Windows 2003: проблемы и решения - Операционные системы M$ - Страница 34

[smart] · 09.02.2004, 18:44

Здесь только обсуждение проблем установки/настройки/поддержки M$ Windows 2003 Server.
Все вопросы, связанные с закачкой и взломом/активацией - в ДРУГОЙ ТЕМЕ!
Borland.

Оптимизация Windows Server 2003 для изпользования в качестве рабочей станции:
_http://rapidshare.com/files/14354728/Windows.Server.2003.as.a.Workstation.-.Full.pdf

KomatoZo · 29.08.2006, 14:14

Mozart_mcs
Единственное, что приходит в голову - если ограничение доступа нужно к какому то определенному ресурсу, то можно попробовать поставить VPN сервер и пускать всех только с него. А авторизовать на сервере как - это уже дело 10е, можно через сертификаты, можно паролем, можно как угодно.

AndreyN · 29.08.2006, 14:17

В DHCP нужно назначить резервирование: привязать IP к имени компа и его MAC-адресу. Так же можно обязать клиентов подключаться с обязательным шифрованием, основанным на ключе от Цербера. Тогда подмена мак-адреса будет невозможна.
А с моментальным отключением от сервера можно проделать с сервера, отключив сеанс определенного пользователя и одновременно заблокировав его учетную запись для последующих попыток входа в сеть.

KomatoZo · 29.08.2006, 14:20

AndreyN
Угу. Только, как я уже писал - без службы каталогов такое количество записей поддерживать в Kerberos... Подарите ему кто-нибудь веревку =)
Мыло не нужно, он и так взмыленный будет =)

Mozart_mcs · 29.08.2006, 16:16

Что касается автоматизации всего вышеперечисленного - я сам программист, и VBS Script написать смогу и программку, которая их автоматом запускать будет - но настроить такое нужно обязательно, поэтому идею с веревкой пока в сторону - нужно попытаться все-таки реализовать намеченный план...

Задача и ее постановка очень проста реализовать тоже саамое что и IP шифрование по ключу, только сделать этот ключ защищенным от просмотра пользователя.
Если задача будет решена с т. зрения Винды, потом напишу прогу - и подарю всем кому нужна будет.... если сам не справлюсь - подключу своих программеров,..

Лезут потихоньку наполеоновские мыслишки - потом сделать так, чтобы каждый имел несколько ключей и чем больше ключей, тем больше он ресурсов видит, т.е. на каждый ресурс в сети (сервак) - свой ключ..

Cartman · 29.08.2006, 16:22

Цитата:

Mozart_mcs:
VBS Script написать смогу и программку

Да но ведь без AD ты не сможешь прописать в групповой политике, чтобы она запускалась у всех кто входит в сеть

Ты говоришь что подключение неконтролируемое, но ты все равно остаешься админом на всех машинах? Или пользователь машины может выкинуть тебя из группы админов или даже не заводить там.
VPN конечно вариант, но не для доступа к сети, а для доступа к сереру, имхо.

KomatoZo · 29.08.2006, 16:31

Mozart_mcs,
Cartman рулит. Или Вы админ на всех машинах или тебе придется выдавать всем ключи ручками. И контролировать Вы сможете доступ только к тем ресурсам, где являетесь единоличным админом. Иначе - нереально. Точнее реально, наверное, но для этого Вам придется написать программу, которая будет вести себя как вирус. То есть перехватывать административные полномочия на клиентской машине и не давать ей доступ вне прописанно policy.

Mozart_mcs · 29.08.2006, 17:22

Блин, неужто так все запущено?!
Мне кажется просто не хватает свежей идеи.
Буду думать, к послезавтрому нужно обязательно придумать.Кровь из носа. хмммм. Включаем полный поиск по статьям Microsoft, книгам и т.д. Ну не может быть чтобы такая простая задача так тяжко решалась!!

KomatoZo · 29.08.2006, 17:43

Mozart_mcs
Да Вы поймите, чудак-человек: не может быть контроля без контроля. Вы должны контролировать либо ресурс, либо компьютер пользователя, либо и то и другое. На худой конец: Вы должны контролировать каналы связи.
Иначе задача неразрешима в принципе. Аминь =) Как решать эти задачи - вопрос 10й, но решение исходной сводится к решению одной из перечисленных мной =)

NSE · 04.09.2006, 13:24

Есть такая проблема.
Сеть:win2003(DHCP,WINS,DNS)-1 сервак. Клиенты от win95 до winxp. Поднята AD. На не nt клиентах стоит dsclient с диска 2000srv.
Все работает на ура, но не обрабытывается групповая политика. В логах пишет ошибку 1054. На официальном сайте майкрософта был. Ничего не помогло. Кто нибудь сталкивался с такой бедой?

KomatoZo · 04.09.2006, 13:34

NSE
На каких именно клиентах не отрабатывает GPO? На 9x Так на них и не должна. По определению. На NT тоже. Если на 2000/XP, тогда что пишет в логах, скажем, на XP после gpupdate?

NSE · 04.09.2006, 17:13

Пишет контроллер домена не найден. Обработка групповой политики не может быть завершена. Хотя если глядеть тем же Ideal Administration то все вроде тип топ, показывает мой сервак как PDC, всю инфу нужную. Что не так, я просто в шоке уже.

KomatoZo · 04.09.2006, 17:20

NSE
Таки не вижу ответа на мой вопрос: на каких клиентах не отрабатывает политика?
Из того, что "контроллер домена не найден" могу заключить, что проблема может быть связана с:
1)DNS
2)WINS
3)выключенной службой "File and print Sharing for Microsoft..."
это навскидку.
Первое было бы вероятнее всего, но вроде у Вас чем-то он все-таки видится. После ответа на вопрос станет понятнее куда копать дальше.

04.09.2006, 18:36

NSE

Первым делом стоит проверить файрвол, проходят ли ICMP пакеты. Потом - драйвера сетевых. Если читаешь по английски вот здесь
много конкретной информации на эту тему.

NSE · 05.09.2006, 05:14

Не отрабатывает политика на всех клиентах. С сетевухой и дровами все нормально. С отключенным файерволом ничего не меняется. DNS работает на ура. WINS тоже вроде работает: открыт порт, запущена служба, но когда пытаюсь администрировать wins через консоль пишет "Не удается найти WINS-сервер". В свойствах сетевого подключения на серваке wins прописан. Служба запущена.

KomatoZo · 05.09.2006, 09:01

На всееех???... Вот это номер... И с логином, при этом, никаких проблем?
gpresult вообще на XPшных клиентах что показывает?

@lexey · 05.09.2006, 09:21

Цитата:

Сообщение от NSE

Не отрабатывает политика на всех клиентах.

Взведи DHCP - пропиши в нем все параметры, с какого по какой IP раздавать, ну и ессно - DNS, шлюз и т.д.
На остальных машинках, естественно, скажи забирать с DHCP.

NSE · 05.09.2006, 18:27

gpresult завтра на работе гляну. А DHCP настроеный поднят давно. Тем более на сколько я помню AD без DHCP не поднимается, а у меня как раз она.

@lexey · 06.09.2006, 06:53

Цитата:

Сообщение от NSE

Тем более на сколько я помню AD без DHCP не поднимается

Ты это где такое прочитал? Какая то у тебя мистика ...

Cartman · 06.09.2006, 11:49

Цитата:

@lexey:
Ты это где такое прочитал? Какая то у тебя мистика

Это он с DNS-ом скорее всего перепутал

deimos · 07.09.2006, 03:12

Цитата:

NSE:
Не отрабатывает политика на всех клиентах. С сетевухой и дровами все нормально. С отключенным файерволом ничего не меняется. DNS работает на ура. WINS тоже вроде работает: открыт порт, запущена служба, но когда пытаюсь администрировать wins через консоль пишет "Не удается найти WINS-сервер". В свойствах сетевого подключения на серваке wins прописан. Служба запущена.

DHCP поднят? он правильно раздает клиентам информацию о ДНС и WINS серверах?
у меня такое было когда в DHCP неправильно прописал адрес DNS, WINS

09.02.2004, 18:44	# 1
[smart] Full Member Регистрация: 15.10.2003 Адрес: [ crystalnet ] Сообщения: 1 114	Windows 2003: проблемы и решения Здесь только обсуждение проблем установки/настройки/поддержки M$ Windows 2003 Server. Все вопросы, связанные с закачкой и взломом/активацией - в ДРУГОЙ ТЕМЕ! Borland. Оптимизация Windows Server 2003 для изпользования в качестве рабочей станции: _http://rapidshare.com/files/14354728/Windows.Server.2003.as.a.Workstation.-.Full.pdf Последний раз редактировалось Borland; 01.02.2007 в 09:33.

29.08.2006, 14:14	# 661
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Mozart_mcs Единственное, что приходит в голову - если ограничение доступа нужно к какому то определенному ресурсу, то можно попробовать поставить VPN сервер и пускать всех только с него. А авторизовать на сервере как - это уже дело 10е, можно через сертификаты, можно паролем, можно как угодно. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

29.08.2006, 14:17	# 662
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	В DHCP нужно назначить резервирование: привязать IP к имени компа и его MAC-адресу. Так же можно обязать клиентов подключаться с обязательным шифрованием, основанным на ключе от Цербера. Тогда подмена мак-адреса будет невозможна. А с моментальным отключением от сервера можно проделать с сервера, отключив сеанс определенного пользователя и одновременно заблокировав его учетную запись для последующих попыток входа в сеть. __________________ собираем клики- пиксели -на уникальный домик imho.ws imho.ws/showthread.php?t=113817 Последний раз редактировалось AndreyN; 29.08.2006 в 14:20.

29.08.2006, 14:20	# 663
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	AndreyN Угу. Только, как я уже писал - без службы каталогов такое количество записей поддерживать в Kerberos... Подарите ему кто-нибудь веревку =) Мыло не нужно, он и так взмыленный будет =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

29.08.2006, 16:31	# 666
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Mozart_mcs, Cartman рулит. Или Вы админ на всех машинах или тебе придется выдавать всем ключи ручками. И контролировать Вы сможете доступ только к тем ресурсам, где являетесь единоличным админом. Иначе - нереально. Точнее реально, наверное, но для этого Вам придется написать программу, которая будет вести себя как вирус. То есть перехватывать административные полномочия на клиентской машине и не давать ей доступ вне прописанно policy. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

29.08.2006, 16:16	# 664
Mozart_mcs Junior Member Регистрация: 07.08.2005 Сообщения: 117	Что касается автоматизации всего вышеперечисленного - я сам программист, и VBS Script написать смогу и программку, которая их автоматом запускать будет - но настроить такое нужно обязательно, поэтому идею с веревкой пока в сторону - нужно попытаться все-таки реализовать намеченный план... Задача и ее постановка очень проста реализовать тоже саамое что и IP шифрование по ключу, только сделать этот ключ защищенным от просмотра пользователя. Если задача будет решена с т. зрения Винды, потом напишу прогу - и подарю всем кому нужна будет.... если сам не справлюсь - подключу своих программеров,.. Лезут потихоньку наполеоновские мыслишки - потом сделать так, чтобы каждый имел несколько ключей и чем больше ключей, тем больше он ресурсов видит, т.е. на каждый ресурс в сети (сервак) - свой ключ..

29.08.2006, 17:22	# 667
Mozart_mcs Junior Member Регистрация: 07.08.2005 Сообщения: 117	Блин, неужто так все запущено?! Мне кажется просто не хватает свежей идеи. Буду думать, к послезавтрому нужно обязательно придумать.Кровь из носа. хмммм. Включаем полный поиск по статьям Microsoft, книгам и т.д. Ну не может быть чтобы такая простая задача так тяжко решалась!!

29.08.2006, 17:43	# 668
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Mozart_mcs Да Вы поймите, чудак-человек: не может быть контроля без контроля. Вы должны контролировать либо ресурс, либо компьютер пользователя, либо и то и другое. На худой конец: Вы должны контролировать каналы связи. Иначе задача неразрешима в принципе. Аминь =) Как решать эти задачи - вопрос 10й, но решение исходной сводится к решению одной из перечисленных мной =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

04.09.2006, 13:24	# 669
NSE Newbie Регистрация: 05.04.2006 Сообщения: 30	Есть такая проблема. Сеть:win2003(DHCP,WINS,DNS)-1 сервак. Клиенты от win95 до winxp. Поднята AD. На не nt клиентах стоит dsclient с диска 2000srv. Все работает на ура, но не обрабытывается групповая политика. В логах пишет ошибку 1054. На официальном сайте майкрософта был. Ничего не помогло. Кто нибудь сталкивался с такой бедой?

04.09.2006, 13:34	# 670
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	NSE На каких именно клиентах не отрабатывает GPO? На 9x Так на них и не должна. По определению. На NT тоже. Если на 2000/XP, тогда что пишет в логах, скажем, на XP после gpupdate? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

04.09.2006, 17:13	# 671
NSE Newbie Регистрация: 05.04.2006 Сообщения: 30	Пишет контроллер домена не найден. Обработка групповой политики не может быть завершена. Хотя если глядеть тем же Ideal Administration то все вроде тип топ, показывает мой сервак как PDC, всю инфу нужную. Что не так, я просто в шоке уже.

04.09.2006, 17:20	# 672
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	NSE Таки не вижу ответа на мой вопрос: на каких клиентах не отрабатывает политика? Из того, что "контроллер домена не найден" могу заключить, что проблема может быть связана с: 1)DNS 2)WINS 3)выключенной службой "File and print Sharing for Microsoft..." это навскидку. Первое было бы вероятнее всего, но вроде у Вас чем-то он все-таки видится. После ответа на вопрос станет понятнее куда копать дальше. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

04.09.2006, 18:36	# 673
Beagle Guest Сообщения: n/a	NSE Первым делом стоит проверить файрвол, проходят ли ICMP пакеты. Потом - драйвера сетевых. Если читаешь по английски вот здесь много конкретной информации на эту тему.

05.09.2006, 05:14	# 674
NSE Newbie Регистрация: 05.04.2006 Сообщения: 30	Не отрабатывает политика на всех клиентах. С сетевухой и дровами все нормально. С отключенным файерволом ничего не меняется. DNS работает на ура. WINS тоже вроде работает: открыт порт, запущена служба, но когда пытаюсь администрировать wins через консоль пишет "Не удается найти WINS-сервер". В свойствах сетевого подключения на серваке wins прописан. Служба запущена. Последний раз редактировалось NSE; 05.09.2006 в 05:19. Причина: добавлю

05.09.2006, 09:01	# 675
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	На всееех???... Вот это номер... И с логином, при этом, никаких проблем? gpresult вообще на XPшных клиентах что показывает? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

05.09.2006, 18:27	# 677
NSE Newbie Регистрация: 05.04.2006 Сообщения: 30	gpresult завтра на работе гляну. А DHCP настроеный поднят давно. Тем более на сколько я помню AD без DHCP не поднимается, а у меня как раз она.