plavigor Igor Petrović Beograd
Član broj: 24239 Poruke: 1551 *.scnet.yu.
|
Mislim da Globalni katalog ne moze da pravi takav problem, tj. da sprecava korisnike da se loguju na domen, sem u slucaju pripadnosti Univerzalnim grupama. Mislim da se samo u tom slucaju koristi Globalni katalog za logovanje. Neko ko zaista dobro poznaje tu tematiku bi mogao nesto vise da kaze. Kako bilo, clanovi grupe Domain Admins ce moci da se loguju iako Globalni katalog nije dostupan. Proveri, ako ni takav korisnik ne moze da se loguje, onda svakako nije do Globalnog kataloga.
Dalje, "Single Master Operations" rola ima ukupno pet (ni manje ni vise). Njihovo prebacivanje je trebalo da uradis iz AD Users and Computers (tri role), AD Domains and Trusts (jedna rola) i AD Schema MMC-a (jedna rola). Ti si to uradio kroz "ntdsutil", a ta alatka se koristi samo ako je DC sa rolama pao pa se role ne mogu prebaciti regularnim putem. Pored toga, "ntdsutil" ce se iskoristiti u slucaju ako se DC koji je sadrzao role ne moze vratiti na mrezu, a iz toga proizilazi veoma vazan uslov, a to je da se
onesposobljeni DC ne sme vratiti na mrezu iako ga npr. osposobis posle nekoliko dana. U tvom slucaju mislim da si prekrsio to pravilo, jer koriscenjem "ntdsutil"-a ti nisi prebacio pet rola sa starog na novi DC, vec si nasilno osposobio novi DC za te role. Tako na mrezi imas dva DC-a sa istim rolama (sigurno su izvesno vreme bili istovremeno na mrezi) sto je neprihvatljivo. Ali, za utehu, mislim da i to nije srz tvog problema (do problema moze doci i mesecima kasnije), jer kada su oba DC-a podignuta - logovanje je uspesno (ako sam dobro shvatio). Cak i da nema ni jednog DC-a sa rolama, vec samo DC-ovi bez rola, na korisnike ima uticaja samo PDC emulator i to samo u slucaju ako imas klijente koji nisu Win2k/XP ili ako na mrezi postoji WinNT Server kao BDC. Zbog toga i dalje mislim da tvoji klijenti ne mogu da lociraju novi DC, a za to koriste usluge DNS-a.
Pozdrav.
|