none
Windows Server 2008 R2 - AD, MAC filter, ...

    Dotaz

  • Mám několik dotazů a problémů s Windows Serverem 2008 R2 Standard x64 a to:

    1/ Nedaří se mi změnit výchozí délka a složitost hesla. Parametry jsou zablokovány.
    2/ Při přihlašování mi stanice hlásí: nelze najít přihlašovací server nebo řadič domény. U Windows XP přihlašování trvá několik minut. Stanici s Windows 7 nelze vůbec přidat. Píše - nelze se spojit s řadičem domény AD. Konfiguraci AD jsem provedl podle tohoto návodu: http://www.petri.co.il/installing-active-directory a několika dalších. Internet je směrovaný na vnitřní síť a funguje i při použití DHCP.
    3/ U přihlašování mám ještě problém s profilem. Kopíroval jsem výchozí profil do D:\profiles\jmeno a přiřadil této složce oprávnění, se kterým uživatelem bude možné číst i zapisovat. Při přihlašování mi to na Windows XP píše přístup odepřen a na serveru až při odhlašování, že nelze úplně aktualizovat cestovní profil. Složka s profily je sdílená, ve firewallu je zjištění sítě povoleno, u nbastavení cesty profilu je nastaveno \\server\profiles\jmeno
    4/ Je nutné k serverové licenci mít i pro zařízení CAL licence? Importují se někam?
    5/ DHCP server obsahuje nově filtry. Jak udělám to, že ti co nejsou v seznamu povolených se nebudou moci připojit. Nebo jak řešit zabezpečení sítě pomocí MAC adres?

    Díky moc za odpovědi.
    26. října 2009 18:34

Odpovědi

Všechny reakce

  • Zacnu postupne, posli mi sem prosim tyto 2 veci:

    1) obrazek toho co znamena "parametry jsou zablokovany". Predpokladam ze je menis na serveru ty parametry ?
    2) vse vypada na problem s dns. Postni sem vypis IPCONFIG /all ze serveru a z stanice

    Honza
    27. října 2009 7:41
  • 1/ Myslim tim to, ze kdyz chci zmenit napr. vychoz delku hesla, tak to nelze. Je to šedivé - změna parametru je zablokovaná.
    Kdyby i toto bylo špatně vysvětlené, odpoledne nebo večer pošlu obrázek.
    2/ Ze serveru:
    Připojení k místní síti (internet):
    DHCP: ne
    IP adresa: 192.168.24.101
    Maska: 255.255.255.0
    Brána: 192.168.24.1
    DNS: 127.0.0.1

    Přípojení k místní síti 2 (vnitřní síť):
    DHCP povolen: NE
    IP adresa: 192.168.56.1
    Maska: 255.255.255.0
    Výchozí brána:
    DNS servery: 127.0.0.1

    Stanice:
    DHCP povolen: Ano
    IP adresa: 192.168.56.100
    Maska: 255.255.255.0
    Brána: 192.168.56.1
    DNS: 212.96.xxx.x
    212.96.1xx.x
    27. října 2009 8:53
  • ad1) obrazek je s vyhodou, at se slozite nedohadujeme.

    ad2) a jsme doma. Standardni "skolacka" chyba :)

    DNS stanic v domene (pripadne budoucich stanic v domene) MUSI BYT NASTAVENO na DNS serveru, na kterem je ActiveDirectory DNS. V tomto pripade na jediny server v siti.

    jinak receno: stanice hledaji servery v domene a dalsi parametry domeny v DNS. U ISP DNS takove informace opravdu nemaji.



    27. října 2009 9:32
  • Ad 2) jojo miro, jsme doma :)

    Pro jistotu doporucuji na serveru jeste natvrdo nastavit IP adresu DNS na 192.168.56.1 (ne 127.0.0.1)

    Dale take upozornuji na jednu vec dulezitou !!!!
    Koukam ze podle konfigurace je tento server zaroven firewallem s NATem a domenovym radicem. Toto je vyslovne nedoporucovane z hlediska bezpecnosti !!
    Firewall dej na dedikovany server !!
    27. října 2009 9:37
  • V tom pripade je cele SBS reseni nedoporucovane :)
    Ja vim, proc ho nemam rad :)
    27. října 2009 13:02
  • 1/ Zde je obrázek: http://www.edisk.cz/stahni/83398/heslo.PNG_48.74KB.html
    2/ Vyzkousim. Diky. Jeste jsme to ve skole nedelali. Teprve jsem nastoupil do prvního ročníku.
    27. října 2009 13:29
  • Zatím to zkouším jen ve VirtualBoxu, ve skutečnosti už to bude trochu jinak.
    27. října 2009 13:30
  • Dobrý den,

    změny zásad hesla se provádějí nikoliv v Local Security Policy, ale v Default Domain Policy v případě, že se jedná o doménový řadič. Takže hurá do Group Policy Management Console, tam edit na Default Domain policy, nastavení počítače a dál jako v Local security policy. NIC jiného v této politice nepředělávejte, neměňte a hlavně nemažte. Jen zásady hesla. Prkotiny jako že jet přihlášen jako doménový administrátor beru jako samozřejmost.

    JP
    27. října 2009 13:45
  • 2/ Již to funguje nádherně. Tento problém byl vyřešen. Ještě je při přihlašování problém s profilem - bod 3/
    27. října 2009 13:45
  • 1/ Také vyřešeno. Díky.
    27. října 2009 14:00
  • Ad 3) A to má být cestovní profil nebo mandatorní profil? U cestovního stačí vypnit cestu, kam budou mít uživatelé právo zapisovat a profil se tam vytvoří sám. Musíte ale ve vlastnostech AD účtu uvést \\server\profiles\%username%. Každopádně nestačí zaškrtnout jen "zapisovat", ale musí být i "zapisovat atributy" a "zapisovat rozšířené atributy". Projděte si oprávnění detailně, jestli vám někde s něčím nekolidují. Nezapomeňte, že právo odepřít má větší váhu, než povolit.

    Ad 4) Máte serverovou licenci, ta vás opravňuje používat server. Pak jste k ní dostal 5xCAL a dále si musíte koupit CALy podle toho čeho máte méně. Tedy uživatelé nebo počítače. Platí, že když máte dvacet uživáků, kteří používají deset zařízení, licencujete tzv. Device CAL a pokud máte 20 počítačů, ale deset uživáků tak User CAL. Ale nějakou licenci mít musíte. Ta opravňuje k přístupu k serveru. Licence CAL je pouze účetní položka. Nikam se to nevyplňuje a server to nehlídá. Ale pokud vám přijde audit nebo kontrola od Policie, tak už budete CÁLovat :-)

    Jan Pilař
    27. října 2009 14:11
  • 3/ Již také funguje. A když budeme přecházet z Debianu, stačí složky profilů sloučit s těmi co se vytvořili?
    Chtěl jsem využít nástroj ADMT. Ten ale v této verzi nefunguje.

    4/ Musí být i licence na počítač, kterému server zprostředkovává pouze připojení na internet?
    27. října 2009 16:31
  • 3/ Vyzkoušel jsem složku zkopírovat a nastavit na ni cestu v nastavení uživatele. Vše se v pořádku načetlo.
    Jen mám problém s uživateli, kteří mají pouze standardní oprávnění, že nemohou vytvářet dokumenty, nevytvoří se jim ikony jako internet explorer a pokud změní vzhled, tak se jim neuloží. Data se synchronizují bez problému. V čem by mohl být problém?
    28. října 2009 7:16
  • 3/ Také vyřešeno. Byl problém jen s určitým uživatelem. U nově vytvořených je to již v pořádku.
    28. října 2009 15:35
  • 4/ Licence CAL je potřeba jen tam, kde se uživatel bude nějakým způsobem autorizovat na serveru.
    5/ Vyřešeno. Mně bude stačit pouze nastavit oprávnění u sdílených složek. Podle informací by byla dobrá i implementace RADIUS, ale to není asi zrovna jednoduché.
    5. listopadu 2009 16:03