Category Archives: Active Directory

Очистка метаданных после понижения контроллера домена

Автор Itworkroom

Очистка метаданных после понижения контроллера домена

Часто возникает ситуация, когда удалить роль контроллера домена штатными средствами (DCPROMO) не получается. Например после форсированного понижения роли контролера домена до штатного сервера. В данной ситуации во внутренней базе данных Active Directory (на первичном контроллере) остаются останки (мета данные) старого контроллера домена, приводящие порой к различного рода ошибкам.

Начиная с MS Windows 2003 имелся стандартный способ зачистки мета данных средствами утилиты NTDSUTIL.

Начиная с Windows 2008/2008R2 данный функционал доступен через графический интерфейс. В примере используется MS Windows 2016.

Чтобы очистить метаданные после понижения контроллера домена необходимо выполнить следующие действия:

1. Запустите консоль ADUC (Пользователи и компьютеры) «Users and Computers»; (далее…)

Порты для работы Active Directory через сетевой экран

Автор Itworkroom

Порты для работы Active Directory через сетевой экран

Для нормального функционирования Active Directory находящимся за сетевым экраном (firewall) необходимы открытые порты:

TCP и UDP порт 88 для Kerberos авторизации;
TCP и UDP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент;
TCP порт 139 и UDP порт 138 для File Replication Service между контроллерами домена;
TCP и UDP порт 389 для LDAP запросов от клиента к серверу;
TCP и UDP порт 445 для File Replication Service;
TCP и UDP порт 464 для смены пароля Kerberos;
TCP порт 3268 и TCP порт 3269 для доступа к Global Catalog от клиента к контроллеру домена;
TCP и UDP порт 53 для DNS запросов;

Список типовых портов для работы Active Directory через firewall

Автор Itworkroom

В статье приведен список необходимых открытых портов для работы с Active Directory находящимся за firewall’ом

  • TCP и UDP порт 88 для Kerberos авторизации.
  • TCP и UDP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
  • TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
  • TCP и UDP порт 389 для LDAP запросов от клиента к серверу.
  • TCP и UDP порт 445 для File Replication Service
  • TCP и UDP порт464 для смены пароля Kerberos
  • TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
  • TCP и UDP порт 53 для DNS запросов

Для обновлений с WSUS необходим порт 80/tcp

Резервное копирование и восстановление (Group Policy Object, GPO)

Автор Itworkroom

Резервное копирование и восстановление (Group Policy Object, GPO)

Групповые политики (Group Policy Object, GPO) играют важную роль в управлении доменом предприятия, а их повреждение или непреднамеренное удаление может привести к плачевным результатам. Резервное копирование объектов групповых политик дает возможность оперативно восстановить их состояние и если не избежать последствий, то свести их к минимуму. Кроме того, резервные копии стоит делать перед редактированием параметров GPO, чтобы в случае проблем не заниматься поиском, а просто откатить изменения из резервной копии.

Управлять резервным копированием и восстановлением GPO можно как из графической оснастки, так и из командной строки. Итак, вариант первый.

Оснастка Group Policy Management

Запустить оснастку управления групповыми политиками Group Policy Management можно из раздела Administrative Tools, либо нажав Win+R и введя команду gpmc.msc. Для создания резервной копии надо перейти в раздел Group Policy Objects, выделить нужный объект, кликнуть на нем правой клавишей мыши и в контекстном меню выбрать пункт «Back Up». (далее…)

Корзина AD (Active Directory Recycle Bin) в Windows Server 2012

Автор Itworkroom

Корзина AD (Active Directory Recycle Bin) в Windows Server 2012

В Windows Server 2012 корзина обрела графический интерфейс. Теперь включить ее можно из административного центра Active Directory.графический интерфейс AD bin
(далее…)