MOLEHAND Solutions

 
Print  
Author: MOLEHAND Created: 2008. 09. 26. 23:33
Active Directory

By Kiss Tamás on 2011. 03. 10. 12:04

Ha az AD-k nem szinkronizálnak egymás között, mivel  az utolsó replikáció régebben történt mint a tombstoneLifetime (az az idő amíg az ADből törölt objektum sírját megtartja az AD), akkor a következő teendők vannak:

·         felderíteni és eltávolítani a lingering objecteket.

o    lingering obejct: http://support.microsoft.com/kb/910205

o    felderítés, eltávolítás: repadmin /removelingeringobjects /advisory_mode http://207.46.16.252/en-us/library/cc949136(WS.10).aspx

§  A sourceDCGUID –t a repladmin /showrepl dc1 paranccsal lehet listáztatni, és ott a GUID kell. ( A legelső DC GUIDje és InvocationID-ja megegyezik!) A GUID amivel a DCk egymást azaonosítják, az InvocationID a Directory Services adatbázis példányát azonosítja.

§  Minden DC között le kell futtatni ha nem tudjuk melyik a latest. Ha tudjuk akkor a source mindig ugyan az a DC, ha nem akkor minden kombinácóban futtassuk le, lingering objecteket keresve.

Tipp: A replmon grafikus programmal megnézhetjük mely DCk között nem működik a replikáció, illetve kézzel kényszeríthetjük a szinkronizálást, de ha sikerül is, még nem jelenti hogy magától is menni fog! Ehhez muszáj a registry hack.

Ha ezzel megvagyunk,  jöhet a következő lépés:

·         DC-k szinkronizálásának folytatása:

o    A fönti linken a következő parancs van megadva: repadmin /regkey +allowDivergent . Nekem ezzel nem ment. Helyette, minden DCn a következő két registry kulcsot módosítottam:

§  Strict Replication Consistency registry entry in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Ez legyen 0 értékű azaz Disabled!

§  Allow Replication With Divergent and Corrupt PartnerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Ez legyen 1 értékű!

Ha hiányzik valamelyik kulcs, akkor hozzuk létre a helyére. DWORD típus. Én az Allow Replication With Divergent and Corrupt kulcsot nem találtam, így létrehoztam. E nélkül nem indul el a replikáció magától!

Ezek után már működnie kell automatikusan. Miután megbizonyosodtunk, hogy a DCk szinkronizálnak maguktól, a registryben állítsuk vissza a két módosított kulcsot az eredetire.

By Molnár Péter on 2009. 06. 05. 1:40

To check AD Schema, move Schama Master role, or make Schema writeable (eg.: update) You must enable Schema Management Console first.

Follow these steps as Administrator (UAC!):

 1. At the command prompt, type regsvr32 schmmgmt.dll. This should result in a dialog box that says DllRegisterServer In Schmmgmt.dll Succeeded.
 2. Open the management console by typing mmc at the command prompt.
 3. Go to Console | Add/Remove Snap-in.
 4. In the Add/Remove Snap-in dialog box, click the Add button.
 5. In the Add Standalone Snap-in dialog box, select Active Directory Schema, click Add, and click OK.

To make the schema writable:

 1. From the console, right-click Active Directory Schema, and select Operations Master.
 2. In the Change Schema Master dialog box, select the Schema May Be Modified On This Domain Controller check box, and click OK.

Schema  is writeable only on the system that holds the schema operations master role!

By Molnár Péter on 2008. 06. 21. 0:49

Mint tudjuk az AD rengeteg objektumtípust ismer. Sok közülük -mint a nyomtatók- láthatatlanok az ADUC-ban. Ez azonban nem teljesen igaz. Két módszer is van, amivel láthatóvá tehetjük.
 • A ADUC-ban a View menü Users, Groups and Computers as containers sdfEzután -sok másik objektummal együtt- láthatóvá vállnak a nyomtatók. Alapértelmezetten a megosztó objektum (pl. szerver) alatt.
 • Hozzunk létra egy OU-t, vagy containert (ADSI edit). Ezek után a kereséskor válasszuk ki a Find: Printers opciót, és nyomjunk a Find Now-ra. Ekkor megkapjuk az AD-ban található összes nyomtatót. A kívánt elemeket kiválasztva jobb klikk Move... parancsal mozgassuk a létrehozott OU-ba, vagy container-be, ahol ezek után bármikor megtalálhatjuk.

Ezek természetesen csak akkor működnek, ha a nyomtató objektumok léteznek az AD-ban. Ez akkor keletkezik, amikor egy nyomtató megosztásakor bepipáljuk a List in directory opciót.
Az AD keresésben egyébként olyan információkat is találhatunk új oszlopok hozzáadásával, mint a eszköz memóriája, nyomtatási sebesség, duplex képesség, színek, port, stb.
Amennyiben a container-ben való tárolást választjuk, a printerek listája megjelenik a My network place listában.

http://support.microsoft.com/kb/303161/
http://support.microsoft.com/kb/235925/

By Molnár Péter on 2008. 01. 08. 14:13

Két attributum alaján lehetséges:
- LastLogon
- LastLogonTimestamp
Az első a pontos, de nem replikálódó attributum azaz minden AD-n meg kell vizsgálni és összehasolítani az értékeket. A második replikálódik, viszont csak 14 naponta.
 
Ezután gyerekjáték lenne a dolog, de sajnos ezek a csodálatos amerikai emberek úgy gondolták, hogy az ANSI által kitalált formátumot használják. Ez nem más mint az 1601.01.01-óta eltelt 100 nanosecundumok száma(!&@"?)
Tehát a query a 2007.10.01 után nem használt gépekre:
(&(objectCategory=computer)(lastLogonTimestamp<128351730380973000))
Gyönyörű. Természetesen működik user-ekre is. Javaslom az ADexplorer használatát, mert az értelmes dátumban adja vissza a találatokat.
 
Bővebb infó:

By Gömbös Attila on 2007. 11. 26. 12:08

Sok új felhasználó hozzáadását célszerű és gyorsabb script használatával végezni.

Mindez lehetséges a dcadd parancs használatával batch-fájlból.

De tisztább megoldás Visual Basic Scriptet használni.

Option Explicit
Const ForReading = 1

Dim objDomain, objUser, fso, tsInputFile, strLine, arrInput
Dim fldUserHomedir, wshShell

'Domain objektum ldap lekerdezessel, ertelemszeruen sorban OU-ktol indulva
Set objDomain = GetObject("
LDAP://ou=Users,ou=domainPartners,dc=local,dc=domain,dc=hu")
Set fso = CreateObject("Scripting.FileSystemObject")

'Feldolgozando fajl
Set tsInputFile = fso.OpenTextFile("C:\Users\agombos\Desktop\FTP\Migration\service_users2.csv", ForReading, False)

'Csv sorainak beolvasa
'Csv formatumba az alabbi esetben:
'"username", "display name","e-mail address","password"
While Not tsInputFile.AtEndOfStream

  strLine = tsInputFile.ReadLine
  'Elvalaszto karakter a ",", igy tordeli a beolvasott sort
  'A sorbol egy arrinput tomb lesz, a sor elsoeleme a tomb elso eleme - arrInput(0)
  arrInput = Split(strLine, ",")
  'Username alapjan az uj userobjektum letrehozasa, es az atrributumok feltoltese
  Set objUser = objDomain.Create("user","cn=" & arrInput(0))
  objUser.Put "sAMAccountName", arrInput(0)
  objUser.Put "userPrincipalName", arrInput(0) & "@local.domain.hu"
  'Attributumok feltoltese a tomb tobbi eleme alapjan
  objUser.Put "description", arrInput(1)
  objUser.Put "displayName", arrInput(1)
  objUser.Put "mail", arrInput(2)
  'A jelszo hozzarendeles elott mentsuk az objektumot az LDAPba
  objUser.SetInfo
 
  'Lekerdezzuk az uj objektumot LDAP-bol, es azon dolgozunk tovabb - itt elmeletileg objUser.GetInfo fuggvenyhivas is eleg kellene hogy legyen
  Set objUser = GetObject("
LDAP://cn=" & arrinput(0) & ",ou=Users,ou=domainPartners,dc=local,dc=domain,dc=hu")
  'Alapbol disabled statuszban jon letre az objektum
  objUser.AccountDisabled = False
  objUser.SetPassword arrInput(3)
  'Mentjuk az "enabled", es jelszovat ellatott user objektumot
  objUser.SetInfo
  'objUser valtozott kinulazzuk
  Set objUser = Nothing
Wend

'Fajl zarasa
tsInputFile.Close

 

Csvt fájlt Excelben fel lehet tölteni adatokkal. Jelszavak generálására a Balázs által linkelt http://www.pctools.com/guides/password/ oldal ideális. Itt Quantityvel meg lehet adni, hogy hány új jelszóra van szükségünk, használható nagy mennyiségű jelszó generálására a pwgen UNIX alkalmazás is.

By Gömbös Attila on 2007. 10. 19. 14:40

Új gigabites hálókártyával rendelkező gépein jelentkezett a probléma. A hálókártya driver túl lassan töltődik be, és még hálózati link nélkül megpróbálja a Windows a Group Policyt letölteni. A policyt azonban később a kapcsolat létrejöttekor se töltötte le. A megoldás a policy letöltés késleltetésére: http://support.microsoft.com/kb/840669

By Molnár Péter on 2007. 09. 16. 20:13

Egy .DLL aktiválásával nagyon hasznos információkkal bővíthatjük az Active Directory Users and computers modult, többek között ezekkel:
 • Last logon time
 • Logon count
 • SID
 • PW expiration
 • Bad PW counter
 • PW reset by site
 • LDAP path
Szerezzük be a lenti file-t (Pl. Windows Resource Kit)Regisztrálni, adminisztrátori (UAC!) jogokkal így:
regsvr32 %systemroot%\system32\acctinfo.dll
 
Bővebb info:

By Molnár Péter on 2007. 08. 30. 2:00

Domain Controller (végleges) leállítása előtt figyeljünk ezekre:
- Ne birtokoljon FSMO szerepet
- Ne mutasson rá DHCP option
- Ne mutasson rá statikus DNS beállítás
- Maradjon aktív DNS (esetleg DHCP) szerver
- Maradjon aktív szerver "Global Catalog" szerepkörrel
- Dcpromo.exe -vel távolítsuk el domain finkciókat

 

 

Discount offer

 I’ve already tried several providers. Currently all of our projects are placed at MOLEHAND, because they provide real services not only a piece of a computer. Any kind of new problem crops up, I can always count on a fast and expert reaction.