https://opennet.me/openforum/vsluhforumID14/2690.html Добрый день сообществу!<br><br>Досталась недавно в наследство сеть недоделанная - порядка сотни рабочих мест. Старый админ пытался поднять контроллер домена на самбе во времена ещё самбы 3.0, но не доделал (я освежил тут в гугле воспоминания - на 3.х самбе вообще очень непросто сделать PDC) и ушёл дальше. Часть сервисов осталась на фрюниксе (freebsd - dhcp, dns, etc), часть (контроллерно-доменная) - на w2k. Ходили в конторе два эникейщика - нажимали нужные кнопки, создавали пользователей. В настоящее время в живых остался один контроллер домена на одном винте с периодическими подтормаживаниями. С финансированием в госконторе туго: чтобы что-то приобрести - нужен тендер, договора и многое другого. Пару лет назад приобрели они для бухгалтерии приличную машинку под 1.С 8. Возникла идея - поднять в виртуалке BDC на случай краха основного контроллера (похоже, подтормаживает из-за "усталости" винта). В DNS-зоне на фрюниксе есть записи вида<br>_ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 38 https://opennet.me/openforum/vsluhforumID14/2690.html#15 Thu, 12 Jan 2017 10:36:10 GMT &gt;&gt;[оверквотинг удален] <br>&gt; В общем, результат следующий: даём в конфигах bind-а право dc (вписываем всех, <br>&gt; что планируем поднимать до уровня dc) апдейтить зону - и всё <br>&gt; в шоколаде.<br><br> Про обратную зону не забыл...<br>&gt; Снова спасибо всем, кто участвовал в дискуссии. https://opennet.me/openforum/vsluhforumID14/2690.html#14 Thu, 12 Jan 2017 08:52:40 GMT &gt;[оверквотинг удален]<br>&gt; Судя по всему, старый админ среплицировал зону в named, потом несколько раз <br>&gt; правил по мере необходимости исходя из своих соображений - какой-то серийник <br>&gt; зоны в файле заремлен и судя по нему, это было в <br>&gt; начале 2006 года. Последняя правка зоны, судя по действующему серийнику, была <br>&gt; в 2007. С тех пор конфигурация домена, вероятно, не менялась. А <br>&gt; на pdc служба dns опущена и ругани в системных журналах по <br>&gt; этому поводу нет. Можно попробовать поднять службу, но по админской заповеди <br>&gt; "работает - не трожь", хочется минимизировать изменения. В общем, вроде найден <br>&gt; ответ, погоняю тесты в виртуалке после праздников, если всё получится - <br>&gt; займусь bdc.<br><br>В общем, результат следующий: даём в конфигах bind-а право dc (вписываем всех, что планируем поднимать до уровня dc) апдейтить зону - и всё в шоколаде. Увы, к сожалению, ScriptomaticV2 не всегда правильно находит данные (может, я не все значения перебрал, но их там много :( ), в частности, на dc в виртуалке он мне https://opennet.me/openforum/vsluhforumID14/2690.html#13 Mon, 09 Jan 2017 07:13:33 GMT &gt; Ну этого не может быть. Если поднята Active Directory то на PDC <br>&gt; точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям. <br>&gt; Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование-&gt;DNS. <br><br> Ад великолепно живет с dns'ом на bind, главное в этом, чтобы bind давал контроллеру обновлять нужные ему, контроллеру, зоны и был первым у виндовых станцийй... <br><br><br> https://opennet.me/openforum/vsluhforumID14/2690.html#12 Sun, 08 Jan 2017 14:02:52 GMT &gt;&gt;&gt;&gt;&gt;&gt;[оверквотинг удален]<br>&gt;&gt; Так у нас на DC dns-а нет - автоматически ничего не создаётся.<br>&gt;&gt; Или вы предлагаете промоделировать ситуацию в виртуалке?<br>&gt; Ну этого не может быть. Если поднята Active Directory то на PDC <br>&gt; точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям. <br>&gt; Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование-&gt;DNS. <br><br>Может... "Есть многое на свете, друг Горацио, что и не снилось нашим мудрецам" (С) классик<br>Судя по всему, старый админ среплицировал зону в named, потом несколько раз правил по мере необходимости исходя из своих соображений - какой-то серийник зоны в файле заремлен и судя по нему, это было в начале 2006 года. Последняя правка зоны, судя по действующему серийнику, была в 2007. С тех пор конфигурация домена, вероятно, не менялась. А на pdc служба dns опущена и ругани в системных журналах по этому поводу нет. Можно попробовать поднять службу, но по админской заповеди "работает - не трожь", хочется минимизироват https://opennet.me/openforum/vsluhforumID14/2690.html#11 Sun, 08 Jan 2017 13:32:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; В реестре pdc (newserver) нет ничего по этим наборам цифр. Имеют ли <br>&gt;&gt; они вообще какой-то реальный смысл?<br>&gt; Имеют, по существу это gid/sid домена и соответствующего контроллера домена, <br>&gt; да вы не парьтесь, эти вещи сами микрософтовские сервера и сформируют <br>&gt; и обновят, если дадите нужные права, там кстати не только эти <br>&gt; записи нужны для корректной работы ад, а так, по существу вам <br>&gt; нужна только прямая и обратная зона ад, посмотрите какой основной суффикс <br>&gt; имеет домен ад, это в свойствах системы на контроллере, вот он <br>&gt; и является основным, все остальные не играют никакой роли для домена <br>&gt; ад, правда них может быть завязано другое...<br><br>Да, я уже вычитал, что это формируется чуть ли не процессом winlogon, сама зона _msdcs у меня вопросов не не вызывает, как и её содержимое. Вот только непонятны были записи e2a723c0-ae95-48ba-8d12-9c66e06c5337 и 590de540-a1cf-458e-9a0d-bb3941a1ae84 - откуда они берутся и их смысловая нагрузка, их необходимость. Про то, что это к https://opennet.me/openforum/vsluhforumID14/2690.html#10 Sun, 08 Jan 2017 11:25:16 GMT &gt;&gt;&gt;&gt;&gt;[оверквотинг удален] <br>&gt;&gt;&gt;&gt; Вы часом не из администрации Владимирской области?<br>&gt;&gt;&gt; [guff on]Нет. Совсем не из администрации, совсем не из Владимирской. Просто госпредприятие <br>&gt;&gt;&gt; "под крылом" у своей (местной) госадминистрации.[guff off] <br>&gt;&gt; При вводе в домен BDC он пропишется в DNS на PDC win2k.<br>&gt;&gt; Из этой зоны DNS возьми нужную инфу если тебе её нужно <br>&gt;&gt; где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.<br>&gt; Так у нас на DC dns-а нет - автоматически ничего не создаётся. <br>&gt; Или вы предлагаете промоделировать ситуацию в виртуалке?<br><br>Ну этого не может быть. Если поднята Active Directory то на PDC точно автоматически суонфигурирован DNS сервер и он указан всем рабочим станциям. Иначе рабочие станции не аутентифицируют в домене. Смотрите оснастку администрирование-&gt;DNS.<br><br> https://opennet.me/openforum/vsluhforumID14/2690.html#9 Sun, 08 Jan 2017 09:37:46 GMT &gt;[оверквотинг удален]<br>&gt; Вот, наверное, в виртуалке скопирую конфигурацию bind-а и поиграюсь с автообновлением зон. <br>&gt; Но хотелось бы ещё какой-то механизм. На другом форуме прозвучало слово <br>&gt; powershell, но чёткого рецепта (командлета) пока не нашёл. В конфиге зоны <br>&gt; есть две строки: <br>&gt; _ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 389 <br>&gt; newserver.ххх.ххх.ххх.<br>&gt; и <br>&gt; e2a723c0-ae95-48ba-8d12-9c66e06c5337._msdcs 600 CNAME newserver.ххх.ххх.ххх.<br>&gt; В реестре pdc (newserver) нет ничего по этим наборам цифр. Имеют ли <br>&gt; они вообще какой-то реальный смысл?<br><br> Имеют, по существу это gid/sid домена и соответствующего контроллера домена, да вы не парьтесь, эти вещи сами микрософтовские сервера и сформируют и обновят, если дадите нужные права, там кстати не только эти записи нужны для корректной работы ад, а так, по существу вам нужна только прямая и обратная зона ад, посмотрите какой основной суффикс имеет домен ад, это в свойствах системы на контроллере, вот он и я https://opennet.me/openforum/vsluhforumID14/2690.html#8 Sat, 07 Jan 2017 21:22:09 GMT &gt;&gt;&gt; При вводе в домен BDC он пропишется в DNS на PDC win2k.<br>&gt;&gt;&gt; Из этой зоны DNS возьми нужную инфу если тебе её нужно <br>&gt;&gt;&gt; где-то повторить. На всех контроллерах домена зона DNS выглядит одинаково.<br>&gt;&gt; Так у нас на DC dns-а нет - автоматически ничего не создаётся.<br>&gt;&gt; Или вы предлагаете промоделировать ситуацию в виртуалке?<br>&gt; Проще перенести dhcp и dns на ваш PDC, либо в настройках<br><br>Да тут накручено в конфигах и зонах - штук по 8 мастер-зон в трёх видах из разных интерфейсов - я ещё не до конца разобрался, боюсь поломать ненароком. Судя по серийнику, последние изменения в конфиги ad-зоны вносились ещё в 2007 году.<br><br>&gt; dns'а разрешить обновление соответствующих зон контроллерами домена... да и про обратную <br>&gt; зону не забудьте...<br><br>Вот, наверное, в виртуалке скопирую конфигурацию bind-а и поиграюсь с автообновлением зон. Но хотелось бы ещё какой-то механизм. На другом форуме прозвучало слово powershell, но чёткого рецепта (командлета) пока не нашёл. В конфиге зоны есть две строки:<br>_ldap._tcp.590de540-a https://opennet.me/openforum/vsluhforumID14/2690.html#7 Sat, 07 Jan 2017 19:13:29 GMT &gt;&gt; Так у нас на DC dns-а нет - автоматически ничего не создаётся.<br>&gt; значит у вас ошибка в dhcp + dns (DDNS), либо машину прописали <br>&gt; руками в днс.<br><br>Какая ошибка? dhcpd выдаёт клиентам адреса из пула, кроме основных сервисов - маски, маршруты, dns, ntp, имена домена. В dns-е прописаны остальные необходимые сервисы - файлопомойка, pdc, smtp-pop и остальное-прочее, что нужно клиентам. На dc прописаны пользователи, в групповых политиках определены прокси, шары на файлопомойках - всё красиво и чётко, всё работает нормально. Вот только беспокоит меня состояние pdc и нет дублирующего dc.<br>