Раотоспособность AD при падении одного из контроллеров / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Раотоспособность AD при падении одного из контроллеров

17 сообщений из 42, страница 2 из 2

все

Раотоспособность AD при падении одного из контроллеров

#34469790

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

с точки зрения клиента это выглядит так:
MS KB Article 307897If the computers belong to an Active Directory domain, the Windows Time service configures itself automatically by using the Windows Time service that is available on domain controllers. The Windows Time service configures a domain controller in its domain as a reliable time source and synchronizes itself periodically with this source.
кроме того, pdc-emulator - главный поставщик времени в домене, т.е. с него берут время и другие контроллеры домена ...
единственное что можно добавить - синхронизировать dc с ролью pdc-emulator с внешним источником точного времени (в интернете например)
вот у вас и запускается синхронизация pdc с внешним источником + принудительная синхронизация bdc с pdc ... последнее может как раз из-за того, что с сервисом времени в bdc проблемы ...

...

Рейтинг:

0 / 0

18.04.2007, 14:23:58

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469843

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

2автор:
сама по себе работа синхронизации не так важна в контексте треда, важно чтобы время на клиенте и кд не сильно отличалось ... у вас на самом деле идёт сильное различие по времени ?
точную дельту мона узнать в default group policy .. по-дефолту = 5 мин.

...

Рейтинг:

0 / 0

18.04.2007, 14:37:32

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469933

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

А если использовать внешний сервер времени на BDC…или это противоречит технологии??

...

Рейтинг:

0 / 0

18.04.2007, 14:57:48

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469949

Guset

Гость

Vit@lА если использовать внешний сервер времени на BDC…или это противоречит технологии??

Можно конечно и его использовать и с ним синхронизировать и клиентам указать что он будет сервером времени.

Но лучше все же выполнять синхронизацию с тем DC который несет роль PDC.

...

Рейтинг:

0 / 0

18.04.2007, 15:00:40

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34470233

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Vit@lКак вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа
Использовать типовой механизм W32Time для этого достаточно его запустить из служб и отконфигурировать его в реестре, запустить на PDC и он будет и сервером для остальных компьютеров и клиентом NTP
Члены домена все равно берут время с него.
Если что то могу помочь с конфигурированием, но в TechNet есть подробная информация и на английсокм и на русском.
В качестве клиента поддерживает список источников времени, у меня например указано три источника, один из них постоянно неработающий time.microsoft.com
Даже если сингхронизации с Интернета, то это не важно, важно чтобы время было одинаковое в домене.

...

Рейтинг:

0 / 0

18.04.2007, 16:02:03

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34472748

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Anatoly Podgoretsky Vit@lКак вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа
Использовать типовой механизм W32Time для этого достаточно его запустить из служб и отконфигурировать его в реестре, запустить на PDC и он будет и сервером для остальных компьютеров и клиентом NTP
Члены домена все равно берут время с него.
Если что то могу помочь с конфигурированием, но в TechNet есть подробная информация и на английсокм и на русском.
В качестве клиента поддерживает список источников времени, у меня например указано три источника, один из них постоянно неработающий time.microsoft.com
Даже если сингхронизации с Интернета, то это не важно, важно чтобы время было одинаковое в домене. Если вам не доставит больших неудобств, помогите организовать синхронизацию времени.
С Уважением Виталий

...

Рейтинг:

0 / 0

19.04.2007, 13:59:03

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34473901

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

Сходи на http://www.networkdoc.ru, там есть статья где описаны детально все парметры.

...

Рейтинг:

0 / 0

19.04.2007, 18:15:59

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474259

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Vit@lЕсли вам не доставит больших неудобств, помогите организовать синхронизацию времени.
Послал выписку из реестра на адрес в анкете.
Пока смотрел анкету потерял подготовленный ответ, приходится поновому писать.
Для подробной информации посмотри следующую статью W32Time , она очень подробная даже слишком, но понять можно, но вкратче достаточно изменить всего два параметра в реестре и после этого перезапустить службу Windows Time (обязательно)

Код: plaintext

1.
2.
3.
4.

HKLM\System\CurrentControlSet\W32Time

  Parameters - список внешних источников, достаточно одного если он стабильные, но не стоит делать более двух трех. При этом будут информационные сообщения об ошибках в журнале, их просто игнорировать.

  Type - NTP для PDC он будет являться источником точного времени для всего домена, включая остальные контроллеры. NT5DS для всех остальных.

Это все что нужно сделать и проверить на остальных контроллерах и серверах.

...

Рейтинг:

0 / 0

19.04.2007, 21:19:43

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474266

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Упустил еще один важный флаг

Config\AnnounceFlag - 5 для PDC, 10 для остальных

...

Рейтинг:

0 / 0

19.04.2007, 21:25:53

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474273

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

И список в формате URL1,0x1 URL2,0x1 ...

...

Рейтинг:

0 / 0

19.04.2007, 21:31:27

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474862

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Так а все же... Нужно ли совершать какте-либо действия, если контроллер т.н. PDC временно недоступен? И насколько это будет ощутимо пользователям?

...

Рейтинг:

0 / 0

20.04.2007, 09:29:27

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474983

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Vit@lТак а все же... Нужно ли совершать какте-либо действия, если контроллер т.н. PDC временно недоступен? И насколько это будет ощутимо пользователям?
если всё правильно настроено, то ничего делать не надо и для пользователя это прозрачно ...

...

Рейтинг:

0 / 0

20.04.2007, 10:08:37

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34476382

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Какие настройки должны быть на клиентах, которые входят в AD

...

Рейтинг:

0 / 0

20.04.2007, 15:21:38

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34476810

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

Какие настройки должны быть на клиентах, которые входят в AD?
Да никакие, точнее, все должно стоять по умолчанию, в результате этого, все клиентские компьютеры будут использовать в качестве источника времени контроллер домена, проверяющий их подлинность. То же самое происходит и на рядовых серверах. Все контроллеры домена используют в качестве источника хозяина операций основного КД(PDC), вот его и надо настроить на внешний источник времени в I-net'e. А сами контроллеры доменов в AD синхронизируются по иерархии леса.
Другими словами надо хозяина операций основного КД(PDC) синхронизировать с кем-нибудь, а на всех остальных запустить службу Windows Time(W32Time).

...

Рейтинг:

0 / 0

20.04.2007, 16:42:05

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34477251

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

авторКакие настройки должны быть на клиентах, которые входят в AD
Никакие, все настроено по умолчанию, все рабочии станции и сервера, включая контроллеры используют NT5DS, какое либо изменение может привести к непредсказуемым последствиям.
Только один контроллер домена (он же PDC) должен брать время от внешнего источка, все остальные от него. А на PDC любой протокол, включая встроеные часы.

...

Рейтинг:

0 / 0

20.04.2007, 18:25:54

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34480275

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Anatoly Podgoretsky Vit@lЕсли вам не доставит больших неудобств, помогите организовать синхронизацию времени.
Послал выписку из реестра на адрес в анкете.
Пока смотрел анкету потерял подготовленный ответ, приходится поновому писать.
Для подробной информации посмотри следующую статью W32Time , она очень подробная даже слишком, но понять можно, но вкратче достаточно изменить всего два параметра в реестре и после этого перезапустить службу Windows Time (обязательно)

Код: plaintext

1.
2.
3.
4.

HKLM\System\CurrentControlSet\W32Time

  Parameters - список внешних источников, достаточно одного если он стабильные, но не стоит делать более двух трех. При этом будут информационные сообщения об ошибках в журнале, их просто игнорировать.

  Type - NTP для PDC он будет являться источником точного времени для всего домена, включая остальные контроллеры. NT5DS для всех остальных.

Это все что нужно сделать и проверить на остальных контроллерах и серверах.

Так и сделал...НО..при запросе времени с клиента вот что происходит
D:\Documents and Settings\vital>w32tm /monitor

Код: plaintext

1.
2.
3.
4.
5.
6.

pdc.trade.auto *** PDC *** [ 10 . 0 . 1 . 1 ]:
    ICMP: 3ms delay.
    NTP: + 0 .0000000s offset from pdc.trade.auto
        RefID: (unknown) [ 10 . 0 . 0 . 11 ]
BDC.trade.auto [ 10 . 0 . 1 . 4 ]:
    ICMP: 0ms delay.
    NTP: error ERROR_TIMEOUT - no response from server in 1000ms

Т.е. мой контроллер т.н. BDC не отдает времени...

...

Рейтинг:

0 / 0

23.04.2007, 13:59:58

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34487520

Pain Of Salvation

Участник

Откуда: Москва

Сообщения: 303

Рейтинг: 0 / 0

Vit@lДобрый день коллеги. Столкнулся со следующей проблемой есть 2 контроллера Домена (для простоты понимания назовем одни PDC, второй BDC), curent functional domain level Windows Server 2003.
На обоих контроллерах поднят ДНС, который хранит свою базу в AD. Так же оба этих контроллера являются GLOBAL CATALOG. Но при недоступности контроллера (PDC) несущего роль RID,PDC-Emulator,Infrastructire. Пользователи неймоверно долго проходят авторизацию на серверах,хотя доступен контроллер BDC. Такое ощущение что они выгрибают данные из кэша.
Что это может быть и как с этим бороться??

Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

Может полезно будет, рекомендую посмотетреть :

Благодаря возможности удаленного поэлементного восстановления можно восстанавливать целые разделы каталога,выбранные объекты и отдельные атрибуты, не переводя AD в автономный режим :))

http://www.quest.com/recovery-manager-for-active-directory-forest-edition

Для аудита вещь,позволяет проверять все события, зарегистрированные на DC, выдавать по ним отчеты и рассылать уведомления, ну и отслеживать можно все подробные изменения в AD и групповой политике. ТАк же реагирует на нарушения политики безопасности и нежелательные изменения важных объектов , ну и тп.

http://www.quest.com/intrust_for_active_directory

Я ключи перешлю, если заинтересует .

...

Рейтинг:

0 / 0

25.04.2007, 18:07:32

| Ответить | Цитировать | Написать

17 сообщений из 42, страница 2 из 2

все

Форумы / Windows [игнор отключен] [закрыт для гостей] / Раотоспособность AD при падении одного из контроллеров

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&msg=34469933&tid=1507520]:	0ms
get settings:	8ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	46ms
get topic data:	7ms
get forum data:	2ms
get page messages:	30ms
get tp. blocked users:	1ms
others:	193ms

total:	300ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы