Автор Тема: Проблема с вводом компа в домен через RODC  (Прочитано 6180 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Сущетсвет удаленный филиал, который обслуживается без местного сисадмина, для этого был там установлен RODC. Сеть построенна таким образом, что компы которые в филиале видят только свой RODC, файловый сервер главного офиса и сервер телефонии, дуступ к другим серверам включая нормальные ДК закупорен сетевым администратором. Сеть между RODC и нормальными контроллерами никак не ограничена. При добавлении нового компьютера к домену возникает ошибка. Я понимаю что RODC контроллер только для чтения, вопрос тогда как добавлять новые компы в филиале к домену?
« Последнее редактирование: 20 февраля 2017, 13:30:38 от 2site »

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Проблема с вводом компа в домен через RODC
« Ответ #1 : 20 февраля 2017, 10:54:50 »
Цитировать
дуступ к другим серверам включая нормальные ДК закупорен сетевым администратором. Сеть между RODC и нормальными контроллерами никак не ограничена.
Параграфы?
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #2 : 20 февраля 2017, 10:59:44 »
https://technet.microsoft.com/en-us/library/dd392267(v=ws.10).aspx

Цитировать
In Windows Server 2008, there is a mechanism to perform domain join operations against a read-only domain controller (RODC). However, to perform a domain join operation an RODC you have to complete the following multiple steps:
1. Precreate the computer account in the directory, and set some additional attributes using scripts.
2. If necessary, modify the Password Replication Policy (PRP) of the RODC to allow the password for the computer that you want to join to the domain to be cached by the RODC.
3. Force replication of the secrets of the computer that is to join to the domain.
4. Communicate the password offline to the computer that is about to join to the domain.
5. Run a custom script that targets the RODC to complete the join.


When you use offline domain join, the steps for performing domain join operations against an RODC are simplified, as follows:
1. Precreate the account in AD DS.
2. Force replication of the secrets of the computer that is to join to the domain.
3. Send the relevant state information that the domain-joining computer needs to consume to a text file.
4. The computer consumes the information in the text file; then, when it starts it is joined to the domain.

...

Run Djoin.exe at an elevated command prompt to provision the computer account metadata. When you run the provisioning command, the computer account metadata is created in a .txt file that you specify as part of the command. After you run the provisioning command, you can either run Djoin.exe again to request the computer account metadata and insert it into the Windows directory of the destination computer or you can save the computer account metadata in an Unattend.xml file and then specify the Unattend.xml file during an unattended operating system installation of the destination computer.



Updated: 20 February 2017, 11:01:15

Цитировать
дуступ к другим серверам включая нормальные ДК закупорен сетевым администратором. Сеть между RODC и нормальными контроллерами никак не ограничена.
Параграфы?
имеется в виду, что связь с DC в филиале имеет только RODC
« Последнее редактирование: 20 февраля 2017, 11:22:52 от shs »

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #3 : 20 февраля 2017, 12:30:18 »
Я пару дней назад делал немного по хитрее, устанавливал на клиенском машине vpn с главным офисом, потом нормально дабавлял его в домен, потом удалял vpn и пытался работать через RODC. . Хоть днс адрес был выставлен RODC, в вайершарке показывало что клиенский компьютер пытается посылать запрос в сайт, который принадлежит главному офису. В итоге клиенский компьютер не имел связи с доменом, хотя и был добавлен в домен и имел днс RODC. Можно ли такое добавление через vpn сравнить с оффлайн добавлением указанным выше?

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #4 : 20 февраля 2017, 13:09:20 »
В итоге клиенский компьютер не имел связи с доменом, хотя и был добавлен в домен и имел днс RODC

Видимо вы забыли выполнить следующее:
If necessary, modify the Password Replication Policy (PRP) of the RODC to allow the password for the computer that you want to join to the domain to be cached by the RODC.

Вы включали учетку компа в группу, позволяющую реплицировать ее пароль на RODC?
** полагаю, что не включали

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #5 : 20 февраля 2017, 13:29:55 »
Вы включали учетку компа в группу, позволяющую реплицировать ее пароль на RODC?
** полагаю, что не включали
Так и есть, не включал репликацию пароля, сейчас протестирую.

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #6 : 27 февраля 2017, 11:33:22 »
В итоге клиенский компьютер не имел связи с доменом, хотя и был добавлен в домен и имел днс RODC

Видимо вы забыли выполнить следующее:
If necessary, modify the Password Replication Policy (PRP) of the RODC to allow the password for the computer that you want to join to the domain to be cached by the RODC.

Вы включали учетку компа в группу, позволяющую реплицировать ее пароль на RODC?
** полагаю, что не включали

Добавил компьютер и пользователя в группу позволяющая реплуировать пароли, не помогло. Решил попробовать сделать все заного, но с помощью "Offline Domain Join", для этого вышел из домена, на АД удалил учетку компьютера и сделал все как было указано в мануале с помощью утилиты Djoin.exe и файла .txt. Успешно добавил компьютер к домену, но после перезагрзки, всеравно не хотел логиниться с помощью доменных учеток. Работает только в том случае, если к данному хосту даешь доступ по сети к нормальному DC, даже если в DNS указан RODC. :(

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #7 : 27 февраля 2017, 12:07:20 »
Успешно добавил компьютер к домену, но после перезагрзки, всеравно не хотел логиниться с помощью доменных учеток
Для успешного логона RODC должен обладать инфой о вашем клиенте, но судя по
Добавил компьютер и пользователя в группу позволяющая реплуировать пароли, не помогло
этого не произошло.


В какую группу вы добавляли компьютер и пользователя?

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #8 : 27 февраля 2017, 12:55:03 »
В какую группу вы добавляли компьютер и пользователя?
Allow RODC Password Replication.
Сделал то в свойствах RODC контроллера, Password Replication Policy. Проверил, среплицировался ли этот компьютер на RODC, среплицировался, виден в остастке RODC.
Вот ошибка при пробе залогинеться под доменной учеткой из под тестовой машины, которая была добавлена средствами offline domain join:
« Последнее редактирование: 27 февраля 2017, 13:05:34 от 2site »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #9 : 27 февраля 2017, 13:18:01 »
а ваш RODC и компьютеры филиала выделены в отдельный сайт?


Updated: 27 February 2017, 13:18:38

а покажите ipconfig /all с проблемного клиента и с RODC

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #10 : 27 февраля 2017, 14:58:31 »
а ваш RODC и компьютеры филиала выделены в отдельный сайт?
Да, в отдельном сайте.
RODC имеет два ip, 192.168.27.100 и 192.168.28.100. Один интерфейс смотрит на свой внутренний офис, где сам и находится, а другой в vpn который ведет к главному офису.

Сори, забыл приложить скрин RODC
« Последнее редактирование: 27 февраля 2017, 15:16:47 от 2site »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #11 : 27 февраля 2017, 15:58:37 »
а покажите результат
nslookup RO-DCMLA
с клиента удаленного доступа



Один интерфейс смотрит на свой внутренний офис, где сам и находится, а другой в vpn который ведет к главному офису.
https://support.microsoft.com/ru-ru/help/272294/active-directory-communication-fails-on-multihomed-domain-controllers

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #12 : 01 марта 2017, 15:33:30 »
а покажите результат
Код: [Выделить]
nslookup RO-DCMLA

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема с вводом компа в домен через RODC
« Ответ #13 : 01 марта 2017, 15:38:47 »
а покажите результат
Код: [Выделить]
nslookup RO-DCMLA

а ваш клиент в филиале имеет доступ к этому IP? По этому IP в шару netlogon войти можете, например?

Оффлайн 2site

  • Постоялец
  • ***
  • Сообщений: 191
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Проблема с вводом компа в домен через RODC
« Ответ #14 : 01 марта 2017, 17:17:36 »
а ваш клиент в филиале имеет доступ к этому IP? По этому IP в шару netlogon войти можете, например?
NETLOGON работает только по IP 192.168.28.100, но RODC-mla nslookup-ом отображает как 192.168.27.100, соответсвенно от этого и имею ошибки в логах. Но как пользователям в сети 28.0 сказать, чтоб они ишли на 28.100, а не на 27.100, мне нужно в DNS указать две записи на один хост?
P.S. Скрины сделаны из под test-2012-mla (клиенский комп в филиале).


Updated: 01 March 2017, 17:29:23

имелось ввиду к RODC-MLA присвоить два ip 192.168.27.100 и 192.168.28.100. Уже сделал, ожидаю репликации.
« Последнее редактирование: 01 марта 2017, 17:29:23 от 2site »