root.elima.ru
Мертвечина
Статьи и книгиИнтернет-технологии и сетевое программирование

DNS FAQ

Q: Есть сервер и контроллер домена W2KSerRus, в сети три сегмента 75, 77 и 79(сетевые карты на сервере). DNS настроен на контроллере домена, DHCP и маршрутизация настроены на сервере. Контроллер домена в сегменте 75. Из других сегментов его не видно, хотя ping и tracert проходят одинаково хорошо как по его имени, так и по IP-адресу. Соответственно пользователи не могут войти в домен, потому как "пароль не опознается контроллером домена". В сегменте 75 все нормально.

A: Чтобы пользователи из других сегментов могли присоединяться к домену нужно:

1. Адресом DNS у всех должен быть DNS контроллера домена.

2. Запускаешь на клиенте nslookup затем ls твой_домен.ру должны появиться записи «твой_домен.ру А» и «твой_домен.ру NS»

3. По уму нужно чтобы каждая подсеть была в своем пространстве адресов – одна 192.168.0.х, другая 192.168.1.х маска 225.255.255.0 тогда у первого сегмента должен стоять шлюзом адрес сет. карты сервера с их стороны – аналогично для второго сегмента.

Q: При отключенном соединении сервера в Интернет половина сервисов Exchange не запускаются, но только при запуске компьютера. После загрузки запускаются вручную без проблем и быстро. Кроме того, не могу запустить оснастку Domain Security Policy, выдаётся что-то наподобие «The remote computer is not available». Эти проблемы пропадают, если для внешней карточки сделать Disable.

A: В настройке сети надо выбрать пункт меню Advanced -> Advanced Settings (Дополнительно-> Дополнительные параметры) и настроить приоритеты обращения к сетевым адаптерам.

Q: При установке Windows 2000, когда пытаюсь добавить свой компьютер в домен ("Network Identification Wizard") выдается сообщение "The network path was not found".

A: Эта ошибка значит, что у тебя неправильно (как и было замечено ранее) определяются имена через ДНС.

Примечание: На самом деле в сети не было ни одного домена. Добавление в домен стало возможным после установки DNS на Windows 2000 Server.

Q: Раньше у меня был WinNT40 и вся сеть работала в домене МММ, теперь установил Windows 2000 Server, затем при помощи службы DCPROMO. Создаю Primary Domain Controller, все вроде нормально, но постоянно в событиях ругается... Да и перезагрузка очень медленная стала... Помогите советом как правильно установить DNS?

A: DCPROMO переводит Windows 2000 из обычного сервера в статус доменного контроллера. Для того чтобы просто работала службы DNS это не обязательно ставить AD, но AD не может функционировать без DNS поэтому, если до установки AD не была установлена DNS, то она будет автоматически установлена. Можно ее не устанавливать, но тогда на другом доступном сервере сети все равно должна быть установлена служба DNS, причем она должна поддерживает динамическое обновление. Перезагрузка стала медленной из-за AD, однако что конкретно делает Windows 2000 после его назначения контролером домена остаётся загадкой.

Q: Проблема в следующем, я получил доменное имя в своей зоне (kz), сканирую свой ИП, но эта зараза показывает только имя компьютера, да и то не всегда... А если сначала сканирую доменное имя, а потом ИП, все нормально срабатывает, в чем прикол не пойму, вроде все работает, кто встречался с подобным, поделитесь пожалуйста.

A: В DNS сервере неправильно настроена обратная зона.

Q: Есть одна сеть физически, которая разделена логически на две сети. Первая 192.168.1.х – имеет свой контроллер домена Win2000Serv, DHCP, DNS. Все работает прекрасно. Вторая 192.168.10.х была одноранговая, с жёстко прописанными IP. После поднятия во второй сети контроллера домена Win2000Serv, DHCP, DNS все компьютеры (пользователи) первой сети стали получать с DHCP второй сети адреса второй сети при этом все они были нормально авторизированы контроллером 1-го домена. Вопрос сделать так что б раздача адресов с DHCP проходила только пользователям того домена к которому принадлежит пользователь и сам DHCP.

A: На DHCP сервере можно прописать "резервирование" для определенных MAC адресов карточек. а делается это примерно так:

1. на сервере создаешь диапазон адресов, который будешь выделять своим клиентам;

2. создаешь резервирование (для определенного МАС адреса прописываешь IP адрес);

3. остальные адреса, которые не используются – просто блокируй.

Q: В Domain Security Policy поставил сервису computer browser – Disabled Дал Full Control только Domain Admins. Однако у всех пользователей он как стартовал так и стартует.

A: То что ты написал – это политика для контроллеров домена. А чтобы отключить определенные сервисы, в частности этот, на клиентских машинах воспользуйся групповой политикой – раздел USER.

Q: Ситуация следующая: жил да был контроллер домена, все вроде было хорошо, но в один прекрасный момент он умер. Ну не то чтобы совсем, но грузиться не хочет – и восстановление не помогает – зависает на «Preparing network connections». Ну и на фиг его, слава богу другие есть – так ведь память о нем осталась. Помнят его другие жители домена. Так вот как бы так память о нем искоренить?

A: Детали – Q270842,Q266132 , а что самое вероятное – Q272262. Причем фикса нет пока (с ноября месяца)!!! А если вообще удалить – то просто:

1. Долой его из списка контроллеров в соответствующей оснастке.

2. Проверить не был ли он Master Operation? Если был, то надо сделать чтобы не был.

3. Ну и для очистки совести DNS почистить (в последнюю очередь).

Q: Каким образом Win98 добавить в домен 2000?

A: Если в Windows 2000, то создать пользователя для Windows 98. Если в Windows 98, то нажать <свойства> "Клиент для сетей Microsoft", поставить галочку "входить в домен Windows NT" и написать имя этого домена.

Q: У меня вопрос следующего характера: Как на сервере под Windows 2000 Server завести типа локального пользователя, которому отрубить все возможности лазить по серверу, единственное что нужно предоставить право запускать антивирус и как положено завершать работу сервера, остального он нечего не должен видеть. Сервер стоит как контроллер домена, посмотрел в доках, создал пользователя как "оператора печати" стал ужимать его в правах на локальном компьютере, сам как администратор этого не вижу, при локальном входе система не пускает говорит интерактивный вход запрещен, короче не чего не понимаю, выходит на контроллере домена могут быть только одни администраторы и операторы? Разбираться на это нет времени ухожу в отпуск а сервер только что настроенный не охота оставлять – раздолбаем, в связи с чем SOS!!!

A: На контроллере домена НЕТ локальных пользователей и групп. Входить на него могут ТОЛЬКО доменные администраторы и операторы сервера. Если нет времени на разбирательства с политиками безопасности, то вот тебе мой совет включи возможность отключения сервера без регистрации в системе:

1. запускаешь MMC.exe

2. Open c:\winnt\system32\gpedit

3. Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Allow system to be shutdown without having to logon -> Enabled Антивирус запрограммируй на сканирование по расписанию.

Q: Жили-были две локальных сети в разных концах города. И было у них по Win2k Advanced серверу у каждого. И AD тоже у каждого свое. И вот пробросили им туннель от одной локальной сети в другую. Все бы хорошо, но в сетевом окружении видно только компьютеры собственной локальной сети. А как сделать чтобы было видно обе сетки? Речь идет как раз об том, чтобы в сетевом окружении я видел DOMAIN1 и DOMAIN2 и если надо еще сто сорок три домена...

A: Скорее всего надо делать реструктуризацию доменов... То бишь один домен на двух контроллерах. Для реструктуризации доменов используется Active Directory Migration Tool (ADMT). Перенос происходит в три этапа:

1. Создание целевого домена обязательно в естественном режиме (так понимаю что этот домен уже есть).

2. Перенос объектов из исходного домена в целевой с помощью ADMT.

3. Уничтожение исходного домена.

Q: У меня есть домен luxe-home.ru, одинаковый и для Интернета и для локальной сети. Как сделать домен типа temp.luxe-home.ru, чтобы он был виден из Интернета (из локальной сети проблем нет)?

A: Разумеется прописать домен на ns.rost.ru. или ns.rt.ru., смотря на котором из них primary зона. Зона для Интернета, находится на этих серверах прописанных в RIPN, соответственно на них и менять надо.

Q: Подключил компьютер к домену, и на локальном компьютере создался новый профиль..., все те программы и настройки которые были у пользователя потерялись (то бишь остались на его профили с локальным подключением), как сделать так чтобы настроить его доменный профиль с определёнными настройками и программами? Так чтобы с любого другого компьютера он входил на свой доменный профиль и работал в окружении своих настроек и программ.

A: Если хочешь настройки со старого профиля перенести в новый, то просто скопируй содержимое старого профиля в новый (только для локального компьютера): c:\Documents and Settings\vasy\(all folders) -> c:\Documents and Settings\vasy.domain_1\(all folders) включая все скрытые папки типа Local Settings.

А вот работать с любого компьютера пользователю со всеми своими программами можно только в том случае, если ВСЕ компьютеры сети одинаковы (одно программное обеспечение). Но даже в этом случае остаётся такая проблема как личные файлы/настройки пользователя. В данном случае могу посоветовать вынести всё программное окружение пользователя в сеть, прописать конфигурационные файлы так, чтобы они сохранялись (и читались) тоже с сетевых папок (в случае массового выноса программ пользователей в сеть надо настроить, чтобы каждый пользователь работал скажем с диском М – но каждый раз там были только его программы – делается через winlogon.bat).

Q: Я у себя дома на сетке (пока из 3 компьютеров) поставил Windows 2000 Server в качестве сервера. После объявления сервера как контроллера домена, установки DHCP, DNS, и т.д. При загрузке "инициализация сетевых компонентов" идет около 5 минут... Это нормально?

A: Данная ситуация вполне нормальна (все таки контроллеры домена нужно перезагружать не часто). Вот когда рядом стоят два контроллера, оба грузятся мгновенно, если только их обоих не перезагружаешь одновременно.

Q: Такая вот проблема: есть Windows 2000 Server, есть AD. Есть домен – машины из Windows 98 заходят отлично – а вот из Windows 2000 Professional – ни в какую! В логах пишет, что сервер отклонил динамическую регистрацию DNS. Помогите не могу больше – как включить гостевой вход – пишет мол интерактивный вход запрещен – локальной политикой.

A: Гостевой вход включается элементарно: «Мой компьютер -> Управление -> Локальные пользователи и группы -> Пользователи -> Гость» где убери галочку «Учётная запись отключена» Но вместо того, что бы включать гостевой вход, лучше завести на компьютере пользователей твоей сети, и самому назначить их права на компьютере:

1. Сначала проверь что имеется в сетевых настройках «Клиент Microsoft» и «Протокол TCP/IP».

2. На сервере в DNS разрешаешь автоматическое обновление для всех.

3. На сервере прописываешь пользователей и включаешь их в группу «Пользователи домена». В управлении компьютером на сервере локальные пользователи естественно будут недоступны.

4. На клиенте ставишь в свойствах компьютера что этот компьютер состоит в домене. При этом потребуются имя и пароль Администратора. Запись автоматически занесется в раздел компьютера. Если там он уже есть, а компьютер не в домене – удали сам, а потом добавляй компьютер в домен.

Q: Был создан дочерний домен, после различных экспериментов его убили. В Active Directory Doman and Trust осталась запись этого домена. Как эту запись убить?

A: Можно воспользоваться утилитой ntdsutil (metadata cleanup).

Q: Стоял обычный сервер w2000RUS. Установил на него Active-Directory – и сделал Primary Domain Controller. После этого все нормально работает, кроме того, что с сервера не могу войти в распределённые ресурсы пользователей (win9X, WIN-NT). Говорит «не могу найти путь».

A: Вся проблема из-за DNS. Ты когда ставил AD, который DNS указал? Если тебе надо было создать контроллер домена только для локальной сети, тебе надо было указывать в AD адрес DNS 127.0.0.1, в этом случае сервер после запроса клиента будет смотреть у себя запись в DNS на имя клиента. А если ты указал какой-то внешний DNS, то, понятное дело, там таких клиентов нет, поэтому твой сервер и не отвечает клиентам. Попробуй в настройках сетевой карты убрать все DNS, он тебе скажет что DNS будет установлен локально (т.е. 127.0.0.1), затем выполнить такую команду «ipconfig /registerdns» после этого в DNS-консоли прописать все узлы. Ну а потом прописать всех в AD.

Q: Помогите залогинить Windows 2000 Professional на Windows 2000 Server Пишет , то что пользователь не доступен и нет какой то общей папки, показывает, что в домене нет такого логина.

A: Чтобы была возможность войти в домен нужно чтобы был доступен сервер DNS этого домена, т.е. клиентский компьютер мог распознать список IP адресов контроллера домена. Таким образом лучше всего прописать в настойках DNS компьютер, на котором установлена AD.

Q: Проинсталлировал Windows 2000 Advanced Server + SP2 и сделал его контроллером домена. Сервер находится в большой сети и смотрит в Интернет через местный шлюз. Все DNS сервера для него со внешними адресами. Поднял DNS на сервере локально с абсолютно "левым" именем зоны. Теперь при любом обращении к службам AD компьютер тормозит по минуте. Такое впечатление, что пытается постоянно разрешить DNS имена и у него это не получается. Поставил у него в DNS Properties переадресацию запросов на внешние сервера, но это не помогло.

A: То что входит в сеть долго – это потому что у тебя единственный контроллер домена, что неправильно – поставь второй будет входить быстро. То что открывается долго сетевое окружение… моя рекомендация – сделать следующее:

1. остановить соответствующий сервис на Windows 2000 Server, т.е. сделать запуск вручную;

2. сделать любой компьютер, который не выключается обозревателем сети – подправить реестр и перезагрузиться (как это сделать уже обсуждалось неоднократно).

Тестов DHCP не бывает, бывают тесты DNS. Если тесты DNS не проходят – значит она некорректно поставлена. Я рекомендую вообще самим DNS не ставить, а устанавливать ее во время установки AD после установки AD и перезагрузки нужно запустить ipconfig /registerdns.


Q: Как перейти с рабочих групп на домены?

A: Во-первых конечно настроить контролер домена – это будет твой сервер. Войди в консоль настройка сервера, там тебе предложит настроить службы необходимые для функционирования домена(например AD), следуй инструкциям установщика.

Q: Стоит ли покупать себе домен в Интернете и на его основе делать домен в организации? Вообще я хочу перейти с рабочих групп на домен потому, что мне объяснили, что так намного удобнее администрировать... мне надоело прописывать пользователей на каждой WinNT машине и бороться с правами доступа из 98-й к WinNT.

A: Стоит или нет покупать домен в Интернете, твое сугубо личное дело, если он тебе не нужен можешь и не покупать, тогда свой домен можешь обозвать как угодно. А переходить на доменную систему все равно надо – администрировать так действительно проще – и меньше вероятности сделать ошибку.