Windows на КД и на всех серверах, куда пользователи не могут получить доступ.
    Предполагаемая причина, особенно, если у вас принята политика регулярной смены паролей для пользователей - устаревший запомненный пароль на устройствах пользователей. Обучите пользователей самостоятельно смотреть и удалять эти пароли.
    Ответ написан
  • Не пройдена проверка DFSREvent, как убрать ошибку?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    В журнал событий DFSR на DC08 загляните: там должно быть событие с ошибкой или предупреждением.
    Например - если перезагружали другой КД. Вот и смотрите, насколько там что-то серьезное сообщается.
    И да, эта проверка "вылечится" сама через, максимум, сутки - даже если репликация SYSVOL в реальности не работает ;-) .
    Ответ написан
  • Миграция группы серверов windows 2003 на 2019?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    С 2003 на 2019 домен AD напрямую мигрировать не получится: 2019 уже не поддерживает репликацию SYSVOL по протоколу FRS, а только по DFSR, а 2003 SYSVOL по DFSR реплицировать ещё не умеет. Придется вместо 2019 ставить пока 2016 максимум, заменять 2003 на них, а далее - как положено, мигрировать репликацию SYSVOL на DFSR (только аккуратно, по шагам, а не сразу в конечную стадию) , повышать уровень домена и леса до 2016 и заменять 2016 на 2019.
    Ответ написан
    Комментировать
  • Как запретить трафик из одной сети в другую через windows server 2019?

    @mvv-rus
    Настоящий админ AD и ненастоящий программист
    Кроме встроенного брандмауэра (который по умолчанию занимается локальным трафиком) в Windows в RRAS есть фильтры пакетов. Это - более примитивный инструмент: они могут только блокировать или пропускать весь трафик кроме указанного в списке исключений, они настраивается для конкретного интерфейса, они работают только в одну сторону (для входящего и исходящего трафика фильтры отдельные), они не отслеживает сессии (но есть возможность избирательного блокирования пакетов подключения по TCP). Но, думаю, для решения вашей задачи фильтров хватит.
    Доступ к настройке фильтров находится в свойствах каждого интерфейса в узле General для протоколов IP (v4 и v6).
    В вашем случае можно на интерфейсе каждой сети в настройках входящего фильтра следует указать, что надо пропускать весь трафик, кроме трафика, направленного в другую сеть (указать в исключениях адрес и маску этой сети).
    Ответ написан
    Комментировать