информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Так может не в наличии старого аккаунта в AD дело? Может у... 06.05.06 15:34  Число просмотров: 2320
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Как-то не укладывается. если это предположение верно (я его
> сейчас проверяю), то получается, что имя аккаунта и имя
> машины - разные вещи, жестко друг с другом не связанные. Но
> почему тогда нельзя это имя машины
> присвоить другой машине? Ситуация ведь какая получается:
> присвоение имени влечет за собою ассоциацию с каким-то уже
> существующим аккаунтом. То есть одно имя - один аккаунт.
> Другое имя - логично было бы предположить, что и аккаунт
> другой.
Так может не в наличии старого аккаунта в AD дело? Может у тебя в базе ДНС остались записи, связанные со старым именем контроллера. И поэтому добавиться он не может.
<sysadmin>
Как окончательно удалить объект из AD? 06.05.06 08:55  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Известно, что при удалении объекта из AD на нем просто ставится метка "удален", и дальше он хранится в базе в виде некоего "памятника". Окончательно эти "памятники" удаляются по истечение некоего срока (по умолчанию, если правильно помню, 60 дней). Так вот, можно как нибудь не ждать эти 60 дней, а найти нужный "памятник" руками и удалить его прямо сейчас? Утилита Ntdsutil этого явно не умеет, а ADSIEdit может и помогла бы, но не очень понятно, где эти "памятники" лежат.
Удалить объекты, чей tombstone lifetime ещё не истёк,... 06.05.06 10:07  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Удалить объекты, чей tombstone lifetime ещё не истёк, нельзя. Но можно уменьшить этот самый lifetime.
С другой стороны, эта настройка устанавливается на уровне леса. Сто раз подумай, действительно ли оно тебе так нужно.
На всякий случай напоминаю, что ответы на множество вопросов можно найти с помощью поисковых машин:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/bpguide/part2/adsecp2.mspx
Про возможность уменьшить lifetime я в курсе. И этого делать... 06.05.06 10:31  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Удалить объекты, чей tombstone lifetime ещё не истёк,
> нельзя. Но можно уменьшить этот самый lifetime.

Про возможность уменьшить lifetime я в курсе. И этого делать как раз не хочется - ни к чему.
Попробую переформулировать вопрос...
Речь идет о замене DC. Был один, должен стать другой, с тем же самым именем. Общую процедуру я себе представляю: поднял новый с произвольным именем, перенес на него все функции старого, понизил старый до уровня обычного сервера, переименовал старый и... теперь бы новый переимновать.
Но при попытке дать ему такое же имя, какое было у старого, вылезает сообщение "такой аккаунт уже есть". Где он есть, этот аккаунт, если имени такого в AD уже нет? И как от него избавиться?
А ты его из ad через adsiedit удалял? 06.05.06 10:38  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
Хм... Я его (старый) пока никак из AD не удалял. Я его... 06.05.06 10:51  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Хм... Я его (старый) пока никак из AD не удалял. Я его переименовал. Этого недостаточно, чтобы его прежнее имя "освободилось"?
Думаю что нет. Вполне может быть что имя аккаунта осталось... 06.05.06 12:22  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Хм... Я его (старый) пока никак из AD не удалял. Я его
> переименовал. Этого недостаточно, чтобы его прежнее имя
> "освободилось"?

Думаю что нет. Вполне может быть что имя аккаунта осталось прежним. Удали сам объект из AD, а потом снова джойни старый DC в AD как мембера под новым именем. Это должно помочь.
Как-то не укладывается. если это предположение верно (я его... 06.05.06 13:13  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Думаю что нет. Вполне может быть что имя аккаунта осталось
> прежним. Удали сам объект из AD, а потом снова джойни
> старый DC в AD как мембера под новым именем. Это должно
> помочь.

Как-то не укладывается. если это предположение верно (я его сейчас проверяю), то получается, что имя аккаунта и имя машины - разные вещи, жестко друг с другом не связанные. Но почему тогда нельзя это имя машины присвоить другой машине? Ситуация ведь какая получается: присвоение имени влечет за собою ассоциацию с каким-то уже существующим аккаунтом. То есть одно имя - один аккаунт. Другое имя - логично было бы предположить, что и аккаунт другой.
Так может не в наличии старого аккаунта в AD дело? Может у... 06.05.06 15:34  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
> Как-то не укладывается. если это предположение верно (я его
> сейчас проверяю), то получается, что имя аккаунта и имя
> машины - разные вещи, жестко друг с другом не связанные. Но
> почему тогда нельзя это имя машины
> присвоить другой машине? Ситуация ведь какая получается:
> присвоение имени влечет за собою ассоциацию с каким-то уже
> существующим аккаунтом. То есть одно имя - один аккаунт.
> Другое имя - логично было бы предположить, что и аккаунт
> другой.
Так может не в наличии старого аккаунта в AD дело? Может у тебя в базе ДНС остались записи, связанные со старым именем контроллера. И поэтому добавиться он не может.
DNS был поднят на старом DC (который уже переименован и... 10.05.06 08:41  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Так может не в наличии старого аккаунта в AD дело? Может у
> тебя в базе ДНС остались записи, связанные со старым именем
> контроллера. И поэтому добавиться он не может.

DNS был поднят на старом DC (который уже переименован и понижен). На нем в базе никаких остатков старого имени нет, везде новое.
На новом DC служба DNS не поднималась. Так что дело наверное не в DNS.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach