none
Роли FSMO RRS feed

  • Вопрос

  • У меня есть контроллер домена 192.168.0.1 для домена Domen.local

    Есть Второй окнтроллер 192.168.1.1 для домена Vtoroy.Domen.local

    Оба домена работаю в режиме Windows Server 2003

    По идее если недуступен Domen.local, то на контроллере Vtoroy.Domen.local можно создавать учетки, т.к. у него есть роль Хозяин RID, нопри создании пишет:

    "Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по следующей причине - сервер неработоспособен. Проверьте, что есть доступ к глобальном укаталогу и т.д."

    Т.е. надо назначать еще через сайты и службы "Глобальный каталог" каждому серверу, на котором будут создаваться пользователи?

     

    5 апреля 2010 г. 18:17

Ответы

  • Не совсем так. При создании учётки есть атрибут, который требует уникальности в рамках всего леса - это основное имя регистрации пользователя (User Principal Name - UPN). Напр., user1@domen.local. Соответственно, для проверки его уникальности, требуется обратиться к глобальному каталогу, т.к. в нём содержатся все объекты в рамках леса. Т.е. к любому DC с ролью GC.

    В вашем случае, я бы для каждого домена добавил по дополнительному DC и роль GC назначил бы по крайней мере двум DC (каким конкретно - это уже другой вопрос, зависит от разных факторов).

    Users Can Log On Using User Name or User Principal Name http://support.microsoft.com/default.aspx/kb/243280

    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:36
    5 апреля 2010 г. 19:54
  • Основные факторы, которые надо принимать во внимание, при установке роли GC в филиале:

    1) наличие приложений, которые активно используют обращения к GC (напр. Exchange Server);

    2) канал связи (скорость, загрузка, надёжность). Порог, по которому условно определяют медленный канал - 512kbps. Может влиять на репликацию GC;

    3) кол-во пользователей, кот. у вас в филиале активно используют GC при регистрации в сети и при поиске информации в GC. Здесь - что "дешевле" обходится или репликация GC или запросы в GC по линии связи в головной офис. Есть альтернатива - включение для сайта кэширования только универсальных групп, вместо репликации GC.

    Основной фактор всё-таки п.1), т.к. без GC в филиале в данном случае не обойтись. Остальные факторы определяются тестированием, удобством использования и т.п.  

    Выбирайте. Возможно, в Вашем случае, при положительном результате п.2) - GC на каждом DC будет лучшим вариантом.

    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:36
    6 апреля 2010 г. 6:16
  • Т.е. если у меня есть компьютер C1.Domen.local, а в ПОДдоменах Domen1.Domen.local и в Domen2.Domen.local созданы учетные данные этого компьютера (т.е. занесено его имя), то я с него могу логинеться в любой из этих 3-х доменов?

    Или, например, если у меня компьютер C2.Domen2.Domen.local, то я могу с него логинеться в Domen1.domen.local и Domen.local, если во всех трех доменах дубет его учетная запись (учетная запись компьютера)?

     Нет, не так. Вы можете присоединить (join) ПК только к одному домену, т.е. связь физического ПК с объектом Компьютер в БД контроллера домена может быть только одна. Поэтому и пройти аутентификацию этот ПК может только в том домене, где существует связанный с ним объект. Просто создание учётки Компьютера не даёт возможности пройти аутентификацию в домене для ПК с тем же именем, т.к. у них нет связи (общего пароля, которых хранится в объекте в БД АД и в реестре самого ПК). ПК должен пройти процедуру присоединения к домену, чтобы такая связь появилась. Пароль меняется автоматически, см. http://technet.microsoft.com/en-us/library/cc781050(WS.10).aspx

    Соответственно и по пользователям, если User1 создан во всех трех доменах, то я могу в них логинеться Domen\User1 или Domen1\User1 или Domen2\User1 без проблем?

     Вот это утверждение верно. Реально объект Пользователь, в данном случае, может представлять или одного и того же человека или трёх разных людей.

    Т.е. я могу отовсюду залогинеться в любой домен и поддомен под любым пользователем, если там создать этого пользователя и учетку компьютера?

    Ну а как теперь сами ответите на свой вопрос?
    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:37
    6 апреля 2010 г. 16:18

Все ответы

  • Не совсем так. При создании учётки есть атрибут, который требует уникальности в рамках всего леса - это основное имя регистрации пользователя (User Principal Name - UPN). Напр., user1@domen.local. Соответственно, для проверки его уникальности, требуется обратиться к глобальному каталогу, т.к. в нём содержатся все объекты в рамках леса. Т.е. к любому DC с ролью GC.

    В вашем случае, я бы для каждого домена добавил по дополнительному DC и роль GC назначил бы по крайней мере двум DC (каким конкретно - это уже другой вопрос, зависит от разных факторов).

    Users Can Log On Using User Name or User Principal Name http://support.microsoft.com/default.aspx/kb/243280

    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:36
    5 апреля 2010 г. 19:54
  • А если в Domen.local есть два контроллера домена, а в удаленном филиале Vtoroy.Domen.local, то каким образом лучше распределить роли GC?

    6 апреля 2010 г. 4:37
  • Правильно ли будет сделать так:

    DC1.Domen.local: 2+3 роли + GC

    DC2.Domen.local: GC

    DC1.Vtoroy.Domen.local: 3 роли + GC

     

    Или же на DC1.Vtoroy.Domen.local нельзя размещать GC?

     

     

    6 апреля 2010 г. 6:15
  • Основные факторы, которые надо принимать во внимание, при установке роли GC в филиале:

    1) наличие приложений, которые активно используют обращения к GC (напр. Exchange Server);

    2) канал связи (скорость, загрузка, надёжность). Порог, по которому условно определяют медленный канал - 512kbps. Может влиять на репликацию GC;

    3) кол-во пользователей, кот. у вас в филиале активно используют GC при регистрации в сети и при поиске информации в GC. Здесь - что "дешевле" обходится или репликация GC или запросы в GC по линии связи в головной офис. Есть альтернатива - включение для сайта кэширования только универсальных групп, вместо репликации GC.

    Основной фактор всё-таки п.1), т.к. без GC в филиале в данном случае не обойтись. Остальные факторы определяются тестированием, удобством использования и т.п.  

    Выбирайте. Возможно, в Вашем случае, при положительном результате п.2) - GC на каждом DC будет лучшим вариантом.

    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:36
    6 апреля 2010 г. 6:16
  • Или же на DC1.Vtoroy.Domen.local нельзя размещать GC?


    Собственно, уже ответил на Ваш вопрос.
    6 апреля 2010 г. 6:40
  • Подскажите, я правильно понял ссылку, что если есть домены Domen1.Domen.local, Domen2.Domen.local и Domen.local, то мы можем создать пользоватлеля с одним имененм для каждого из них: User1@Domen1.Domen.local, User1@Domen2.Domen.local и User1@Domen.local и это не будет ошибкой?

     

    И еще вопрос. Я правильно понимаю, что с компьютера Computer1.Domen.local может логинеться только в домен Domen.local, а вот например, с компьютера Computer2.Domen1.Domen.local можно логинеться и в Domen1.Domen.local и Domen2.Domen.local и Domen.local ?

     

     

    6 апреля 2010 г. 10:59
  • Подскажите, я правильно понял ссылку, что если есть домены Domen1.Domen.local, Domen2.Domen.local и Domen.local, то мы можем создать пользоватлеля с одним имененм для каждого из них: User1@Domen1.Domen.local, User1@Domen2.Domen.local и User1@Domen.local и это не будет ошибкой?

     Совершенно верно. В данном случае каждое из имён UPN - уникально в рамках леса, т.к. суффиксы у них разные. 

    И еще вопрос. Я правильно понимаю, что с компьютера Computer1.Domen.local может логинеться только в домен Domen.local, а вот например, с компьютера Computer2.Domen1.Domen.local можно логинеться и в Domen1.Domen.local и Domen2.Domen.local и Domen.local ?

    Нет, неверно. В рамках леса автоматически создаются трастовые отношения между родительским и дочерними доменами. Это даёт возможность производить аутентификацию пользователя в любом из доменов с ПК из любого домена. Т.е. аутентификация происходит в том домене, в котором, соответственно, создан объект Пользователь или Компьютер.

    В Вашем примере Computer2 пройдёт аутентификацию в домене Domen1, т.к. он присоединён (joined) к этому домену. Пользователь User1@Domen2.Domen.local, регистрируясь с этого ПК должен прописать UPN или Domen2/User1, для того, чтобы пройти аутентификацию в своём домене.

     

    6 апреля 2010 г. 11:28
  • Т.е. если у меня есть компьютер C1.Domen.local, а в ПОДдоменах Domen1.Domen.local и в Domen2.Domen.local созданы учетные данные этого компьютера (т.е. занесено его имя), то я с него могу логинеться в любой из этих 3-х доменов?

    Или, например, если у меня компьютер C2.Domen2.Domen.local, то я могу с него логинеться в Domen1.domen.local и Domen.local, если во всех трех доменах дубет его учетная запись (учетная запись компьютера)?

     

    Соответственно и по пользователям, если User1 создан во всех трех доменах, то я могу в них логинеться Domen\User1 или Domen1\User1 или Domen2\User1 без проблем?

     

    Т.е. я могу отовсюду залогинеться в любой домен и поддомен под любым пользователем, если там создать этого пользователя и учетку компьютера?

    6 апреля 2010 г. 13:15
  • Т.е. если у меня есть компьютер C1.Domen.local, а в ПОДдоменах Domen1.Domen.local и в Domen2.Domen.local созданы учетные данные этого компьютера (т.е. занесено его имя), то я с него могу логинеться в любой из этих 3-х доменов?

    Или, например, если у меня компьютер C2.Domen2.Domen.local, то я могу с него логинеться в Domen1.domen.local и Domen.local, если во всех трех доменах дубет его учетная запись (учетная запись компьютера)?

     Нет, не так. Вы можете присоединить (join) ПК только к одному домену, т.е. связь физического ПК с объектом Компьютер в БД контроллера домена может быть только одна. Поэтому и пройти аутентификацию этот ПК может только в том домене, где существует связанный с ним объект. Просто создание учётки Компьютера не даёт возможности пройти аутентификацию в домене для ПК с тем же именем, т.к. у них нет связи (общего пароля, которых хранится в объекте в БД АД и в реестре самого ПК). ПК должен пройти процедуру присоединения к домену, чтобы такая связь появилась. Пароль меняется автоматически, см. http://technet.microsoft.com/en-us/library/cc781050(WS.10).aspx

    Соответственно и по пользователям, если User1 создан во всех трех доменах, то я могу в них логинеться Domen\User1 или Domen1\User1 или Domen2\User1 без проблем?

     Вот это утверждение верно. Реально объект Пользователь, в данном случае, может представлять или одного и того же человека или трёх разных людей.

    Т.е. я могу отовсюду залогинеться в любой домен и поддомен под любым пользователем, если там создать этого пользователя и учетку компьютера?

    Ну а как теперь сами ответите на свой вопрос?
    • Помечено в качестве ответа Goblany 7 апреля 2010 г. 11:37
    6 апреля 2010 г. 16:18
  • Полуается, что если я знаю логин и пароль пользователя, то я смогу залогиниться на компьютере в любой домен, в котором есть пользователь с данным логином и паролем (при условии, что и компьютер в этом домене).

    Чтобы залогинеться нужен компьютер, который авторизован в домене, т.е. который мы ввели в этот домен. Причем, если мы ввели компьютер в домен Vtoroy.Domen.local, то он сможет залогиниться и в Domen.local и Vtoroy.Domen.local, но не сможем в Tretiy.Domen.local.

     

    6 апреля 2010 г. 18:01
  • Полуается, что если я знаю логин и пароль пользователя, то я смогу залогиниться на компьютере в любой домен, в котором есть пользователь с данным логином и паролем (при условии, что и компьютер в этом домене).

    Чтобы залогинеться нужен компьютер, который авторизован в домене, т.е. который мы ввели в этот домен. Причем, если мы ввели компьютер в домен Vtoroy.Domen.local, то он сможет залогиниться и в Domen.local и Vtoroy.Domen.local, но не сможем в Tretiy.Domen.local.

    6 апреля 2010 г. 18:01
  • Чтобы залогинеться нужен компьютер, который авторизован в домене, т.е. который мы ввели в этот домен. Причем, если мы ввели компьютер в домен Vtoroy.Domen.local, то он сможет залогиниться и в Domen.local и Vtoroy.Domen.local, но не сможем в Tretiy.Domen.local.


    Ещё раз повторю - ПК может пройти аутентификацию только в том домене, где существует связанный с ним объект Компьютер (т.е. только в домене, к которому он присоединён). Если мы ввели ПК в домен Vtoroy.Domen.local, то ПК сможет "залогиниться" только в домене Vtoroy.Domen.local.

    PS. Ещё раз внимательно перечитайте то, о чём мы здесь говорили

    6 апреля 2010 г. 20:54
  • Я сейчас проверяю эту теорию на пракике и у меня компьютер из домена Vtoroy.Domen.local логинется на Domen.local.

    А может быть такая ситуация, что компьютер Windows XP Prof был введен в домен Domen.local, а затем введен в домен Vtoroy.Domen.local. Тогда его запись в домене Domen.local сохраняется и он может туда залогиниться? Т.е. он логинется в оба домена.

    7 апреля 2010 г. 8:43
  • Я сейчас проверяю эту теорию на пракике и у меня компьютер из домена Vtoroy.Domen.local логинется на Domen.local.

    Мне кажется у Вас просто путаница в понятиях. В данном случае у вас не компьютер "логинется", а пользователь, который регистрируется в домене Domen.local с этого ПК.

    А может быть такая ситуация, что компьютер Windows XP Prof был введен в домен Domen.local, а затем введен в домен Vtoroy.Domen.local. Тогда его запись в домене Domen.local сохраняется и он может туда залогиниться? Т.е. он логинется в оба домена.

    ПК не может быть зарегистрированным сразу в двух доменах - это исключено. При вводе в домен Vtoroy.Domen.local, ПК автоматически выводится из домена Domen.local. Несмотря на то, что в домене Domen.local сохраняется учётка ПК, связь с ним разрывается. На самом ПК в реестре прописывается его принадлежность к домену Vtoroy.Domen.local.
    7 апреля 2010 г. 10:05
  • У меня есть домен Domen.local и пользователь User1@Domen.local

    Есть домен Vtoroy.Domen.local и пользователь User2@Vtoroy.Domen.local

    Есть компьютер Comp.Vtoroy.Domen.local. С этого компьютера я могу войти в Domen.local под учетной записью User1 и в Vtoroy.Domen.local под User2.

    7 апреля 2010 г. 10:10
  • У меня есть домен Domen.local и пользователь User1@Domen.local

    Есть домен Vtoroy.Domen.local и пользователь User2@Vtoroy.Domen.local

    Есть компьютер Comp.Vtoroy.Domen.local. С этого компьютера я могу войти в Domen.local под учетной записью User1 и в Vtoroy.Domen.local под User2.


    Оба варианта - да.
    7 апреля 2010 г. 11:17
  • Спасибо за помощь.
    7 апреля 2010 г. 11:38
  • Сделал домены:

     Domen.Local 192.168.0.0/24 - в него включил компьютер Comp1.Domen.local и пользователя User1@Domen.local 

    Dom1.Domen.Local 192.168.1.0/24 Comp2.Dom1.Domen.local и пользователя User2@Dom1.Domen.local 

    Dom2.Domen.Local 192.168.3.0/24 Comp3.Dom2.Domen.local и пользователя User3@Dom2.Domen.local 

     

    С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Dom1\User2 и войти в домен Dom1

    или

    С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Dom2\User3 и войти в домен Dom1

    или

    С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Dommen\User1 и войти в домен Domen

    12 апреля 2010 г. 11:20
  • С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Dom1\User2 и войти в домен Dom1

    или

    С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Dom2\User3 и войти в домен Dom2

    или

    С любого этого компьютера (Comp1, Comp2, Comp3) могу указать при входе, например Domen\User1 и войти в домен Domen


    Если под словом "войти" подразумевается процесс регистрации пользователя в сети (аутентификация), то - да. Об этом мы с Вами тут и говорили.

    PS. немного поправил названия доменов

    12 апреля 2010 г. 15:33
  • Сейчас проверил информацию про GC.

    У меня два дочерних домена Dom1.Domen.local и Dom2.Domen.local. У каждого есть контроллер DC1.Dom1.Domen.local и DC2.Dom2.Domen.local.

    Каждый их контроллеров является хозяином RID, PDC и Инфруструктуры. В остнастке AD сайты и службы также стоят галочки "Глобальный каталог".

    При отключение сервера DC.Domen.local (Контоллер домена Dkmtn.local) пользователи перестают создаваться, т.к. не удается проверить их уникальность.

    13 апреля 2010 г. 10:57
  • Раз проверить не удаётся - тут может быть несколько вариантов:

    - ещё не прошла или проблемы с репликацией - попробуйте выполнить её вручную в Active Directory Sites and Services

    - DNS - проверьте записи SRV начинающиеся на _gc

    -----------

    статья по поводу уникальности UPN: Possible Duplicate User Principal Names http://support.microsoft.com/kb/251359

     

    14 апреля 2010 г. 8:16
  • Проблемы были с репликацией GC из-за проблем в сети.

    15 апреля 2010 г. 10:29