Active Directory
В связи с заменой главного доменного сервера пришлось сменить корневой центр сертификации. Перед понижением старого главного контроллера домена до роли рядового сервера система потребовала удалить с него центр сертификации, что и было сделано. Сертификатом этого корневого центра был подписан сертификат центра сертификации для дочернего домена. После удаления корневого центра перестали приниматься и сертификаты, выданные пользователям вторым центром сертификации. Не работали USB-ключи eToken для входа в Windows. После установки на новом главном контроллере домена корневого центра сертификации была предпринята попытка получить новый сертификат для центра сертификации дочернего домена. Она была неудачной, видимо по причине того, что запрос сертификата выполнял не администратор предприятия, администратор дочернего домена. После выполнения запроса сертификата администратором предприятия, он был получен, однако сертификаты, полученные пользователями не воспринимались.
\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
(Находится на системном томе в каталоге домена: \\server\sysvol\domen\...)
Изменение файла вручную может исправить некоторые странные ошибки, связанные с безопасностью контроллера домена.
На Windows 2000:
secedit /refreshpolicy machine_policy /enforce
На Windows Server 2003 и Windows XP:
gpupdate /force
Ошибки на контроллере домена (eventid 1058)
На контроллере домена появилась проблема:
Event ID: 1058Далее...
Source Userenv
Type Error
Description Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=<domain name>,DC=com. The file must be present at the location < \\<domain name>\sysvol\</domain><domain name>\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (<error description>.). Group Policy processing aborted. </error></domain>
Статья http://www.windowsecurity.com/pages/article.asp?id=1362 описывает, с помощью каких утилит можно упростить управление аккаутами пользователей в AD вслучае их блокировки. Можно определить дату, когда истекает срок действия пароля, когда последний раз пользователь входил в систему и разблокировать заблокированную учётную запись.
- ALTools.exe
- AcctInfo.dll
- ALockout.dll
- AloInfo.exe
- LockoutStatus.exe
- EventCombMT.exe
- NLParse.exe
- EnableKerbLog.vbs
Утилита из ResKit Server 2003 позволяет просмотреть отчёт о DNS в удобной форме. Есть возможность оценить правильность записей в зонах, отвечающих за функционирование Active Directory. Проблемные участки выделяются красным цветом в html-отчёте.
<code>dnslint /ad /s localhost </code>