Компьютер не появляется в active directory
Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.
Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.
DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для . (). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/.
[FATAL] Kerberos does not have a ticket for .
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC \
Причина
Ошибки возникают, если установлено, что NT4Emulator 0x1 в следующем подкоже реестра контроллера домена-помощника, используемого для пользования целевым доменом:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: NT4Emulator
Тип значения: REG_DWORD
Данные значения: 1
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена
В меню Пуск выберите команду Выполнить и введите adsiedit.msc.
Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.
Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.
На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.
На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.
Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.
Закройте редактор ADSI.
Проблема
Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
Способ 1. Исправление ошибок в службе доменных имен (DNS).
Способ 2. Синхронизация времени компьютеров.
Способ 3. Проверка наличия права Доступ к компьютеру из сети.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.
Дополнительная информация
В случае соединения с FQDN клиент присоединений не получает адекватного ответа на запросы LDAP, которые он отправляет контроллерам домена в начале процесса соединения домена. Диспетчер домена-помощник отвечает, но присоединенный клиент считает ответ неполным.
Способ 1. Исправление ошибок в DNS
Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.
Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:
Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:
291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
237675 Настройка службы доменных имен (DNS) для Active Directory
254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Способ 3. Проверка наличия права "Доступ к компьютеру из сети"
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.
Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.
Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.
Контроллеры домена под управлением Windows Server 2003:
Контроллеры домена под управлением Windows 2000 Server:
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.
Контроллеры домена под управлением Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Контроллеры домена под управлением Windows 2000 Server:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.
Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:
Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.
По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).
Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:
258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0
216734 Настройка основного сервера времени в Windows 2000
Симптомы
Вы пытаетесь присоединиться к Windows Server 2008 R2 или компьютеру Windows 7 в домен Active Directory с помощью изменений имени компьютера и домена в system Properties.
Домен назначения имеет контроллеры Windows 2000, Windows Server 2003 или Windows Server 2008 и может иметь Windows NT 4.0 контроллеров домена. При попытке присоединиться к компьютеру Windows Server 2008 R2 в домене, указав полное доменное имя (FQDN) в пользовательском интерфейсе домена, операция сбой, и вы получите ошибку:
Не удалось связаться с контроллером домена Active Directory (AD DC) для домена
Убедитесь, что имя домена введите правильно
В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:
При попытке присоединиться к компьютеру Windows Server 2008 R2 к домену, указав имя NetBIOS в пользовательском интерфейсе присоединиться к домену, вы получите другую ошибку:
Произошла следующая ошибка при попытке присоединиться к домену. Указанный домен либо не существует, либо не может быть связаться.
В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:
-----------------------------------------------------------------
NetpDoDomainJoin
NetpMachineValidToJoin: 'CLIENT-NAME'
ВЕРСИЯ ОС: 6.1
Номер сборки: 7600 (7600.win7_rtm.090713-1255)
SKU: Windows Server 2008 R2 Enterprise
NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0
NetpGetLsaPrimaryDomain: состояние: 0x0
NetpMachineValidToJoin: состояние: 0x0
NetpJoinDomain
Машина: CLIENT-NAME
Домен: Domain_Name
MachineAccountOU: (NULL)
Учетная запись: Domain_Name\admx054085
Параметры: 0x27
NetpLoadParameters: параметры реестра загрузки.
NetpLoadParameters: DNSNameResolutionRequired не найден, по умолчанию значение "1" 0x2
NetpLoadParameters: DomainCompatibilityMode не найден, по умолчанию значение "0" 0x2
NetpLoadParameters: состояние: 0x2
NetpValidateName: проверка, допустимо ли имя Domain_Name как имя типа 3
NetpValidateName: "Domain_Name" не является допустимым доменным именем DNS: 0x2554
NetpCheckDomainNameIsValid [ Существует ] для "Domain_Name" возвращенных 0x0
NetpValidateName: имя Domain_Name допустимо для типа 3
NetpDsGetDcName: пытается найти DC в домене "Domain_Name", флаги: 0x40001010
**NetpDsGetDcName: не удалось найти DC в указанном домене: 0x54b, последняя ошибка 0x0
**NetpJoinDomainOnDs: NetpDsGetDcName возвращено: 0x54b
**NetpJoinDomainOnDs: функция выходит со статусом: 0x54b
**NetpDoDomainJoin: состояние: 0x54b
Домен присоединяется Windows Server 2003 к одному и том же целевому домену, указав доменное имя NetBIOS в пользовательском интерфейсе. Также не удается объединить домен с помощью FQDN.
Вы также можете успешно присоединиться к одному Windows Server 2008 R2 к другому домену Active Directory в том же лесу с указанием доменного имени FQDN.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)
Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.
Откройте редактор реестра.
На левой панели разверните узел Security.
В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
На правой панели редактора реестра один раз щелкните запись : REG_NONE.
В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.
В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
На правой панели двойным щелчком выберите : REG_NONE.
В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)
Перезагрузите контроллер домена.
Все ответы
чо делали ДО ТОГО КАК появилась проблема
Вышел из строя контроллер домена (ВМ), пришлось восстановить из бэкапа. Собственно все, после этого и начались проблемы
adsiedit доступ нормальный?
проблема только в работе оснастки?
а суффиксы вы сознательно удалили из вывода айпиконфига?
>>Вышел из строя контроллер домена (ВМ), пришлось восстановить из бэкапа.
Не понял причины восстановления из бэкапа. Восстановление полномочное или нет? На какую дату восстановление? Кто был мастером схемы на момент восстановления? Что 'netdom query fsmo' сейчас выдает? С момента бэкапа до восстановления изменения в схему не вносились?
Тоже думаю, что проблема в этом. Сравнивал с другими доменами, вроде нормальный. Да только в оснастке. Удалили сознательно
Восстанавливал ВМ прошлым днем с помощью Veeam. Полномочия не трогал.
C:\Windows\system32>netdom query fsmo
Schema master SRV-ASTDC02. kz
Domain naming master SRV-ASTDC02. kz
PDC SRV-ASTDC02. kz
RID pool manager SRV-ASTDC02. kz
Infrastructure master SRV-ASTDC02. kz
The command completed successfully.
Чисто на всякий случай вопрос: dcdiag /q из командной строки в режиме администратора делали?
Если нет - сделайте из режима администратора: иначе некоторые тесты (в частности - состояние репликации) не производятся из-за нехватки прав, а при с ключом /q предупреждения об этом подавляются.
И вообще, проверьте (с помощью repadmin /showrepl) что на этом контроллере была выполнена хотя бы по одному разу репликация разделов схемы, конфигурации и домена, к которому он принадлежит (а то мало ли - KCC, например, не смог создать ни одного подключения, а dcdiag об этом не сообщит). Репликация же должна пройти, чтобы контроллер действительно мог принять на себя роль владельца FSMO, связанных с соответствующими разделами.
C:\Windows\system32> repadmin /showrepl
Repadmin: running command /showrepl against full DC localhost
Astana\SRV-ASTDC02
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 08e17f9c-27d3-47fa-8203-409aa94a4771
DSA invocationID: 086fdce2-3e16-44ea-91c9-08b6c72fdb3e
DC=. DC=kz
ITC\SRV-ITCDC01 via RPC
DSA object GUID: 14c3ff63-22b4-458b-a079-00294c4e16d9
Last attempt @ 2017-05-24 18:52:04 was successful.
Astana\SRV034 via RPC
DSA object GUID: 7f0d6ed5-2d47-4b74-b711-7cd3a300a700
Last attempt @ 2017-05-24 19:07:12 was successful.
Astana\SRV033 via RPC
DSA object GUID: 048d37c4-f29f-4dc9-8222-9d8a527fdc16
Last attempt @ 2017-05-24 19:07:16 was successful.
CN=Configuration,DC=. DC=kz
ITC\SRV-ITCDC01 via RPC
DSA object GUID: 14c3ff63-22b4-458b-a079-00294c4e16d9
Last attempt @ 2017-05-24 18:52:05 was successful.
Astana\SRV034 via RPC
DSA object GUID: 7f0d6ed5-2d47-4b74-b711-7cd3a300a700
Last attempt @ 2017-05-24 18:56:29 was successful.
Astana\SRV033 via RPC
DSA object GUID: 048d37c4-f29f-4dc9-8222-9d8a527fdc16
Last attempt @ 2017-05-24 18:56:32 was successful.
CN=Schema,CN=Configuration,DC=. DC=kz
Astana\SRV033 via RPC
DSA object GUID: 048d37c4-f29f-4dc9-8222-9d8a527fdc16
Last attempt @ 2017-05-24 18:52:05 was successful.
Astana\SRV034 via RPC
DSA object GUID: 7f0d6ed5-2d47-4b74-b711-7cd3a300a700
Last attempt @ 2017-05-24 18:52:05 was successful.
ITC\SRV-ITCDC01 via RPC
DSA object GUID: 14c3ff63-22b4-458b-a079-00294c4e16d9
Last attempt @ 2017-05-24 18:52:05 was successful.
DC=DomainDnsZones,DC=. DC=kz
ITC\SRV-ITCDC01 via RPC
DSA object GUID: 14c3ff63-22b4-458b-a079-00294c4e16d9
Last attempt @ 2017-05-24 18:52:05 was successful.
Astana\SRV034 via RPC
DSA object GUID: 7f0d6ed5-2d47-4b74-b711-7cd3a300a700
Last attempt @ 2017-05-24 18:57:38 was successful.
Astana\SRV033 via RPC
DSA object GUID: 048d37c4-f29f-4dc9-8222-9d8a527fdc16
Last attempt @ 2017-05-24 18:57:56 was successful.
DC=ForestDnsZones,DC=. DC=kz
Astana\SRV033 via RPC
DSA object GUID: 048d37c4-f29f-4dc9-8222-9d8a527fdc16
Last attempt @ 2017-05-24 18:52:05 was successful.
Astana\SRV034 via RPC
DSA object GUID: 7f0d6ed5-2d47-4b74-b711-7cd3a300a700
Last attempt @ 2017-05-24 18:52:05 was successful.
ITC\SRV-ITCDC01 via RPC
DSA object GUID: 14c3ff63-22b4-458b-a079-00294c4e16d9
Last attempt @ 2017-05-24 18:52:05 was successful.
Не понимаю откуда, но внезапно столкнулся с проблемой.
Завожу компьютеры в домен. Процедура ввода проходит успешно - запрос авторизации, подтверждение данных, перезагрузка.
Но при входе пользователя в систему, выходит события об отсутствии компьютера в базе AD.
И действительно, объект не создаётся (по умолчанию в OU Computers)
Создаю объект рукам (с идентичным именем) пустой, ввод происходит успешно.
Логи конечно могу приложить, но там нет ошибок вообще.
dcdiag отрабатывает без ошибок, тесты DNS проходят без проблем.
Подскажите, куда копать. Заранее спасибо
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".
С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:
netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора
netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора
Перезагрузите контроллер домена, подверженный ошибкам.
Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.
Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:
257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена
257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos
323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Несомненно, многие из Вас неоднократно сталкивались с такой проблемой – удалены учетные записи пользователей. Статей по восстановлению учетных записей много, и, наверное, самая лучшая написана Microsoft, однако им всем не хватает наглядности. Мы постараемся преодолеть этот недостаток, сведя процедуру восстановления учетных записей к простым шагам.
Как Вы знаете, восстанавливать объекты можно различными способами, каждый из которых подходит наилучшим образом в той или иной ситуации.
При этом предпочтительным является восстановление из tombstone-объектов. На это есть несколько причин:
- не требуется выведение контроллера домена в автономный режим (все работают, ничего не отключено)
- восстановление объектов-захоронений гораздо лучше, чем простое воссоздание новой версии удаленного объекта
Часть атрибутов удаляется вместе с удалением объекта – их уже не восстановить. Например, членство в группах безопасности.
Если вы вновь создаете объект, он всегда будет иметь новые атрибуты objectGUID и objectSid (если это участник политики безопасности, такой как пользователь). В результате любые внешние ссылки на объект, такие как ACL, необходимо будет обновлять для отражения нового идентификатора объекта. Это может стать очень большой проблемой.
Поэтому в данном посте сначала будут рассмотрены способы, использующие tombstone-объекты, и лишь в конце приведена информация по принудительному восстановлению. В конце поста будут рассмотрены возможности утилиты восстановления NetWrix Active Directory Object Restore Wizard. Информация для поста взята из документа «Восстановление объектов Active Directory: сборник сценариев», подготовленного NetWrix. Заинтересованных приглашаем под кат.
Что необходимо восстановить: пример
И решаться эта задача будет всеми возможными способами.
1. Восстановление объектов с помощью ldp.exe
Порядок действий:
1) Включаем отображение в консоли удаленных объектов (CN=Deleted Objects)
Сначала необходимо сделать так, чтобы удаленные объекты отображались (а по умолчанию контейнер CN=Deleted Objects не отображается. Используем ldp.exe в Active Directory (требует членства в Domain Admins).
1. Запускаем ldp.exe. (Пуск – Выполнить – ldp.exe)
2. В меню Options (Параметры) выбираем пункт Controls (Элементы управления)
Восстанавливаем объекты:
Рассмотрим восстановление на примере учетной записи Oleg, входящей в OU Finance_Department.
1) Запускаем ldp.exe
2) В разделе Connections (Подключение) выбираем пункт Connect (Подключить) — Bind (Привязка) Подключаемся и осуществляем привязку к серверу, на котором находится корневой домен леса среды Active Directory
3) В дереве консоли переходим в контейнер CN=Deleted Objects (прописываем также DC=acme,DC=com для взятого за пример домена)
4) Находим в оснастке в контейнере CN=Deleted Objects объект, который хотим восстановить, щелкаем правой кнопкой на него и выбираем пункт Modify (Изменить).
5) В окне Modify (Изменение) меняем следующие параметры
a. В поле Edit Entry (Изменить запись) атрибута вводим isDeleted
b. Оставляем поле Values (Значение) пустым
c. В разделе Operation (Операция) выбираем Delete (Удалить) и нажимаем клавишу Enter (ВВОД)
d. В поле Edit Entry Attribute (Изменить запись Атрибута) вводим distinguishedName
e. В поле Values (Значения) вводим первоначальное различающееся имя (DN) этого объекта Active Directory.
f. В разделе Operation (Операция) выбираем Replace (Заменить)
g. Устанавливаем флажок Extended (Расширенный), нажимаем клавишу Enter (ВВОД), а затем Run (Выполнить)
Учетная запись восстановлена, но деактивирована. Включить ее необходимо будет вручную. Также вручную необходимо восстановить членство в группах и сбросить пароль.
Те же самые действия повторяем для оставшихся объектов:
OU Finance_Department
OU Admins
Учетной записи Dmitry
Учетной записи Sergey
Необходимо проделать много действий, прежде чем объект будет восстановлен.
Все действия придется повторить для каждого из удаленных объектов.
2. Используем ADRESTORE
Восстановление объектов-захоронений с помощью LDP дело несложное. Однако неудобное и долгое. Для этих целей есть ADRESTORE, которая предназначена специально для восстановления объектов AD.
Утилита работает в двух режимах:
• Запуск без параметров. Она выведет список всех объектов-захоронений в контейнере CN=Deleted Objects домена по умолчанию. Можно добавить строку для поиска в командной строке, чтобы выбрать объекты для показа:
Выводятся все объекты в контейнере CN=Deleted Objects, которые содержат строку «Finance_Department» в атрибуте CN или OU — используется поисковый фильтр LDAP cn=*Finance_Department* и ou=*Finance_Department*. На рисунке ниже показаны результаты поиска, возвращенного программой ADRESTORE.
• Восстановление объектов
Если нужно восстановить объект-захоронение, а не только найти его, необходимо указать параметр –r вместе с дополнительной строкой, например, вот так:
Для восстановления учетных записей используем команды:
Команда предложит восстановить каждый удовлетворяющий условию объект-захоронение. Объект восстанавливается в контейнер, указанный атрибутом lastKnownParent объекта-захоронения (и никакой другой).
Эта команда предложит восстановить каждый подходящий объект-захоронение. ADRESTORE всегда восстанавливает объект в контейнер, указанный атрибутом lastKnownParent объекта-захоронения, нет никакого способа указать другой контейнер.
ADRESTORE легче использовать, чем LDP.
Утилита позволяет относительно быстро восстановить объекты, но опять-таки без необходимых атрибутов — членство в группах и пароли придется восстановить вручную. Один из самых популярных способов восстановления объектов.
3. Использование AD Recycle Bin (Windows Server 2008 R2)
В Windows Server 2008 R2 появилась корзина Active Directory Recycle Bin (AD RB), Чтобы ее активировать, необходимо, чтобы уровень леса был Windows Server 2008 R2. AD RB напоминает обыкновенную корзину Windows — случайно удаленный объект может быть быстро и со всеми атрибутами восстановлен. Причем восстановленный из AD RB объект сразу же получает и все свои атрибуты. По умолчанию время «жизни» удаленного объекта в AD RB составляет 180 дней, после этого переходит в состояние Recycle Bin Lifetime, теряет атрибуты и через некоторое время полностью удаляется.
В самом простом случае восстановление объекта происходит с помощью Powershell командлетов Get-ADObject и Restore-ADObject (в том случае, если Вы точно знаете, что именно Вам необходимо восстановить). Командлет Get-ADObject используется для извлечения удаленного объекта, который затем передается с помощью конвейера в командлет Restore-ADObject:
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell введите следующую команду:
В данном примере
-Filter указывает, что какую информацию об объекте AD необходимо получить (в примере – об объекте с отображаемым именем пользователя “user),
-IncludeDeletedObjects означает, что поиск осуществляется по удаленным объектам
Restore-ADObject непосредственно осуществляет восстановление объекта AD.
Поиск удаленных объектов
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell вводим следующие команды для получения необходимой информации:
Получаем информацию о том, в какой OU состоял удаленный пользователь
Где User – отображаемое имя пользователя
В итоге получаем информацию о принадлежности к OU указанного пользователя (с помощью -Properties lastKnownParent)
Поиск всех удаленных объектов, которые входили в данную OU
В качестве примера берем различающееся имя OU Finance_Department, которое было получено после запуска предыдущего командлета (Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a).
Внимание! Если у Вас имеется вложенная OU, восстановление осуществляется начиная с наивысшего уровня иерархии. В данном случае таковым является OU=Finance_Department.
Восстановление объектов
1. Запускаем Модуль Active Directory для Windows PowerShell
2. Восстанавливаем подразделение Finance_Department, выполнив в командной строке следующую команду:
3. Восстанавливаем учетные записи и OU, которые являются непосредственными дочерними объектами OU Finance_Department (помните, что на этом этапе различающееся имя Finance_Department уже восстановлено в значение OU=Finance_Department,DC=acme,DC=com)
Опционально (восстановление вложенных OU)
4. Восстанавливаем учетные записи, входящие во вложенную OU (например, OU Admins, которая входит в состав OU Finance Department. Различающееся имя в нашем примере было восстановлено в значение OU=Admins,OU=Finance_Department,DC=acme,DC=com)
Подробную справку о командлетах и их параметрах вызвав командлет Get-Help, например Get-Help Get-ADObject
Итог:
Объекты будут восстановлены в первоначальный вид – со всеми атрибутами.
Однако, как мы можем видеть, данный метод довольно сложен, когда приходится работать с большим количеством объектов.
Также требуется, все сервера в лесу должны быть Windows 2008 R2.
Для восстановления объектов с атрибутами при включенной корзине AD можно использовать описанные выше инструменты LDP и AdRestore.
4. Принудительное восстановление с помощью NTDSUTIL
Стандартным способом (но, однако, не самым подходящим) является принудительное восстановление из резервной копии в режиме Directory Service Restore Mode. Он обладает серьезными недостатками: нужно перезагружать сервер, а во-вторых, восстанавливать из резервной копии состояние системы и помечать, какие объекты не будут перезаписаны процессом репликации.
Восстановление осуществляется с помощью утилиты командной строки NTDSUTIL. Утилита становится доступной после установки роли AD DS. Используя ее, можно восстановить как OU со всем содержимым, так и отдельный объект.
Работа утилиты основана на мгновенных снимках (снапшотах) Active Directory, которые делаются при помощи службы VSS.
Внимание! В ходе принудительного восстановления AD внутренний номер версии восстанавливаемых объектов увеличивается. После подключения контроллера домена к сети эти объекты будут реплицированы по всему домену, а восстановленная версия становится глобально действующей.
Внимание! Невозможно выполнить восстановление, если на контроллерах домена Server 2008 и выше остановлена служба NTDS AD.
3. Восстановите системное состояние из резервной копии, созданной до аварии.
Внимание! Не перезагружайте компьютер.
В снимке, полученном при помощи ntdsutil, присутствует как сам объект, так и его атрибуты. Образ можно монтировать и подключать в качестве виртуального LDAP-сервера, экспортирующего объекты. Запускаем ntdsutil:
Просматриваем список доступных снимков:
Монтируем командой mount c указанием номера или :
4. Запустите команду
Для восстановления подразделения Finance_Department
В итоге будет восстановлена OU Finance_Department с входящими в нее учетными записями и вложенной OU Admins
Для восстановления отдельной учетной записи, например, c отображаемым именем Oleg
Перезагрузите DC в нормальном режиме запуска операционной системы.
7. Зарегистрируйтесь на DC и откройте командную строку. Импортируйте LDIF-файл, экспортированный на шаге 5, выполнив команду
Внимание! Если в лесу содержится несколько доменов, необходимо использовать текстовый файл, экспортированный на шаге 6 для восстановления членства в локальных группах других доменов.
Итог:
Учетные записи и объекты восстановлены, однако база Active Directory была недоступна в течение определенного периода времени. Вы также зависите от наличия актуальных баз данных AD, полагаясь на данный метод восстановления.
5. NetWrix Active Directory Object Restore Wizard
Процесс восстановления объектов можно очень сильно упростить, если воспользоваться утилитой NetWrix Active Directory Object Restore Wizard.
Сразу хочется отметить, что в нашу компанию постоянно обращаются администраторы, которые удалили объекты AD и теперь хотят их восстановить. Предлагаемое нами решение – NetWrix Active Directory Object Restore Wizard — хоть и позволяет упростить процесс восстановления объектов (например, восстановить OU со всеми объектами и их атрибутами за пару кликов), однако все равно не творит чудеса – программа должна быть установлена в домене и периодически делать снимки AD. Поэтому рекомендуем после прочтения статьи все-таки поставить программу работать (есть бесплатная версия с периодом восстановления за последние 4 дня), чтобы в следующий раз не испытывать таких проблем с восстановлением объектов.
Утилита позволяет восстанавливаться удаленные объекты за пару кликов, а в том случае, если программа работала до удаления объектов в домене, то восстановление происходит со всеми атрибутами. В итоге Вы получаете возвращенные учетные записи за пару минут без серьезных сбоев в работе организации. Также следует отметить то, что программа позволяет восстанавливать удаленные почтовые ящики.
Работа с программой сводится к следующим шагам:
1. Запускается мастер NetWrix Active Directory Object Restore Wizard.
2. Выбирается режим восстановления:
• Только из tombstone-объектов (если программа не была установлена до этого в домене)
• Восстановление с использованием снапшотов (если программа была установлена и был сделан хотя бы один снапшот)
3. По результатам анализа выводится список удаленных объектов с их первоначальной иерархией и объектами
4. Выберите те OU или объекты, которые необходимо восстановить, и нажмите далее
5. В зависимости от того, была ли установлена программа раньше или нет:
• Если не была, то необходимо вручную восстановить членство в группах и пароли пользователей
• Если программа была установлена, то восстановление на этом закончено и все будет работать так, как будто ничего не произошло.
Как Вы можете видеть, восстановление объектов занимает гораздо меньше времени, нежели с использованием штатных инструментов восстановления объектов Active Directory.
Но восстановление объектов – это только одна из сторон программы. Вы также можете откатывать изменения объектов – вплоть до значения одного атрибута – программа предназначена и для этого.
Итог:
Восстановление объектов с атрибутами сводится к паре простых шагов. Возможно не только восстановить объекты, но и откатить лишь их некоторые значения.
Все эти способы восстановления приведены в «Наборе первой помощи для восстановления объектов AD», который Вы можете скачать на нашем сайте
В компании имеется 35 контроллеров домена, большая часть из них Windows server 2003R2, основной PDC 2012R2. После восстановления PDC из резервной копии, пропал доступ у администраторов к "Active Directory- пользователи и компьютеры". Выдает ошибку "Схема каталога не доступна по следующей причине: в результате поиска не может быть получено больше строк. Поэтому меню создать может быть не точным, а остнаски разширения могут работать неправилно". Причем консоль открывается если админа добавить в группу "Schema Admins". dcdiag /q ошибок нет. В журналах тоже ничего
Windows IP Configuration
Host Name . . . . . . . . . . . . : SRV-ASTDC02
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Peer-Peer
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . :
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connectio
n
Physical Address. . . . . . . . . : 00-50-56-93-44-7B
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.22(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 192.168.2.3
DNS Servers . . . . . . . . . . . : 192.168.1.22
192.168.1.33
NetBIOS over Tcpip. . . . . . . . : Enabled
Буду признателен любой помощи
Решение
Чтобы устранить эту проблему, удалите значение реестра NT4Emulator для контроллеров домена Active Director Windows NT y в домене назначения, если контроллеры домена 4.0 больше не присутствуют или могут быть отменены. В противном случае перед попыткой присоединиться к домену установите следующее значение реестра для клиента Windows или Windows Server 2008 R2:
Начните редактор реестра ( Regedit.exe ).
Найдите в реестре следующий раздел:
Если его нет, создайте новое значение REG_DWORD NeutralizeNT4Emulator и установите значение 0x1 .
Закройте редактор реестра.
Этот параметр реестра позволяет контроллерам домена Active Directory с параметром NT4Emulator нормально реагировать на запрашивающий клиент (избегая Windows NT режима эмуляции 4.0).
Ответы
Журнал со станции смогу "вытащить" только в понедельник, посмотрю, отпишусь.
Подскажите, пожалуйста, возможно это банальный косяк?
"Проблемная" станция, с ней была такая ситуация: тех.поддержка заменяла пк и удалила объект Компьютер из домена, после этого сразу же с тем же именем начала заводить его вновь.
Контроллеров много, разнесены по разным сайтам. Следовательно, межсайтовая репликация требует времени.
В связи с чем вопрос, возможно, объект проверяется в AD, находит его и тупо ждёт, пока репликация отдаст объект на тот DC, сеть которого привязана к сайту?
Да, косяк в таком случае вполне вероятен, особенно - между сайтами, если удалили компьютер не на КД в том сайте, где его завели потом в домен.
Вполне возможно, что на каком-то КД произошел конфликт при репликации создания нового объекта компьютера с тем же именем и samAccountName между ним и старым объектом компьютера, удаление которого ещё туда не дошло.
В таком случае AD выбирает пострадавший объект и меняет у него атрибуты так, чтобы обеспечить уникальность. В частности, если не уникально distinushedName - объекты с одним и тем же именем находятся в одном и том же контейнере - то к последнему компоненту имени пострадавшего объекта (обычно - CN) дописывается CNF:GUID.
Ну, а потом изменение samAccountName "где-то там" могло среплицироваться на новый объект компьютера (если он был выбран пострадавшим) на тот КД, где он был создан.
Чтобы избежать таких косяков, стоит IMHO обучить техподдержку не удалять, а сбрасывать учетную запись компьютера, который они меняют.
Эта статья помогает устранить проблему, из-за которой пользователи не могут присоединиться к компьютеру в домен Active Directory.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2008652
Читайте также: