понедельник, 29 января 2007 г.

Наследование в общих папках Exchange

Ситуация чайниковская, но все же имела место быть.

Столкнулся с необходимостью организовать сложно-вложенную структуру общих папок в Exchange.
Все бы ничего, но столкнулся с проблемой наследования. Дело в том, что вложенные папки не наследуют права от родительской папки если права последней изменялись после создания первой.
Решение сходу найти не удалось. Даже открыл обсуждение на форуме. В общем ответ пришел сам собой. В System Manager правой кнопкой по папке права которой мы хотим делегировать дочерним папкам. Выбираем Все задачи (All Tasks) -> Propagate Settings, а там выбираем чего хотим делегировать. В нашем случае Folder Rights.

Все это было проделано с Exchange 2003.

понедельник, 22 января 2007 г.

Account is locked out

Ну намучился же я...

Описание проблемы:
Несколько раз в день, с периодичностью примерно раз в час происходило залочивание акаунта.
Акаунт, прописанный в AD, получал статус "locked out". Не путать с "disabled". Поиск следов в Event View осложнялся тем, что в крупной сети много событий, а точное время события установить невозможно. Так же не понятно было, что именно искать. На первый взгляд в Event Log не было сообщений относящихся к делу.

Решение:
В решении помогла утилита Account Lockout and Management Tools. Она помогла установить точное время лочинья акаунта, а так же сервер который непосредственно лочил акаунт (на этот сервер пыталось что то пробиться). Дальнейший анализ логов в Event View -> Secyrity помог установить, с какой именно машины пытались вломиться, а дальше дело техники.

Дополнительно:

Account Passwords and Policies in Windows Server 2003

Account Passwords and Policies

среда, 17 января 2007 г.

Служба времени

очень важно, что бы служба времени была настроена и работала исправно. Особенно актуально для работы в сети с AD.

Общая схема такая:
Каждый сервер в сети, входящий в AD, автоматически синхронизируется с контроллером домена. Дополнительных настроек на этих серверах проводить не надо.
Контроллер домена можно настроить на синхронизацию с внешним источником. если этого не сделать, то в Event Viewer -> System будет появляться сообщение от W32Time с Event ID: 12. Можно игнорить...

Jоker
"доменные компьютеры, кроме PDC в корневом домене леса, должны работать в режиме NT5DS, то есть синхронизироваться со "старшим" PDC, и при этом игнорировать setsntp (time.windows.com, whatever). И только для PDC в корневом домене должен стоять режим NTP и быть задан авторитетный NTP сервер."

Методы диагностики:
net time /querysntp - смотрим настройки
net time /setsntp[:список серверов NTP] - задаем настройки
net stop w32time & net start w32time - перезапускаем сервис

Дополнительно:
Настройка основного сервера времени в Windows Server 2003

Configure the Windows Time Service

How to turn on debug logging in the Windows Time Service

Синхронизация времени с помощью службы времени Windows из состава Windows XP

Synchronize the Time Server for the Domain Controller with an External Source

Параметры реестра для службы W32Time

Time synchronization may not succeed when you try to synchronize with a non-Windows NTP server in Windows Server 2003


Служба времени W32Time несколько раз регистрирует событие с кодом 50, и на компьютерах под управлением Windows Server 2003 и Windows XP неправильно выполняется синхронизация

Список серверов службы времени, поддерживающих протокол SNTP (Simple Network Time Protocol), доступных в Интернете

Сверим часы