среда, 29 сентября 2010 г.

Из переписки…

В чем разница между  OU - Security и Distribution ?

Во-первых, Security или Distribution бывают только группы, а не OU (Organizational Units)!

Во-вторых, Security Group - это то, что нам обычно нужно. Таким группам можно давать права и разрешения на объекты.
Distribution Group - это немного особый случай, они обычно нужны для почты (Exchange Server). С помощью Distribution Groups можно создавать списки рассылки - для спама, так сказатьclip_image001. Права и разрешения (на папки, файлы или OU) при их помощи задавать нельзя. Поэтому их называют Distribution Group (Группами Распространения) а не Security Groups (Группами Безопасности).

Рассказывают, как сделать добавление юзеров и прочие операции через командную строку. Неужто так делают до сих пор??? Ведь графический интерфейс проще и удобнее!

Нет, нет - это, ле-Азазель, не устаревшие методы из эпохи DOS.

Наоборот - только передовые админы (типа Кота-Бегемота) владеют ими.

Представьте себе, что есть люди, которым проще и удобнее написать одну строчку, чем продираться через дебри окошек и кликов мышкой. Когда появился Windows, люди разделились на два клана - мышисты и клавишисты. Каждый считал, что его способ быстрее и оптимальнее. Я, лично, за их разумное совмещение, потому что так можно добиться наибольшей скорости.

Но дело даже не в этом. Если вам нужно создать 2,000 пользователей в домене одним махом - это не то же самое, что создать двоих. В таком случае появляется мысль, что нужно каким-то образом автоматизировать процесс.
Вообще, есть люди, готовые просидеть 2 часа, чтобы автоматизировать процесс, который занял бы у них пол-часа вручную. Зато, как приятно видеть, что автомат срабатывает за 1 минуту! Но в этом сумасшествии м.б. смысл, когда одно действие нужно делать много раз. Кроме того - это этгар (на иврите) или challenge (на русском не подберу соответствия, м.б. вызов), а принимать вызов – свойство хорошего сисадмина.
Вообще, команды хороши, когда их используют в скриптах, например, batch-файлах. Скрипты как раз и предназначены для автоматизации повторяющихся рутинных задач.

И вообще, зря что ли Мелкософт придумал PowerShell (Vista / 7 / Server 2008). Это они подражают Linux, где всегда была сильная командная строка (в отличие от DOS / Windows). И скрипты теперь можно сильные делать. А еще раньше существовали такие команды, как netsh, которая чудеса творила (и творит).
А графика - это для дома, для старых бабушек !

N.B.

Но, на самом деле, сам я создаю пользователей таки в GUI clip_image002.

Может, потому, что по 2,000 не приходится ?

Схема Администратор - что это за зверь такой и в чем его задача состоит ?

Схема Администратор - по определению - администрирует схему clip_image003.

Вразумительно ?

Но на самом деле вопрос нужно ставить по-другому - что такое схема.

Если очень кратко - схема это Конституция для леса Active Directory (и доменов этого леса, соответственно). В схеме определено, какого рода объекты могут существовать в данном лесу (пользователи, компьютеры и т.д.) и какими свойствами они обладают (имя логина, телефон, размер обуви, цвет глаз и т.д.). Можно сказать, что схема содержит шаблоны объектов - такие шаблоны называют классами. Свойства объектов называются атрибутами и они также определяются схемой.

Когда мы создаем нового пользователя, он создается по некоторому шаблону. Иными словами, в момент создания нового объекта в Active Directory нам приходится выбирать из существующего набора классов объектов и мы, в данном случае, выбираем класс пользователей.

Теперь об атрибутах. На самом деле, классы без атрибутов не имеют смысла. Это как бы объекты, лишенные свойств, все равно, что человек без головы, рук, ног и туловища. Собственно говоря, атрибуты и определяют объект. Если атрибутом является толщина панциря, можно предположить, что мы имеем дело с объектом "Динозавр" (хотя, кто сказал, что цвет глаз у него отсутствует, ну а обуви он может и не носить).

Схему можно расширять. Вручную это делают нечасто, но есть программы, которые умеют это делать.

Exchange Server (почтовый сервер), например, может увеличить схему, т.е. количество объектов в ней, раза в два.

А Схема Администратор просто имеет право вносить изменения в эту самую схему, что очевидно. Теперь, надеюсь, понятно ?clip_image001[1]

Переводя с русского на русский. Схема это некий шаблон домена?
То есть, если в этой схеме написано, что существует почтовый сервер плюс могут быть группы менеджеров и бухгалтеров с наборов атрибутов - то это и есть шаблон ?

М-да. Ну, скажем так: схема - это не шаблон домена вообще, а шаблон тех объектов, из которых домен и лес состоят.
Объектами могут быть - группы, пользователи, компьютеры, принтеры, расшаренные папки и даже программы - много чего.
В схеме объекты не являются конкретными конечными объектами, "готовыми к употреблению".
Это всего-лишь заготовки, на основе которых строятся реальные вещи.
Если представить себе, что есть Б-г и у него есть шаблон человека, то каждый родившийся ребенок будет создан по его образу и подобию и иметь атрибуты (т.е. свойства), такие как 2 глаза, 2 ноги, 2 руки и кое-что в единственном числе (я имею ввиду сердце, конечно). Конкретный атрибут, может отличаться своим значением (на англ. values), например длиной ног или цветом глаз, но факт тот, что у всех (почти) есть 2 руки и 2 ноги.
Шаблонов в схеме должно быть столько, сколько типов объектов нам необходимо для работы.
Если нам нужны только ежики (в любом количестве), то нужно создать только один шаблон, который будет храниться в схеме. Свойством ежиков м.б. колючки, значит мы создадим в схеме один атрибут под названием "колючки". Этот атрибут мы присоединим к объекту "ежик" на уровне схемы. Тогда, все вновь создаваемые ежики будут автоматически иметь "колючки" в качестве свойства.
С другой стороны, мы можем создать в схеме еще один объект "кактус" и присоединить к нему атрибут "колючки", который уже существует.
Тогда все вновь создаваемые "кактусы" будут автоматически иметь "колючки" в качестве свойства.

Из этого примера видно, что атрибут "колючки" существует в схеме независимо от класса (шаблона) объекта, для которого он первоначально создавался. Поэтому атрибуты можно использовать повторно и присоединять их к другим классам.

Итак, еще раз. Шаблоны объектов мы называем классами, а свойства объектов мы называем атрибутами. Более того, что бы запутать вас еще больше, скажу, что классы и атрибуты объектов сами по себе являются объектами и их так и называют – объекты классов и объекты атрибутов. Только, в отличие от обычных объектов, они являются шаблонами, на основе которых создаются обычные “рабочие” или конечные объекты.

Да, кстати, в схеме нет конкретных названий групп - менеджеры, бухгалтера и т.д. Там есть определения абстрактных групп разных типов - глобальных, локальных и т.д.
А когда в "Active Directory Users and Computers" мы создаем группу, она создается по шаблону (классу) из схемы. Например, мы можем создать глобальную группу и как-нибудь ее назвать - "Крутые специалисты по Активной Директории" или там  "Хор девочек-пенсионерок".
Таких названий в схеме, конечно, нет и не будет, т.к. в схеме есть шаблоны абстрактных групп определенных типов, например, локальных или глобальных.

понедельник, 20 сентября 2010 г.

Вопросы по Active Directory + Ответы

http://itband.ru/2010/09/ad-answers/#more-8180

Сен 2010
logo Нашел в себе силы написать ответы на вопросы. Старался как можно полнее и яснее ответить на эти вопросы. Но, сами понимаете, это достаточно трудно. Да и если все детально описывать, то получится очередной resource kit. Пытался больше сосредоточиться на вопросах связанных с логикой работы AD, на другие вопросы предоставил ссылки в конце статьи. Большинство решений по вопросам проверены на практике или на стендах, на другие отвечал с использованием теории или логики. Будем верить, что теория не врет. По неясным вопросам готов пояснить дополнительно в комментариях («Истина рождается в споре»).

Вопросы:
1. Какие изменения в методах репликации произошли в GC Windows Server 2003 по сравнению с GC Windows Server 2000 при изменении (добавлении, удалении) признака PAS (partial attribute set) в схеме?
При изменении признака PAS в схеме у атрибута, GC под управлением Windows 2000 Server производил полную репликацию всех объектов, всех атрибутов (PAS) контекстов именования доменов, что способствовало увеличению репликации. В Windows Server 2003 производится репликация (а при удалении признака PAS локальное удаление) только измененного атрибута.

2. Сколько полных реплик NC (naming context), без учета NC-приложений, находится на GC в трех доменном лесе? Частичных реплик?
Полных три: схема, конфигурация, домен. Частичных реплик две.

3. Возможен ли поиск по всему лесу при соединении с GC по порту 389? Почему?
Нет, не возможен. При соединении с GC по порту 389, GC работает в контексте обычного DC и не позволяет использовать глобальный поиск, хотя может возвращать LDAP-пересылки.

4. Требуется ли доступность GC для разрешения членства в универсальных группах в однодоменном лесу? В много доменном лесу для пользователя из домена с функциональным уровнем Windows Server 2000 Native/2003? Имеет ли значение уровень домена/леса при таких операциях? Какой?
В однодоменном лесу не требуется. Все членство в группах находится в контексте именования домена. Уровень домена не влияет.
В много доменном требуется. Пользователь из домена с режимом 2000 Native или выше может состоять в универсальных группах других доменов, эти группы, в свою очередь, могут использоваться для авторизации (доступа к ресурсам) в родном домене. Соответственно требуется доступность GC. Функциональный уровень домена пользователя имеет значение. Если уровень домена 2000 Mixed, то пользователь не может состоять в универсальных группах как родного, так и другого домена (при добавлении в универсальную группу в неродном домене производится проверка уровня функциональности домена добавляемого объекта), поэтому наличие GC не нужно.

5. Сценарий доступности GC из 4, но для операций логона по UPN в однодоменном лесу? В многодоменном лесу? Имеет ли значение уровень леса/домена при таких операциях? Какой?
Контроллер домена при обработке UPN-входов использует локальную базу для разрешения UPN-логинов. Если в собственной БД UPN-логина нет, то производится обращение к GC. Поэтому в однодоменном лесу GC не требуется, в многодоменном в определенных случаях требуется, в других нет. Уровень домена/леса не имеет значение.

6. Для чего членство универсальных групп реплицируется на глобальный каталог?
Смотрите ответ на 4.

7. Членство в каких группах (доменно-локальных, глобальных, универсальных) реплицируется на GC? Членство каких групп может быть на GC?
На GC с других контекстов именования реплицируется членство в универсальных группах. На GC может быть членство во всех группах родного домена, плюс членство в универсальных группах других доменов.
8. Как происходит разрешение UPN при логоне, если пользователь из одного леса, входит на рабочую станцию другого леса, при этом существуют доверительные отношения между доменами леса (для упрощения — двухсторонние, глобальные (domain-wide))? Как происходит вход по UPN между лесами при наличии forest-trust? А если в обоих лесах есть домены с одинаковыми именами?

8.1. Поскольку TDO внешнего доверительного отношения не содержит список UPN-суффиксов леса доверяющего домена, то вход по UPN ограничен UPN-именами вида имяпользователя@доверяющий_домен.
8.2. TDO для forest— trust содержит дополнительную информацию, такую как, список UPN-суффиксов, список SPN-суффиксов и т.д. Поэтому между лесами возможен вход по UPN.
8.3. При наличии одинаковых UPN-суффиксов в двух лесах, суффиксы (одинаковые) разрешаются локально, обращение к другому лесу не происходит.

9. Рассмотрим такую топологию: один лес, два сайта (A и B), два домена (A и B); в сайте A есть 3 контроллера домена из домена A, в сайте B есть три контроллера домена из домена B и один из домена A. Если указать один контроллер домена из сайта A в качестве предпочтительного сервера-плацдарма (Bridgehead Server, BH) и впоследствии он будет выведен из строя (недоступен), будет ли выбран другой контроллер домена из этого же сайта в качестве BH? Предположим, что в сайте A не указаны предпочтительные BH, а в сайте B в качестве предпочтительных BH указаны контроллеры домена из домена B, будет ли контроллер домена из домена A сайта B выбран в качестве сервера-плацдарма для репликации NC домена A?
9.1. В данном случае, если в сайте А выбран в качестве BH GC, то при его недоступности другой BH выбран не будет. Если BH не GC и есть другой GC в сайте А, то 9.2.
9.2. Да. В сайте должен быть как минимум один BH на раздел, поэтому KCC выберет контроллер домена A в сайте B в качестве BH для репликации контекста именования домена А.

10. При обращении к GC по 3268 возможны ли операции модификации объектов? возвращение атрибутов не входящих в PAS?
Модификация объектов невозможна. Возвращение атрибутов не из PAS, а соответственно и поиск, невозможен. Даже для объектов родного домена. Объясняется это тем, что при использовании DC по порту 3268 (3269), DC переключается в режим работы GC.

12. В каких случаях используется UDP для LDAP?
Используется механизмом DCLocator из Netlogon. Получается некий LDAP-пинг по UDP. Используется первый ответивший контроллер домена. Далее стандартный механизм поиска ближайшего контроллера.

13. Для репликации каких контекстов именования можно использовать SMTP в качестве транспорта?
Любых, кроме родного доменного контекста. Я думаю это связано с безопасностью транспортировки данных контекста домена – пароли и другие секреты.

14. Какие контексты именования не поддерживают авторизованное восстановление?
Авторизованное восстановление это изменение метаданных репликации атрибутов или значений (LVR). Применение команды авторизованного восстановление (ntds … auth restore) поддерживается для любых типов контекстов именования. Но не для всех объектов/атрибутов происходит изменение этих метаданных, например для схемы они вообще не изменяются, для других выборочно. Поэтому не все можно восстановить с помощью авторизованного восстановления. Дополнительная информация об авторизованном восстановлении обсуждается в 60 вопросе.

15. Рассмотрим ситуацию: Вы добавили группу MyAccountAdmin в группу Account Operators (Уровень леса Windows Server 2003), после этого вы делегировали полномочия другому администратору на добавление членов в группу MyAccountAdmin. Все работает, человек с делегированными правами добавляет пользователей в группу MyAccountAdmin. Спустя некоторое время вам сообщают о невозможности добавления членов в группу MyAccountadmin. Что случилось?
Скорее всего, на PDC запустился процесс SDProp. Запускается по умолчанию каждый час. Есть ряд групп, которые защищаются с использованием AdminSdHolder – Domain Admins, Enterprise Admins, Account Operators и т.д. При запуске данного процесса происходит проверка ACL всех участников безопасности (пользователей, групп, компьютеров), которые состоят в этих защищенных группах (явно или неявно) с ACL AdminSDHolder. Если ACL расходятся, то они затираются ACL AdminSDHolder (даже если ACL наследуется от родителя).

16. Какие типы групп кэшируются в процессе Universal Group Membership Caching (UGMC)?
Глобальные и универсальные.

17. Для чего необходима FSMO-роль Infrastructure? желательно развернуть ответ со ссылкой на внутреннюю структуру NTDS.dit.
FSMO-роль Infrastructure используется для обновления информации фантомных объектов. В таблицах NTDS.dit используется специальный идентификатор (DNT, 32бита) для идентификации объектов. Ссылки на объекты также реализуются с помощью DNT. Все объекты хранятся в одной таблице. Чтобы один объект мог ссылаться на другой, необходимо его присутствие в БД. Поэтому если пользователь из одного домена добавляется в группу другого домена, то необходимо создать некий фантомный объект пользователя в БД, присвоить ему DNT, а после этого ссылаться на него. Информацию об этих фантомных объектах (например, SID, имя) нужно обновлять. Infrastructure Master использует GC (поскольку на нем есть все объекты леса) для обновления информации о фантомных объектах, эти изменения затем реплицируются на другие контроллеры в домене. Если Infrastructure Master также является GC, то создавать фантомы ему не нужно, обновлять информацию о них также не нужно, поскольку все эти данные находятся локально в БД. Поэтому изменившая информация объектов других доменов при размещении Infrastructure Master на GC не будет распространена на другие контроллеры в домене. Если остальные контроллеры домена также являются GC, то ни каких проблем не возникает.

18. Что такое объекты Foreign Security Principal?
Эти объекты (Foreign Security Principal) создаются при добавлении участников безопасности из внешних доменов в группы и фактически являются их фантомами. В отличие от фантомов (в случае Infrastructure Master), их можно увидеть в CN=ForeignSecurityPrincipals контекста именования домена.
Также к этому классу относятся специальные участники безопасности (располагаются также в cn=WellKnown Security Principals). Можно сказать что это системные группы с динамическим содержанием, в их числе Authenticated Users, EveryOne и т.д.

19. Какой ролью обновляются объекты Foreign Security Principal и соответствующие ссылки на эти объекты?
Создаются при добавлении участника безопасности из внешнего домена в группу. Далее никак не обновляются.

20. Во время изменения схемы проверяются ли объекты других контекстов именования на валидность новой схемы?
Нет. Схема имеет такие особенности и правила изменения, что существующие данные в других контекстах будут согласованы и не требуют проверки.

21. Рассмотрим такую ситуацию: есть определенный в схеме атрибут, attrX, строковый, максимальная длина 25, атрибут ассоциирован с некоторым классом — classX. Предположим что существуют объекты класса classX, атрибут attrx которых заполнен до 25 символов. Что произойдет со значениями атрибута attrX существующих объектов classX, если мы изменим максимальную длину атрибута attrX до 10?
Ни чего с существующими значениями атрибутов не произойдет, они будут доступны на чтение, запись, очистку, но к последующим операциям изменения будут применяться новые ограничения схемы — максимальная длина атрибута = 10

22. Опишите процесс входа пользователя по UPN (однодоменный лес, много доменный лес):
В однодоменном лесу происходит разрешение UPN-входа с использованием локальной базы DC. В много доменном происходит разрешение UPN-входа с использованием локальной базы DC, с которым компьютер установил защищенный канал. В случае неудачи, идет обращение этим DC к GC для поиска UPN-логина, затем пользователь перенаправляется на «родной» DC. Вход между лесами описан в вопросе 8.

23. Где хранится кэш универсальных групп полученный в процессе Universal Group Membership Caching (UGMC)?
Кэш групп хранится в атрибуте msDS-Cached-Membership, данный атрибут не реплицируется. На процесс кэширования могут влиять следующие атрибуты — msDS-Cached-Membership-Time-Stamp, msDS-Site-Affinity и некоторые значения реестра. В основном эти значения используются для определения устаревания КЭШа.

24. Как сохранить кэш универсальных групп полученный в процессе Universal Group Membership Caching при перезапуске контроллера домена?
Поскольку он хранится в атрибуте, то ни какие перезагрузки ему не страшны.

25. Опишите процесс Universal Group Membership Caching при первом входе пользователя в сайт? Обновление кэша? Последующий вход?
25.1. Пользователь впервые аутентифицируется на контроллере домена в сайте с включенной опцией UGMC, контроллер домена извлекает все SID пользователя, включая sidHistrory, SIDы глобальных групп и, используя эту информацию, запрашивает данные о членстве в универсальных группах с GC. Далее членство в глобальных и универсальных группах сохраняются в атрибуте msDS-Cached-Membership, в атрибут msDS-Cached-Membership-Time-Stamp записывается время обновления КЭШа, в атрибут msDS— Site— Affinity записывается сайт входа пользователя и время (на запись этого атрибута могут влиять параметры реестра SamNoGcLogonEnforceNTLMCheck и SamNoGcLogonEnforceKerberosIpCheck). Затем извлекаются доменнолокальные группы. Далее процесс входа штатный.
25.2. Заполнение (а также обновление) КЭШа контроллерами домена в сайте основывается на атрибуте msDS-Site-Affinity. Если этот атрибут отсутствует, то два других атрибута очищаются (по 64 учетных записей за цикл). Также этот атрибут проверяется на устаревание, в случае чего очищается. Иначе происходит запрос глобальных и универсальных групп с GC и обновление атрибутов msDS-Cached-Membership и msDS-Cached-Membership-Time-Stamp. Процесс, по умолчанию, происходит для 500 учетных записей. Оставшиеся — не обновляются.
25.3. Пользователь аутентифицируется на контроллере домена в сайте, для которого включена опция UGMC. Контроллер домена проверяет наличие значений атрибутов msDS— Cached— Membership и msDs— Chaced— Membership— Time— Stamp. Если значение кэша не просрочено (текущая_дата — msDS— Cached— Membership— Time— Stamp < значения реестра Cached Membership Staleness (minutes)), то используются универсальные и глобальные группы из атрибута msDS— Cached— Membership, если просрочен, то инициируется запрос к GC, как при первоначальном входе. Атрибут msDS-Site-Affinity является реплицируемым, поэтому обновлять его можно нечасто (сходимость данных в AD). На частоту обновления этого атрибута влияет значение реестра Cached Membership Site Stickiness (minutes). Далее процесс входа штатный.

26. Как происходит выбор глобального каталога при Universal Group Membership Caching.
Используется GC в соответствии со стоимостью связей сайтов, если не выбран конкретный сайт.

27. Какой учетной записи разрешается входить в домен при недоступности глобального каталога (upn-вход, универсальные группы)?
Учетной записи администратора.

28. Как происходит обмен кэшем Universal Group Membership Caching между контроллерами домена?
Сам обмен КЭШем не происходит, атрибут msDS-Cached-Membership является не реплицируемым. Кэш на каждом контроллере домена (Win2k3+) в сайте с данной опцией обновляется самостоятельно, с определенным интервалом, по умолчанию 8 часов. Заполнение КЭШа основывается на атрибуте msDS-Site-Affinity пользователя, этот атрибут реплицируется, он указывает на то, в каком сайте аутентифицировался пользователь и время аутентификации.

29. Максимальное (по умолчанию) число учетных записей для которых производится обновление кэша универсальных групп?
500. Значение реестра Cached Membership Refresh Limit, ветка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

30. Может ли быть включена опция кэширования универсальных групп, если в сайте есть Windows 2000 Server контроллеры домена? Если включить опцию при этих условиях, каковы возможные последствия?
Данная опция может быть включена, опция ни как не влияет на контроллеры домена windows 2000 Server (они ничего не знают про UGMC). В сайтах с Windows 2000 Server могут наблюдаться расхождения членства в группах. Windows 2000 использует данные о членстве пользователя в группах в соответствии со своей локальной базой, а также возможно информацию о универсальных группах с GC. Windows Server 2003 использует информацию о членстве в универсальных и глобальных группах из КЭШа и обновляет его с определенной периодичностью. Поэтому пользователь аутентифицирующийся с помощью двух разных контроллеров домена может получить различное членство в группах.

31. Используется ли расписание репликации связи сайтов (site link) в процессе обновления кэша универсальных групп?
Да, процесс обновления КЭШа использует расписание связи сайтов для обновления членства в глобальных и универсальных группах с выбранного GC.

32. Для построения маркера (возврат списка групп) используются данные о членстве в группах из кэша или непосредственно из "родного" контекста именования контроллера домена?
Для построения маркера (для заполнения PAC-поля билета TGT в случае аутентификации Kerberos) используются данные из КЭШа (UGMC). Поэтому если вы, добавите пользователя в глобальную или универсальную группу из того же домена, то эти данные запишутся в БД на DC, далее они должны будут реплицироваться на GC, а потом с этого GC будет произведено обновления КЭШа (в соответствии с периодичностью обновления и расписанием репликации). Только после этого эти данные попадут в маркер пользователя (во время входа или обновления билета- TGT).

33. Какая служба предоставляет матрицу стоимости сайтов? Какими компонентами используется?
Матрица стоимости сайтов предоставляется службой Intersite Messaging (IM). При уровне леса меньше Windows 2003, KCC на ISTG использует данную службу для построения топологии репликации. При более поздних уровнях леса, KCC на ISTG не использует IM. Также такие компоненты как, NetLogon, DFS, UGMC, используют матрицу стоимости сайтов генерируемую IM. При конфигурировании мостов связей сайтов, а также при отключении Bridge all site links необходимо учитывать особенности использования матрицы стоимости сайтов этими службами.

34. Что будет если указать сайт для обновления кэша универсальных групп, в котором нет глобального каталога или на момент процесса обновления кэша глобальный каталог недоступен?
Будет использоваться GC из ближайшего сайта, в соответствии с матрицей стоимости сайтов.

35. Как очистить кэш UGMC?
Для очистки КЭШа отдельной учетной записи необходимо очистить атрибуты msDS— Cached— Membership и msDS-Cached-Membership-Time-Stamp этой учетной записи. Для очистки КЭШа для всех учетных записей контроллера домена, необходимо установить значение реестра Cached Membership Site Stickiness (minutes) = 0 и запустить процесс обновления кэша.

36. Как запустить процесс обновления кэша UGMC?
Установите значение updateCachedMemberships в 1 объекта rootDSE контроллера домена или перезагрузите контроллер домена.

37. Рассмотрим такую ситуацию: есть сайт, для него включен механизм UGMC, в сайте два контроллера из разных доменов (DC1 и DC2), пользователь впервые входит в домен (DC1). Когда и как будет заполнен UGMC на DC2 для этого пользователя?
Поскольку в качестве КЭШа используется атрибут объекта пользователя (или компьютера) и этот атрибут не реплицируется, то на DC2 кэш не распространится и не заполнится. Все необходимые универсальные группы будут получены из КЭШа DC1, все остальные группы второго домена будут получены из локальной базы (в случае запроса служб из домена DC2).

38. Почему не рекомендуется назначать права на объекты Active Directory с использованием доменно-локальных групп?
На глобальный каталог реплицируются все объекты с соответствующими дескрипторами безопасности. Если пользователь будет искать объекты на глобальном каталоге неродного домена и на эти объекты будут назначены разрешения с использованием доменно-локальных групп, то пользователю будет отказано в доступе (если нет разрешений с использованием других групп или непосредственного назначения прав пользователя). Это происходит потому, что членство в доменно-локальных группах не реплицируется на глобальный каталог и доменно-локальные группы исключаются из TGT— referal.

39. Назовите условия объявления GC к готовности выполнять свои функции (isGlobalCatalogReady=true), при различных версиях ОС? Допускается ли объявление GC без репликации частичных реплик всех доменов леса (кроме своего)? Допускается ли неполная (не все объекты) репликация частичных реплик на DC до объявления DC в качестве GC (isGlobalCatalogReady=true)?
Условия объявления GC готовым к работе (rootDse.isGlobalCatalogReady=true, регистрация SRV-записей GC) различны, настраиваемы и отличаются в различных версиях AD. В Windows Server 2003 и Windows 2000 Server SP3 необходимо чтобы все частичные реплики леса были полностью реплицированы на GC. В Windows 2000 Server SP1 и SP2, чтобы все частичные реплики сайта были полностью реплицированы. Условия варьируются от «не требуется репликации реплик» до «полностью все реплики в лесу». Настраивается значением реестра Global Catalog Partition Occupancy Level Values = от 0 до 6. Если необходимо реплицировать реплики, то все объекты реплики должны быть реплицированы, прежде чем GC будет готов к работе. Это поведение изменяется значением реестра Global Catalog Delay Advertisement (sec).

40. Может ли выступать GC в качестве источника репликации для другого GC? Может ли выступать GC в качестве источника репликации для DC (не GC)?
GC может выступать в качестве источника репликации частичных реплик, а также для репликации полных реплик разделов конфигурации, схемы, «родного» домена, разделов приложений.

41. Что такое up-to-dateness vector? Для чего предназначен?
Up— to— Dateness vector – это ассоциативный массив используемый при фильтрации реплицируемых атрибутов. Состав элемента – InvocationID (Database GUID), наивысший реплицированный оригинальный USN (Origination USN), время последней удачной репликации (появился во второй версии вектора – win2k3). InvocationID является ключом этого ассоциативного массива.

42. Что такое high-watermark ? Для чего предназначен?
High— watermark или direct up— to— dateness vector – значение наивысшего локального USN реплицируемого с конкретного DC. Используется для фильтрации объектов, которые необходимо реплицировать

43. В чем отличие up-to-dateness от high-watermark?
Два данных значения используется совместно, но один используется для фильтрации необходимых для репликации объектов (high— watermark), а другой для фильтрации необходимых для репликации атрибутов (up— to— dateness vector). То есть при необходимости репликации, dc-назначение передает high— watermark dc-источнику, dc-источник использует значение из high— waterark для фильтрации всех объектов, которые уже были реплицированы на dc-назначение с этого DC (usnChanged>high— watermark). После этого используется up— to— dateness vector для фильтрации атрибутов отфильтрированных объектов, которые необходимо реплицировать (некоторые атрибуты могли ранее реплицироваться через другие контроллеры-посредники).

44. Что такое invocationID? Как используется при восстановлении из резервной копии?
InvocationID – это уникальный идентификатор БД NTDS.DIT, он изменяется при восстановлении БД (также при добавлении и удалении разделов приложений в БД ntds.dit). Используется в up— to— dateness vector при репликации. После восстановления изменяется, старое значение добавляется в up— to— dateness vector. Далее этот вектор используется для запроса изменений с контроллеров домена, то есть в принципе процесс ничем не отличается от обычной репликации.

45. Почему существует практическое ограничение (примерно) на 5000 членов в группе в лесу с функциональным уровнем windows 2000? Осталось ли ограничение на добавление одновременно более 5000 членов в группу в лесу с функциональным уровнем Windows 2003?
Практическое ограничение основано на ограничении LDAP-транзакции. Контекст LDAP-транзакции – объект. Практическое максимальное число значений, изменяемых в одной транзакции равно 5000. В windows 2000 Server (уровень леса) не используется LVR репликация, поэтому существует ограничение на 5000 значений в атрибуте member. При LVR метаданные репликации хранятся для каждого отдельного значения многозначного связанного атрибута. В случае с Windows 2000 Server, метаданные репликации хранятся для целого многозначного связанного атрибута, поэтому при изменении одного значения атрибута member необходимо реплицировать весь атрибут, поскольку реплицируется весь атрибут, возникает практическое ограничение размера LDAP-транзакции.
В Windows Server 2003 (уровень леса) ограничение на размер транзакции остается, но используется LVR-репликация. Поэтому одновременное добавление более 5000 членов может вызвать проблемы, но в группе может быть больше 5000 членов и проблем с репликацией не возникает. Стоит заметить, что при репликации, измененные значения могут записываться в разных транзакциях, из-за использования LVR.

46. Какие проблемы могут быть при авторизованном восстановлении объектов с обратными ссылками после перехода на лес с функциональным уровнем Windows Server 2003? Какие есть способы решения данных проблем?
Рассмотрим пример с восстановлением пользователя, который входил в некоторые группы. Поскольку при уровне леса Windows 2000 не используется LVR, то метаданные репликации хранятся для цельного атрибута member. Если мы перешли на лес Windows 2003, то метаданные автоматически не изменятся. При изменении значения в этом атрибуте, для него (конкретного значения) создаются отдельные метаданные репликации. Если LVR для значения есть (прямая ссылка), то ntdsutil (windows Server 2003) при авторизованном восстановлении пользователя использует эти метаданные и производит авторизованное восстановление прямой ссылки (обратная ссылка вычисляется). Если метаданных для прямой ссылки нет, то она не восстанавливается и членство пользователя в группе (ах) не восстанавливается. Членство пользователя в группах других доменов также не восстанавливается. Для решения этих проблем используются средства ntdsutil из Win2k3 Sp1, а также ряд других способов.

47. Рассмотрим такую ситуацию: Имеется три сайта (SiteA, SiteB, SiteC), два домена (DomainA, DomainB), два контроллера домена для DomainA (DC1, DC2) и один контроллер домена для DomainB (DC3). DC1 и DC3 – глобальные каталоги. Связь сайтов LINK-A-B связывает сайты SiteA и SiteB, связь сайтов LINK-B-C связывает сайты SiteB и SiteC. Контроллеры домена DC1, DC2 и DC3 располагаются в сайтах SiteA, SiteC, и SiteB соответственно. Все остальные настройки по умолчанию. При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будут ли созданы соединения (между этими контроллерами) для репликации DomainA? При недоступности связи между контроллерами домена DC1 и DC2 (сайтами SiteA и SiteC) будет ли реплицироваться контекст DomainA (попадут ли изменения сделанные на DC1 на DC2)?
47.1. Соединения для репликации контекста DomainA будут созданы, поскольку bridge all site links включен по умолчанию. DC3 в промежуточном сайте хоть и содержит раздел DomainA, но выступать в качестве источника репликации не может. Поэтому будет создано соединение для репликации DomainA между DC1 и DC2.
47.2. При недоступности связи между контроллерами DC1 и DC2 репликация DomainA не возможна, хотя на DC3 изменения будут реплицироваться.

48. Опишите принцип объявления атрибута как прямой ссылки (forward-link) и обратной ссылки (backward link)? Как это выглядит в БД ntds.dit?
Атрибут LinkID у атрибута в схеме указывает на то, что атрибут является связанным. При этом четное число указывает на прямую ссылку (forward— link), а следующее число указывает на обратную ссылку. Например, для атрибута member LinkID=2, а для атрибута memberOf LinkID=3. Значение этого атрибута должно быть уникальным в лесу.
Выглядит в БД примерно так (на примере членства пользователя в группе):
tabl
Соответственно можно получить по первому и второму столбцу всех членов группы (прямые ссылки), по второму и последнему все группы, к которым относится пользователь (обратные ссылки). Прямая ссылка может быть однозначной или многозначной, обратная всегда многозначная.

49. Как в LDAP-запросе вернуть значения многозначного атрибута частично (порциями)?
Есть ограничение на число возвращаемых значений из многозначного атрибута. Для Win2k – 1000, для Win2k3 – 1500. Для того чтобы вернуть значения по частям, необходимо использовать специальный спецификатор – Range. Формат использования: атрибут;Range=начальное_значение— конечное_значение. Например в ldp, необходимо в Attributes вписать “member;Range=1500—3000”. Использование в ADSI и System.DirectoryService аналогичное. LDAP-сервер должен поддерживать специальный контрол — .2.840.113556.1.4.802.

50. Что такое конфиденциальный атрибут?
Это тип атрибута, появившийся в Windows Server 2003 SP1, для чтения которого необходимы не только права READ_PROPERTY, но и CONTROL_ACCESS. По умолчанию, только группе Administrators делегированы права Contol_access на все объекты. Этот способ также используется совместно с FAS, для обеспечения безопасности конфиденциальной информации в среде с RODC. Настраивается на уровне атрибута в схеме, для этого необходимо изменить атрибут searchFlags.

51. Назовите категории классов, которые можно создать в схеме. Опишите особенности и назначение каждой категории.
В AD существует четыре вида классов: структурные, абстрактные, добавочные (auxiliary) и классы-88 (устаревшие, относятся к старой спецификации – до 1993 года; в AD не используются). У каждого типа классов есть особенности наследования. Объекты в AD могут быть созданы только на основе структурных классов. Структурный класс может наследоваться от абстрактного класса, но не наоборот. В остальном наследование классов ограничено только своей категорией. Абстрактные классы описывают общность, на их основе нельзя создать экземпляры. Добавочные классы можно добавлять к структурным классам, при определенных условиях удалять из этих классов. Добавочные классы используются для расширения классов.

52. изменение коннектов репликации. Изменение при помощи adsiedit.msc.
Здесь подразумевался вопрос про владельцев соединений репликации, их изменение, а также изменение через ldap/adsi-утилиты.

53. Кратко опишите способы отката расширения схемы в лесу.
1) Необходимо выбрать один подходящий DC в каждом домене. Критерии «хороший» бэкап, DNS- сервер, не-GC, RID, Schema Master и Domain Naming Master.
2) Изолировать выбранные DC, остальные отключить физически от сети или выключить.
3) Начиная с корневого домена, восстановить DC из резервной копии, SYSVOL восстановить авторизовано. Убедиться в целостности данных. Отключить требование проведения первоначальной репликации для продолжения выполнения своих функций как DC и как FSMO-мастера.
4) Если это GC, то нужно удалить GC.
5) Увеличить RID-пул на большое количество (рекомендуется 100000)
6) Очистить метаданные других контроллеров, сбросить пароль на учетке контроллера домена (дважды), сбросить пароль на krbtgt (дважды), сбросить пароль TDO-объектов для доменов (trusting) леса.
7) провести операции с 3-6 для других доменов, начиная с родительских.
Установить дополнительные DC через dcpromo. Сделать ребилд RODC.
Это если вкратце. Вообще процесс достаточно сложный и тут необходимо его хорошо изучить и постоянно тестировать в изолированной среде. В конце статьи есть ссылка на документ, описывающий данные процедуры.
Поясню лишь некоторые особенности восстановления:
Почему необходимо восстанавливать только один DC? Можно восстанавливать и несколько DC, но тогда возрастает вероятность появление поврежденных данных в лесу.
Почему не рекомендуется восстанавливать GC? Потому что GC содержит данные из других разделов и при восстановлении могут появиться lingering-объекты. Если все таки, восстанавливается GC, то необходимо удалить признак GC, а потом заново включить (тут возникнут проблемы с репликацией объектов из других контекстов и объявления isGlobalCatalog — решается определенными значениями в реестре) или удалить lingering-объекты посредство repadmin.
Почему нужно очищать метаданные других контроллеров, сбрасывать пароли на учетной записи компьютера, сбрасывать пароль на krbtgt, TDO? Все это делается для того чтобы гарантировать, что поврежденные контроллеры домена не смогут реплицироваться с восстановленным DC и опять повредить данные в лесу. Если есть гарантия, что контроллеры в лесу выключены, то данные действия проводить не нужно. Очистка метаданных осуществляется еще и для оптимизации процессов генерации топологии KCC.
Почему нужно делать ребилд RODC? В них также могут находиться устаревшие данные (lingering-объекты) – нет гарантий, что резервная копия содержит самые последние данные (этого очень трудно добиться).
Почему нужно увеличивать следующий RID-пул? Даже если контроллер домена был RID, после восстановления необходимо увеличить следующий RID-пул, поскольку со времени резервной копии могли быть созданы участники безопасности и назначены соответствующие права этим учетным записям.

54. Почему не рекомендуется размещать FSMO-роль Infrastructure на GC? При каких условиях можно/нельзя?
См. ответ на 17.

55. Может ли использоваться протокол Kerberos между не доменной машиной и доменной?
Да. Может использоваться между не доменной машиной из не- Windows Kerberos-сферы и доменной машиной. Также Kerberos может использоваться между лесами без доверительных отношений. Между не доменной машиной и доменной используется NTLM.

56. Можно ли удалить объекты из контекста именования схемы? Как предотвратить немедленное удаление экземпляров отключенных классов? Как предотвратить немедленную очистку атрибутов у экземпляров классов, у которых есть отключенные атрибуты? Доступны ли экземпляры отключенных классов для чтения, изменения, удаления? Доступны ли для чтения, изменения, удаления отключенные атрибуты у экземпляров классов (операции проводятся с экземплярами классов, у которых есть отключенные атрибуты)?
Удалить объекты из контекста именования схемы нельзя (на уровне DSA). Удаление экземпляров отключенных классов не происходит, они остаются в БД. Очистки значений отключенных атрибутов также не происходит. Экземпляры отключенных классов доступны на чтение, соответственно поиск, а также удаление. Значения отключенных атрибутов доступны на чтение, очистку, по ним можно искать.

57. Может ли FSMO-роль Schema и Domain Naming располагаться на DC не из корневого домена?
Да. По причине глобальности двух разделов Schema и Configuration (контейнер Partition).

58. Можно ли создать объекты класса или атрибута в схеме с одинаковыми идентификаторами (AttributeID, governsID, ldapDisplayName и т.д.)? Могут ли быть эти классы активными?
В Windows Server 2003 появилась возможность создавать классы/атрибуты с одинаковыми идентифицирующими атрибутами (AttributeID, governsID, ldapDisplayName и т.д.). Единственное условие, чтобы DN этих классов или атрибутов были различными. Атрибуты или классы с одинаковыми идентифицирующими атрибутами не могут быть активными одновременно. В Windows Server 2000 нельзя было создать два класса или атрибута с одинаковыми идентифицирующими атрибутами.

59. —

60. Можно ли откатить назад операцию повышения функционального уровня леса/домена?
Да, в Windows Server 2008 R2 появилась функция отката функционального режима леса/домена с 2008 R2 на 2008. Для функционального уровня леса дополнительным условием является отключенная корзина AD.
Также можно произвести восстановление леса, процедура описана в ответе на вопрос 53.
Можно также предположить, что достаточно будет авторизованное восстановления раздела конфигурации и домена. Если авторизовано восстановить конфигурацию (CN=Partitions,CN=Configuration) и раздел домена, то из этого ничего не выйдет, данные о функциональном уровне будут реплицированы обратно. Это происходит по причине того, что ntdsutil увеличивает версии атрибутов выборочно, и для msDs— BehaviorVersion этого не происходит. Это правильно для функционального уровня леса и домена. Но что же случится, если восстановить (авторизовано или неавторизованно, не имеет значения) контекст домена (msDS— BehaviorVersion есть у объекта домена) и в лесу есть контроллеры доменов из других доменов, а из этого домена это единственный контроллер домена? С глобальных каталогов этот атрибут не может реплицироваться. Данный атрибут, на самом деле, вычисляется на основе атрибута msDS— BehaviorVersion контейнера cn=partitions (то есть на основе уровня леса). И получается следующее: Был уровень леса и домена 2003, сделали резервную копию, подняли уровень домена до 2008R2, уровень леса до 2008. После восстановления из резервной копии уровень леса будет 2008, уровень домена откатится до 2008. Хотя я предполагал, что уровень домена восстановится на прежний уровень (то есть на 2008R2) за счет использования атрибута msDS— BehaviorVersion объектов cross— ref (у них также не происходит изменение метаданных при авторизованном восстановлении).

61. В какой версии Windows появились функциональные уровни леса?
Windows Server 2003. В Windows 2000 Server нет соответствующих атрибутов для идентификации функциональных уровней (DC, домена, леса). Хотя есть признак mixed у домена.

62. Поддерживает ли режим функционирования Windows 2003 Interim контроллеры домена Windows 2000 Server? Контроллеры домена Windows Server 2008? Контроллеры домена Windows Server 2008 R2?
Нет, только Windows Server 2003. Данный режим используется для обновления с Win NT 4.0. Windows 2008/2008 R2 не поддерживают контроллеры домена Win NT 4.0.

63. Какие проверки делаются при повышении функционального режима леса? Домена? (с учетом различных версий контроллеров домена и различных уровней функционирования домена).
Уровни леса и домена, в том виде как они представлены по сей день, появились, начиная с Windows Server 2003. В Windows 2000 Server был лишь переключатель режима домена от смешанного (mixed) к основному (native). Помимо функционального уровня леса и домена, существует функциональный уровень контроллера домена, его нельзя повысить или понизить. Атрибут msDSBehaviorVersion указывает на функциональный уровень; он есть у объектов доменов, cross— reference, NTDS Settings, CN=Partitions. При повышении уровня леса или домена, происходит проверка этого атрибута у объектов NTDS Settings контроллеров домена в контексте конфигурации. msDSBehaviorVersion леса или домена не должен быть больше соответствующего атрибута контроллеров домена.
У WinNT 4.0 контроллеров домена нет объектов в конфигурации, в этой ситуации происходят дополнительные проверки. При повышении уровня леса до win2k3, происходит проверка доменов на признак работы в основном режиме (ntMixedDomain=0), это гарантирует отсутствие WinNT 4.0 контроллеров (хотя они конечно могут быть:)). Проверки на отсутствие WinNT4.0 контроллеров домена при повышении уровня домена до Win2k3 или при переключении в основной режим 2k, возлагаются системного администратора.
При переключении в режим 2003 Interim проверяется отсутствие контроллеров с windows 2000 Server, проверка на основной режим домена не производится.
Полезные ссылки и литература:
Распределенные системы. Ресурсы Windows 2000.
Windows Server2008 Resource Kit. Active Directory.
Ограничения Active Directory: http://technet.microsoft.com/en-us/library/cc756101 (v=WS.10).aspx
Цикл технических статей по AD: http://technet.microsoft.com/en-us/library/cc780036 (v=WS.10).aspx
AdminSDHolder, SDPROP: http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx
Структура Up-To-Dateness: http://msdn.microsoft.com/en-us/library/cc228451 (v=PROT.13).aspx
Использование Range-спецификатора: http://msdn.microsoft.com/en-us/library/ms676302 (v=VS.85).aspx
Windows Security Collection: http://technet.microsoft.com/en-us/library/cc784886 (v=WS.10).aspx
Planning for Active Directory Forest Recovery: http://technet.microsoft.com/en-us/library/planning-active-directory-forest-recovery (WS.10).aspx
Восстановление объектов AD: http://technet.microsoft.com/ru-ru/magazine/2007.09.tombstones.aspx и http://technet.microsoft.com/en-us/magazine/2007.04.adrecovery.aspx

Gennady Efimov

среда, 15 сентября 2010 г.

Depositfiles Uploader

Shared uploader

 

Guest uploader

Вчера (14 сентябя) я подписался на Depositfiles, поскольку Rapidshare не только

суббота, 11 сентября 2010 г.

Переход к AD 2003 с Домена NT.

Навеяло предстоящим занятием с группой MCSE 2003 - 2279B. Они – последние из могикан – изучают сервер 2003.

Да, сегодня прошло 9 лет со дня теракта против Башен-Близнецов.

 

a. Обновление (во всех вариантах требуется предварительное обновление схемы AD: ADPREP /forestprep /domainprep)

1. Непосредственное обновление Server NT (в роли PDC) до Server 2003 на том же компьютере. Недостаток – тяжкое наследие старой версии NT сервера со всеми проблемами, накопившимися за годы его существования.

2. Установка Server 2003 на новом компьютере:

- предварительная установка NT Server (причем в роли BDC, поскольку PDC уже существует и он м.б. в домене только один),

- поднятие NT Server до роли PDC и обновление его до Server 2003.

- удаление (по возможности) всех NT домен-контроллеров.

- поднятие функциональных уровней домена и леса.

Недостаток – установка 2003 поверх NT, преимущество – чистый NT.

(как в анекдоте: первая новость плохая – есть будем только г. (NT), вторая новость хорошая – г. будет много (NT будет чистый)).

3. Как вариант, стоит рассмотреть установку промежуточного сервера, на котором (как и в стандартном варианте) предварительно создается NT Server в роли BDC, затем NT Server поднимается до роли PDC и обновляется до Server 2003 (DC) . Затем начинаются различия.

- на еще одном компьютере устанавливается Server 2003.

- новый Server 2003 поднимается до роли DC (тут ведь уже не существуют PDC и BDC, хотя NT BDC еще остается – помним ?).

- на новый Server 2003 передаются FSMO роли с промежуточного сервера (ведь новый сервер не побывал в роли NT PDC и роли не установились автоматически).

- затем мы (по возможности) избавляемся от “старичка” NT.

- после этого появляется возможность поднять функциональные уровни домена и леса.

Главное отличие от 2-го варианта, как мы видим, передача ролей FSMO. Главное преимущество – чистая установка сервера 2003.

 

b. Миграция (например, с целью консолидации доменов или лесов при слиянии организаций) при помощи ADMT (Active Directory Migration Tool).

 

c. Необходимость отсутствия проблем в AD перед переходом к AD 2003.

- Перед переходом должна произойти полная репликация всех DC в домене и в лесу.

- Проблемы с репликацией, для примера, могут произойти в результате “грязного” удаления DC или Child Domain, после чего репликация просто не может осуществляться.

- Бороться с ними можно при помощи утилит ADSS, ADSI Edit, DNS и короля решателей проблем AD – NTDS Util (ntdsutil.exe).

вторник, 7 сентября 2010 г.

Установка Exchange 2003 sp2

http://khlebalin.wordpress.com/tag/%d1%83%d1%81%d1%82%d0%b0%d0%bd%d0%be%d0%b2%d0%ba%d0%b0-exchange-2003-sp2/

Перед установкой выбрал наиболее подходящий на мой взгляд сервак, сконфогурил на нем 2 массива Raid1, на один поставил винду, на второй полохил базу exchange и логи. Хотя рекомендуется почтовую базу и логи хранить на разных дисках, но в отсутствии таковых пришлось сделать так.

До установки сервера Exchange 2003 должны быть выполнены несколько задач:
Необходимо убедиться в доступности сервера глобального каталога (GC).

Если сервер Exchange устанавливается в домене с несколькими сайтами AD, то необходимо удостоверится, что у него будет постоянный доступ к GC.
Убедиться, что на сервере, на котором планируется развернуть Exchange, установлены все необходимые компоненты:
.NET Framework
ASP.NET
Internet Information Services (IIS)
World Wide Web Publishing Service
Simple Mail Transfer Protocol (SMTP) service
Network News Transfer Protocol (NNTP) service

[1.jpg]

Так же рекомендуется установить Windows 2003 Support Tools с компакт диска Windows 2003 Server из папки support\tools.
Если у учётной записи, под которой планируется установка Exchange не достаточно прав для модификации схемы, то необходимо предварительно произвести расширение схемы AD под учётной записью, у которой имеются права модификации схемы AD.
Для расширения схемы AD необходимо последовательно запустить установку Exchange с ключами

/forestprep(расширение схемы леса AD) и

/domainprep (расширение схемы домена AD):
setup.exe /forestprep необходимо запускать на Хозяине Схемы (Schema Master)setup.exe /domainprep
После выполнения подготовительных шагов можно переходить к установке сервера Exchange.

Наиболее простой путь для установки Exchange – вставить компакт диск Exchange 2003 и следовать пошаговым инструкциям установки. Рассмотрим процедуру установки сервера Exchange по шагам:
Вставьте в привод компакт диск Exchange 2003 (Standard или Enterprise).
Должна запуститься программа автозагрузки компакт диска Resources and Deployment tools. Если этого не произошло, то выполните запуск вручную: выберите Пуск, далее Выполнить и напечатайте :\setup.exe и нажмите OK.
Кликните на Exchange Deployment tools.
На пригласительном экране Deployment tools кликните на Deploy the first Exchange 2003 Server (установить первый сервер Exchange 2003).
Кликните Run Setup Now (Запустить установку).
Кликните Next (далее).
Прочтите лицензионное соглашение и выберите I Agree. Нажмите Next.
Появится окно выбора компонентов. По-умолчанию выбран тип установки Typical (типичный). См. рисунок. На этом шаге можно изменить путь и тип установки Exchange. Нажмите Next.

[2.jpg]

Выберите Create New Exchange Organization. Нажмите Next.

[3.jpg]

Введите имя вашей организации Exchange. Будьте внимательны, т.к. эту информацию вы не сможете изменить в дальнейшем. Нажмите Next. (Название организации я не менял, рекомендую все оставить по умолчанию.)

[4.jpg]

На следующем экране выберите I Agree That I Have Read and Will Be Bound by the License Agreements for This Product. Нажмите Next.
Появится подтверждающий экран Installation Summary, где необходимо убедиться в правильности выбора устанавливаемых компонентов и пути установки и нажать Next.

[5.jpg]

Если вы устанавливаете Exchange 2003 в Смешанном режиме(Mixed Mode), то появится предупреждение безопасности. В этом случае нажмите OK.
После завершения установки нажмите Finish.
Если после установки будет предложено перезагрузить систему – перезагрузите сервер.
Не забудьте после установки скачать и установить последние обновления и сервиспаки для Exchange 2003. До новых встреч.

Ваш первый Exchange сервер

http://khlebalin.wordpress.com/tag/%d0%b2%d0%b0%d1%88-%d0%bf%d0%b5%d1%80%d0%b2%d1%8b%d0%b9-exchange/

Немного из истории: на своей предыдущей работе мы по началу использовали одноранговую сеть (а это примерно 200 компов), сответственно никакого домена ипрочих приблуд+ почтовый сервер Mdaemon (к тому же еще и триальный), забирали почту этим серваком по POP3 у провайдера. Ежемесячно по истечению триального срока сервер постоянно падал, мы его переставляли, руководство не хотело вкладывать в ИТ ни копейки, так шли годы. Постоянные проблемы приближали мой мозг к централизованному управлению, а так как я раньше юзал exchange2000, то, конечно, мой взор был обращен к Еxchange2003, а не ко всяким Linux почтовикам типа send mail. Воообще какой операционкой пользоваться и какие приложения использовать, это достаточно спорный вопрос, поэтому от себя скажу, что каждая операционка хороша по своему. А теперь ближе к делу. Прежде чем перейти к статье по установке эксченджа, хочется привести обобщенные данные, дабы вы поличили хоть какое-то понимание наших дальнейших действий.

 

Введение.


Продукты компании Microsoft иногда могут ввести в заблуждение: кажется, что для их установки нужно всего лишь запустить программу инсталляции и нажимать кнопку «Далее» до полного завершения. Однако, следует принять к сведению несколько советов, когда дело касается первой установки сервера Exchange. Это советы по IP-адресации, имени сервера, Active Directory; советы по аппаратному обеспечению, антивирусной защите и т.д. С помощью моих указаний Вы сможете установить Exchange-Сервер и можете рассчитывать на поддержку по телефону в случаях серьезных проблем, которые могут и не случиться, если Вы все хорошо распланируете и реализуете.

 

Active Directory.


Наверное, Вы уже слышали, что Exchange-сервер зависит от Active Directory. Это значит, что пользователи, группы и даже сама конфигурация Exchange-сервера хранятся в Active Directory.
Сервер, на котором хранится Active Directory, называется контроллер домена. Exchange-сервер может быть установлен на контроллер домена, однако, для того чтобы иметь резервное оборудование, лучше установить два контроллера домена, и оба отдельно от сервера Exchange. Контроллеры домена время от времени должны перезагружаться, поэтому, если сервер Exchange стоит отдельно, Вы можете производить перезагрузку без прерывания работы пользователей.
Ну, а что же такое Active Directory? По существу, это база данных, похожая на Exchange, и построенная по той же технологии. Маленькие фирмы часто впервые знакомятся с Active Directory с началом использования Exchange. До этого они работают в «рабочих группах», где каждый компьютер имеет свой отдельный механизм безопасности. Но после ввода Active Directory для установки Exchange-сервера, все компьютеры используют единую централизованную систему аутентификации. Это значит, что при входе в Windows Вы вводите имя пользователя и пароль, которые хранятся в контроллере домена Active Directory. Также в Active Directory может храниться любая информация о Вас, и Вы можете настраивать группы для установки разрешений на файлы, базы данных и другие объекты.
После установки сервера Exchange в Active Directory добавляются новые элементы, что называется «расширенная схема». Это значит, что атрибуты Exchange, такие как адрес электронной почты, расположение почтового ящика пользователя и т.п., могут быть приписаны любому пользователю.
Администратор Exchange должен всегда помнить об Active Directory. Многие проблемы Exchange-сервера напрямую связаны с ошибками на контроллере домена. Exchange-сервер использует для некоторых функций только контроллеры домена, которые являются серверами глобального каталога. Следует убедиться, что все контроллеры домена являются серверами глобального каталога. Иначе может случиться, что проблемы с первым контроллером домена, который является сервером глобального каталога по умолчанию, не позволят серверу Exchange обслуживать пользователей.

 

Сервер глобального каталога.


По умолчанию, первый контроллер домена становится сервером глобального каталога. Для того, чтобы установить больше серверов глобального каталога, выполните следующее:
Нажмите Start (Пуск), Administrative Tools (Администрирование), а затем Active Directory Sites and Services (Сайты и сервисы Active Directory).
Дважды щелкните на Sites (Сайты), раскройте узел Servers (Серверы) и выберите ваш контроллер домена.
Дважды щелкните на контроллер домена, для раскрытия его содержимого.
Под сервером расположен объект NTDS Settings (Установки NTDS). Дважды щелкните по нему, а затем нажмите Properties (Свойства).
Убедитесь, что на закладке General (Общие) отмечена опция Global Catalog (Глобальный каталог) (это установка по умолчанию).
Хотя перезагрузка необязательна для Windows 2003, я рекомендую все-таки перегрузить контроллер домена.
Помните, что иногда информация сервера Exchange копируется медленно с одного контроллера домена на другой. Поэтому при настройке почтового ящика пользователя или изменении члена группы нужно подождать некоторое время для завершения копирования или произвести копирование вручную.

 

DNS.


Компьютеры в сети Интернет (или узлы, как их называют) для определения местоположения серверов используют DNS-сервера. Если, к примеру, Вам нужно узнать место расположения сервера для просмотра содержимого его web-сайта, Вы заходите на DNS-сервер провайдера Интернета, и тот начинает поиск либо у себя в кэше, либо запрашивает корневой сервер для списка доменов «org», потом сервер, ответственный за домен «msexchange.org», который содержит сервер «www», или несколько серверов, имеющих имя «www».
Microsoft использует такую же технологию в Active Directory. В домене Active Directory клиенты обязаны использовать локальные DNS-сервера вместо серверов провайдера для разрешения имен локальных серверов. Active Directory также хранит специальную SRV-запись для поиска различных серверов, например серверов глобального каталога.
Лучшей конфигурацией является DNS, интегрированный в Active Directory, а в списке серверов DNS у клиентов первым идет первый контроллер домена, вторым – второй контроллер домена, а последним – DNS-сервер провайдера услуг Интернет. В этом случае при неисправности одного контроллера домена сервисы Exchange все равно будут работать, а при неисправности двух контроллеров домена будет работать доступ в Интернет.
На контроллере домена список DNS-серверов должен быть такой: сам контроллер домена, другой контроллер домена и DNS-сервер провайдера.
В более сложной системе Вы можете использовать отдельный домен Интернета (msexchage.org) и отдельный внутренний домен (msexchange.local). Именно такая конфигурация и рекомендуется, поскольку это облегчает разрешение имен при наличии, к примеру, web-сервера, который расположен вне Вашей внутренней сети. Убедитесь, что имя внутреннего домена не используется в Интернете. Каждые несколько лет добавляются новые суффиксы (например .biz), поэтому использование имени типа [имя домена].local лучше всего подходит для использования в качестве имени внутреннего домена в Active Directory.

 

IP-адресация.


Вы должны принять решение по схеме IP-адресации. Большинство предприятий в наше время используют отдельную внутреннюю и внешнюю IP-адресацию. Провайдер Интернет назначает Вам внешние, открытые IP-адреса Интернет, а внутри сети Вы используете частные схемы IP-адресации.
Самый распространенный диапазон адресов для небольших компаний – 192.168.0.0/16. Если Вам нужно меньше, чем 254 IP-адресов, используйте маску подсети 255.255.255.0; если больше – 255.255.0.0. Все эти IP-адреса будут преобразованы в один IP-адрес Интернет, тот который назначен Вашим Интернет-провайдером.
Для серверов и рабочих станций, настраиваемых вручную, следует выделить диапазон адресов (например, 192.168.0.0-192.168.0.10), который не будет использоваться DHCP при автоматическом назначении IP-адресов.
Вам может потребоваться еще один открытый IP-адрес Интернет для Exchange-сервера. Маршрутизатор или брандмауэр (см. рисунок ниже) будут преобразовывать внешний IP-адрес во внутренний и переводить соединения из Интернета на сервер Exchange.

В качестве альтернативы можете использовать маршрутизатор или брандмауэр для переадресации входящего почтового трафика (порт 25) и трафика клиентов web-доступа к Outlook (OWA – Outlook Web Access) (порт 443) на внутренний Exchange–сервер. При этом DNS-сервера Интернета будут направлять Вас на IP-адрес маршрутизатора, а тот, в свою очередь, будет перенаправлять все соответствующие запросы на внутренний сервер Exchange, которому внешний IP-адрес уже не будет нужен.
Типичный сервер Exchange без переадресации по порту будет доступен по внутреннему IP-адресу (типа 192.168.0.2), а из внешней сети – по IP-адресу Интернета (типа 69.20.55.133).
Некоторые организации используют «ретранслятор электронной почты», который принимает входящие сообщения и проверяет их на вирусы, спам и т.п. Такой сервер тоже подвержен различным интернет-атакам. Его хорошо использовать в средних или больших организациях, а для маленьких организаций я бы порекомендовал использование хорошего брандмауэра для защиты от Интернет-атак, вирусов и спама, а не ставить отдельный сервер.
Если Вы собираетесь публиковать OWA-сайт в Интернете, даже в случае использования ретранслятора электронной почты Exchange-сервер все равно должен иметь внешний IP-адрес, если только Вы не используете внешний Exchange-сервер для ответа на HTTP-запросы и перевод их на внутренний Exchange-сервер.

Но для маленьких организаций использование внешнего сервера будет лишней тратой денег и времени, которые могли бы быть вложены в разработку других решений для увеличения уровня безопасности, например в более надежный брандмауэр.

 

Имя сервера.


Внешнее имя Вашего почтового сервера может быть любым, самое популярное «mail». Внутреннее имя может совсем не походить на внешнее. Внешнее имя разрешается DNS-серверами Интернета, а внутреннее – внутренними DNS-серверами.
Некоторые «эксперты по безопасности» рекомендуют к качестве имени Exchange-сервера использовать отвлеченные понятия, типа цвет («Red»), название планеты («Venus») или же сложное имя («b2xxxrl3″). Предположительно это используется для маскировки истинных функций сервера, так что злоумышленники не сразу догадаются, что этот сервер является контроллером домена или сервером Exchange. Однако, большинство хакеров и даже вирусов, или «троянских коней», обычно не смотрят на имя, а сканируют открытые порты компьютера.
Я рекомендую называть сервера простыми и понятными именами. Помните, что Вам придется настраивать насколько серверов Outlook и вводить имя Вашего Exchange-сервера несколько сотен раз в течение Вашей администраторской карьеры. Кроме того, иногда пользователям нужны собственные настройки, поэтому – чем проще, тем лучше. Используйте имена типа «Exchange», «Mail», «DC1″ и «DC2″.

 

Аппаратное обеспечение.


Для базовой конфигурации Exchange 2003 требуется компьютер с объемом памяти как минимум 512МБ, хотя рекомендуется использовать 1ГБ или более.
Процессор – это всегда проблема, однако у большинства серверов и даже рабочих станций достаточно мощности для Exchange-сервера, правда, если не используется никакой другое приложение, которое интенсивно использует процессор. Exchange-сервер поддерживает технологию hyperthreading, которая используется в процессорах Pentium 4. Если Вам нужно больше мощности, используйте процессоры Intel Xeon с большим кэшем и возможностью использования нескольких процессоров.
Сегодня некоторые процессоры поддерживают 64-битную архитектуру, однако она не поддерживается в Exchange 2003 и будет доступна только в следующей версии Exchange-севера, E12.
Конфигурация диска – сложная задачаВ двух словах могу сказать, что сегодня можно выбрать либо SATA-диски для Exchange-серверов с низкой производительностью, либо, если Вы можете себе это позволить, SCSI-диски. SATA-диски предоставляют больший объем за меньшие деньги, оно обычно они работают медленнее, хотя и гораздо лучше, чем диски ATA (IDE). Чтобы не расстраиваться по поводу поломок диска, Вы можете создать избыточный массив дисков (RAID). В большинстве случаев рекомендуется аппаратный RAID.
При планировании объема диска лучше всего, чтобы свободного места было в два раза больше, чем ожидаемый объем баз данных Exchange-сервера. Для раздела под базу данных сервера Exchange Standard edition рекомендуется 32 ГБ и более.

 

Резервное копирование, вирусы, спам.


Для Exchange-сервера нужны дополнительные компоненты, которые покупаются отдельно. В Windows 2003 есть своя утилита резервного копирования, которая имеет возможность резервного копирования и сервера Exchange 2003, а программа IMF может быть бесплатно установлена на сервер Exchange 2003 для защиты от нежелательной почты (спама). Однако даже если у Вас есть антивирусная защита всей сети, обязательно стоить купить антивирусное программное обеспечение, специально разработанное для Exchange-серверов, поскольку некоторые вирусы могут появиться изнутри сети.
Убедитесь, что резервное копирование Exchange-сервера производится ежедневно, а носители с резервными копиями хранятся в несгораемом шкафу. Регулярно следует покупать новые носители, чтобы не использовать одни и те же до их прихода в непригодность.
Программа IMF не самый лучший фильтр нежелательной почты, хотя она и улучшается в новых пакетах обновлений и версиях Exchange-сервера. Вы можете купить любую программу, однако убедитесь, что она позволяет устанавливать собственные параметры фильтрации, чтобы пользователи не обращались к Вам всякий раз, когда их почта оказывалась в карантине из-за того, что фильтр принял ее на нежелательную почту.
Хороший антивирусный пакет не загружает процессор и дает возможность установки фильтрации файлов по их типу, что обычно меньше загружает процессор, чем просмотр всех без исключения вложенных файлов. Антивирусная программа должна обновляться ежедневно или чаще, поскольку иногда новые опасные вирусы появляются очень быстро. Некоторые антивирусные пакеты могут определить, содержит ли письмо неизвестный вирус.
Трудно заранее протестировать антивирусный пакет для Exchange-сервера, поэтому перед покупкой лучше всего поискать рекомендации в Интернете.

 

Заключение.


Проблемы, обсуждаемые в этой статье, – это только верхушка айсберга. Здесь показана общая картина, и на MSExchange.org постоянно появляются статьи, посвященные детальному изложению каждого аспекта Exchange-сервера.

Непосредственно установку предлагаю рассмотреть в следующей статье.

Вышел Microsoft Exchange Server 2010 Service Pack 1

http://www.exchangerus.ru/2010/08/26/microsoft-exchange-server-2010-service-pack-1/

http://blogs.technet.com/b/exchange_ru/archive/2010/08/25/the-future-of-exchange-starts-here_3a00_-exchange-server-2010-sp1-is-now-available-.aspx

Скачать Microsoft Exchange Server 2010 Service Pack 1 (SP1):

http://www.microsoft.com/downloads/details.aspx?displaylang=he&FamilyID=50b32685-4356-49cc-8b37-d9c9d4ea3f5b

Наконец то произошло то, чего все так должно ждали, вышел Microsoft Exchange Server 2010 Service Pack 1.

Прежде всего его ждали те ИТ специалисты, которые придерживаются мнения, что программные продукты лучше запускать в работу, когда выйдет ServicePack и ошибки будут исправлены, плюс дописан необходимый функционал. Так произошло и с Microsoft Exchange Server 2010 Service Pack 1, все что разработчики не успели доделать к выходу RTM и что просили пользователи, сейчас исправлено.  Например одной из новых возможностей является хранение архивов в отдельной от почтовых ящиков базе сообщений, которую можно хранить на более дешевых и медленных дисках.   Значительно расширен функционал Exchange Control Panel. Доступен русскоязычный UM language pack  и многое другое.

Более полную информацию можно узнать по ссылкам:

Новые возможности Microsoft Exchange Server 2010 Service Pack 1(ENG)

Арман в блоге пишет о новых возможностях Microsoft Exchange Server 2010 Service Pack 1 на русском языке

Информация о выпуске   Microsoft Exchange Server 2010 Service Pack 1

Пост в русскоязычном блоге Microsoft по Exchange Server

 

Free Networking Tools

http://www.windowsnetworking.com/software/Free-Tools/

Active Directory database file NTDS.DIT

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/ActiveDirectorydatabasefileNTDS.DIT.html

Windows 2000 Active Directory data store, the actual database file, is %SystemRoot%\ntds\NTDS.DIT. The ntds.dit file is the heart of Active Directory including user accounts. Active Directory's database engine is the Extensible Storage Engine ( ESE ) which is based on the Jet database used by Exchange 5.5 and WINS. The ESE has the capability to grow to 16 terabytes which would be large enough for 10 million objects. Back to the real world. Only the Jet database can maniuplate information within the AD datastore.

For information on domain controller configuration to optimize Active Directory, see Optimize Active Directory Disk Performance

The Active Directory ESE database, NTDS.DIT, consists of the following tables:

  • Schema table
    the types of objects that can be created in the Active Directory, relationships between them, and the optional and mandatory attributes on each type of object. This table is fairly static and much smaller than the data table.
  • Link table
    contains linked attributes, which contain values referring to other objects in the Active Directory. Take the MemberOf attribute on a user object. That attribute contains values that reference groups to which the user belongs. This is also far smaller than the data table.
  • Data table
    users, groups, application-specific data, and any other data stored in the Active Directory. The data table can be thought of as having rows where each row represents an instance of an object such as a user, and columns where each column represents an attribute in the schema such as GivenName.

From a different perspective, Active Directory has three types of data

  • Schema information
    definitional details about objects and attributes that one CAN store in the AD. Replicates to all domain controllers. Static in nature.
  • Configuration information
    configuration data about forest and trees. Replicates to all domain controllers. Static as your forest is.
  • Domain information
    object information for a domain. Replicates to all domain controllers within a domain. The object portion becomes part of Global Catalog. The attribute values (the actual bulk of data) only replicates within the domain.

Although GUIDs are unique, they are large. AD uses distinguished name tag ( DNT ). DNT is a 4-byte DWORD value which is incremented when a new object is created in the store. The DNT represents the object's database row number. It is an example of a fixed column. Each object's parent relationship is stored as a parent distinguished name tag ( PDNT ). Resolution of parent-child relationships is optimized because the DNT and PDNT are indexed fields in the database. For more technical info on the AD datastore and its organization, a good starting point is the Active Directory Database Sizing document.

The size of ntds.dit will often be different sizes across the domain controllers in a domain. Remember that Active Directory is a multi-master independent model where updates are occuring in each of the ADs with the changes being replicated over time to the other domain controllers. The changed data is replicated between domain controllers, not the database, so there is no guarantee that the files are going to be the same size across all domain controllers.

Active Directory routinely performs online database defragmentation, but this is limited to the disposal of tombstoned objects. The database file cannot be compacted while Active Directory is mounted. An ntds.dit file that has been defragmented offline ( compacted ), can be much smaller than the ntds.dit file on its peers. To defrag ntds.dit offline:

  • Back up the Active Directory using Windows 2000 Backup. W2K backup natively supports backing up Active Directory while online. This occurs automatically when you select the option to back up everything on the computer in the Backup Wizard, or independently by selecting to back up System State in the backup wizard.
  • Reboot
  • Select the appropriate installation from the boot menu, and press F8 to display the Windows 2000 Advanced Options menu.
  • Choose Directory Services Restore Mode and press ENTER. Press ENTER again to start the boot process.
  • Logon using the password defined for the local Administrator account in the offline SAM.
  • Click Start, Programs, Accessories, and then click Command Prompt.
  • At the command prompt, run the ntdsutil command.
  • When ntdsutil has started
    • Type files and press ENTER.
    • Type info and then press ENTER. This will display current information about the path and size of the Active Directory database and its log files.
    • Type compact to drive:\directory, and press ENTER. Be sure that the drive specified has enough drive space for the compacted database to be created. I know, you don't know how big the compacted version will be, but if there is enough space for the uncompacted version, you should be OK. A gotcha!: You must specify a directory path and if the path name has spaces, the command will not work unless you use quotation marks

      compact to "c:\my new folder"

    • Type quit and press Enter.
    • Type quit and press Enter to return to the command prompt. A new compacted database named Ntds.dit can be found in the folder you specified.
  • Copy the new ntds.dit file over the old ntds.dit file. You have successfully compacted the Active Directory database. If you believe in belts and suspenders, I would copy the old uncompacted database somewhere else before I overwrote it with the new compacted version.
  • Reboot and see if all is normal.
This is a server by server task. Monitor the size of ntds.dit and if it starts growing and performance is slow and you can not see why either situation should apply, consider offline defrags.

If ntds.dit gets corrupted or deleted or is missing ( can happen if the promotion process to domain controller goes bad ), you have to manually recover it using Windows 2000 Backup. Now you did do W2K backups right?:

  • Reboot the domain controller and press F8 to display the Windows 2000 Advanced Options menu.
  • Select Directory Services Restore Mode and then press ENTER.
  • Select the correct installation, and then press ENTER to start the boot process.
  • Logon using the administrator account and password you specified during the promotion process. When you ran Dcpromo.exe to install Active Directory, it requested a password to be used for the Administrator password for Active Directory Restore Mode. This password is not stored in Active Directory. It is stored in an NT4-style SAM file and is the only account available when the AD is corrupted.
  • Click OK. This acknowledges the warning message that you are using Safe mode.
  • Click Start, Programs, Accessories, System Tools, and then click Backup.
  • Select the Restore tab.
  • Click the + symbol next to the following items to expand them:
    • File
    • Media Created
    • System Drive
    • Winnt
    • NTDS
  • Click the NTDS folder to display the files in the folder.
  • Click to select the ntds.dit check box.
  • Leave the Restore files to box set to Original Location. This check box provides the option to restore to an alternative location. If you restore to an alternative location, you will have to copy the ntds.dit file into the %SystemRoot%\ntds folder.
  • Click Start Restore.

To move a database or log file :

  • Reboot the domain controller and press F8 to display the Windows 2000 Advanced Options menu.
  • Select Directory Services Restore Mode and then press ENTER.
  • Select the correct installation, and then press ENTER to start the boot process.
  • Logon using the administrator account and password you specified during the promotion process. When you ran Dcpromo.exe to install Active Directory, it requested a password to be used for the Administrator password for Active Directory Restore Mode. This password is not stored in Active Directory. It is stored in an NT4-style SAM file and is the only account available when the AD is corrupted.
  • Start a command prompt, and then type ntdsutil.exe .
  • At a Ntdsutil prompt, type files.
  • At the File Maintenance prompt
    • To move a database, type move db to %s
      where %s is the drive and folder where you want the database moved.
    • To move log files, type move logs to %s
      where %s is the drive and folder where you want the log files moved.
    • To view the log files or database, type info.
    • To verify the integrity of the database at its new location, type integrity.
    • Type quit
    • Type quit to return to a command prompt.
  • Restart the computer in Normal mode.
When you move the database and log files, you must back up the domain controller.

A Quick Tip To Update Group Policy Settings On Remote Computers

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/AQuickTipToUpdateGroupPolicyOnRemoteComputers.html

This article explains a single command you can use to update the Group Policy settings on remote computers. Please note this applies to Windows 2000 Computers only!.

Windows 2000 ships with a command line tool to refresh the Group Policy settings on a local computer. But what if you need to refresh Group Policy settings on 100 Windows 2000 machines? You either need to create a script to do so or visit each computer individually. To eliminate this, you can use the below steps to accomplish the task:

Steps:

  • Create a Text file named Servers.txt
  • Paste all the computer names in txt file.
  • Run the following commands from a Windows 2000 computer:

To refresh user policy:

  • Psexec.exe -@Servers.txt secedit.exe /refreshpolicy user_policy

To refresh machine policy

  • Psexec.exe -@Servers.txt secedit.exe /refreshpolicy machine_policy

A Quick Tip To Fix DC SRVs in Active Directory Domain

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/AQuickTipToFixDCSRVsinActiveDirectoryDomain.html

This article explains how you can use few simple commands to fix the SRV records of a Domain Controller in an Active Directory Domain.

Domain Controllers register their Service Records, usually called SRV records, in the Primary Domain Zone of the DNS Server. These SRV records are registered at the time of promoting a member server to domain controller. These records are fetched by the client computers and various applications to find the KDC Service or the Domain Controller for authentication purpose. The client will not be able to log on to the computer or it will take long time if SRV records of a domain controller are missing.

To fix the SRV records, you can use one of the following methods described below:

  • Import SRV records from C:\SystemRoot\Config\NetLogon.dns file.
  • Restart NetLogon Service on the domain controller
  • Run DCDiag /Fix
  • Run NetDiag /Fix

A Quick Tip To Check If PDC Emulator Is Working

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/AQuickTipTOCheckIfPDCEmulatorIsWorking.html

This article explains how you can tell if PDC Emulator in an Active Directory Domain is working.

PDC Emulator plays an important role in the Active Directory. If your PDC Emulator fails, certain domain functions, security functions, can stop functioning. If anyone of the following is not happening then you should check if your PDC Emulator is working properly:

  • Time is not Syncing: PDC is the default source for the client computers to sync the time. If client computers are not syncing the time then you should always check the PDC.
  • User accounts are not locked out: PDC Emulator processes the account lockouts immediately for the entire domain.
  • Pre-Windows 2000 Computers are unable to change their passwords: It's again PDC Emulator who processes the password changes for previous versions of Windows 2000 computers.
  • Windows NT BDCs are not getting updates: PDC Emulator replicates the Active Directory data to Windows NT BDCs.

How to verify PDC Emulator role in the domain?

Run the following command:

dsquery server -hasfsmo pdc

The above command will return the FQDN (Fully Qualified Domain Name) of the domain controller who is holding the PDC Emulator role.

A Quick Tip To Verify The SRV Records Of Domain Controllers

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/AQuickTipToVerifyTheSRVRecordsOfDomainControllers.html

This article explains how you can use the NSLOOKUP tool to verify the SRV records of a domain controller.

SRV records play an important role for domain controllers in the Active Directory domain. It is not possible for a client computer, for a service, and for an application to know the location of a domain controller without the SRV records. Client computers (Winlogon Service) always query DNS Server to find the IP Address of the domain controller. You can follow the simple steps to ensure SRV records of a domain controller are registered in the DNS Server:

Method 1: Using NSLOOKUP Command

Steps:

  • Open Command Prompt
  • Type NSLOOKUP and hit enter
  • Type Set Type=all and press enter
  • At NSLOOKUP prompt, type _LDAP._TCP.DC._MSDCS.Domain_Name.com and hit enter.

The above query to the DNS Server will return all the domain controllers in the domain name Domain_Name.com.

Method 2: Using Ping Command:

You can also use the Ping Utility to verify the existence of a host or SRV Record in DNS Server. You need to know the exact location of the SRV records. As an example, if you ping the above SRV record, the ping will return the IP Address for one of the domain controllers in the domain.

What All Ports Are Required By Domain Controllers And Client Computers?

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/ActiveDirectory/WhatAllPortsAreRrequiredByDomainControllersAndClientComputers.html

This article explains the key port requirement for Client computers and Domain Controllers communicating with each other.

Active Directory communication takes place using several ports. These ports are required by both client computers and Domain Controllers. As an example, when a client computer tries to find a domain controller it always sends a DNS Query over Port 53 to find the name of the domain controller in the domain.

The following is the list of services and their ports used for Active Directory communication:

  • UDP Port 88 for Kerberos authentication
  • UDP and TCP Port 135 for domain controllers-to-domain controller and client to domain controller operations.
  • TCP Port 139 and UDP 138 for File Replication Service between domain controllers.
  • UDP Port 389 for LDAP to handle normal queries from client computers to the domain controllers.
  • TCP and UDP Port 445 for File Replication Service
  • TCP and UDP Port 464 for Kerberos Password Change
  • TCP Port 3268 and 3269 for Global Catalog from client to domain controller.
  • TCP and UDP Port 53 for DNS from client to domain controller and domain controller to domain controller.

Opening above ports in Firewall between client computers and domain controllers, or between domain controllers, will enable Active Directory to function properly.