RusFAQ.ru: Администрирование Windows NT/2000/XP

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / Windows NT/2000/XP/2003 администратору

Выпуск № 176
от 04.06.2005, 21:00

Вопрос № 21.503

Как установить win2003server? Ситуация такая: на сервере depo storm была установлена демка версия 2003 винды, я ее решил снести и поставить самостоятельно, все нормально начинает ставиться, драйвера scasi raid контроллера указал с дискетки, но дальше .. при инсталировании девайсов на 34 минуте сервак виснет. Походу версия винды старенькая (было такое сообщение). Как от этого избавиться? Или где можно скачать обновленную версию?

Отправлен: 30.05.2005, 08:46 Вопрос задала: komatoz (статус: 1-ый класс) Всего ответов отправлено: 2

Отвечает: Star Wolf Здравствуйте, komatoz! новее 2003 сервера .. тока 2003 SP1 ... скачать можно на M$ ... интегрировать в дистриб ... и поставить .. но .. имхо ... дело не в старосте версии ... дело в железе сервака .... при установке девайсов инсталлер наверняка натыкается на какую-то хрень ... понять на что можно лишь методом тыка ... --------- ... cold as Ice ...

Ответ отправил: Star Wolf (статус: Академик) Отправлен: 30.05.2005, 09:17

Отвечает: Vita Lee Здравствуйте, komatoz! У тебя проблема с видеокартой, замени и ставь дальше.

Ответ отправил: Vita Lee (статус: Студент) Отправлен: 30.05.2005, 10:25

Вопрос № 21.516

Здравствуйте уважаемые эксперты! На данный момент я протягиваю домашнюю локальную сеть для жильцов моего дома, через 2 месяца будет подключен Интернет посредством ADSL-модема. Естественно, на шлюзовой машине будет стоять прокси с NAT`ом. Интересует такой вопрос: каким образом провайдер может определить, что за роутером есть еще машины, каким образом можно этого избежать. На ваш взгляд, что лучше: поставить на шлюзовую машину XP Pro SP2+прокси либо Win2k3 EE SP1 и настроить маршрутизацию (с учетом того, что провайдер не должен узнать о существовании локальной сети). Буду признателен за подробное объяснение. Приложение: Конфигурация шлюзовой машины: Asus A7N8X-E Deluxe, Barton 2,5Gh, 512 Mb ОЗУ, SATA 160Gb Samsung+80Gb Samsung IDE

Отправлен: 30.05.2005, 13:07 Вопрос задала: Andriano Kondratini (статус: 1-ый класс) Всего ответов отправлено: 3

Отвечает: John Freeman Здравствуйте, Andriano Kondratini! 1) О маршрутизации и не мечтай! Для этого надо внешние IP покупать, а ты говоришь что хочешь всё через один IP делать, да так чтобы провайдер не узнал. 2) Рутинг есть в любых виндах, Server тебе вообще не нужен 3) Просто NAT не годится - как тогда считать кому сколько 4) Надо поднимать либо Wingate, либо Winroute, Именно в режиме NAT , это максимально полный инет через гейт(но не полный!!!) и ставить ограничения по скорости(это только WinGate6 умеет) и по траффику 2Khedlin - прочитай приложение 2StarWolf - "объёдиняем мостом..." ... и получаем хрен с маслом, тк это не NAT и все пакеты с локалки зарежут, а если ты имел в виду чисто прокси - зачем вообще мост/nat ??? Приложение: Всем недовольным по поводу п1 поясняю - ВНЕШНИЙ IP ОДИН!!! ЕСЛИ НАЛАДИТЬ РУТИНГ В ИНЕТ КАКИЕ IP ДРУГИМ ДАВАТЬ??? По поводу п2 - Ip Routing был ещё в WIN95 , учите матчасть По поводу п3 - это само собой на усмотрение, но считать-то надо кто и сколько через тебя скачал, если не надо - ICS однозначно! По поводу именно NAT средствами WG/WR - так обычный Proxy мало слишком - это ограничит всё WEB,FTP,ICQ... что может работать через Proxy , а если надо SSH,RDP,нестандартные средства и способы вроде игр, Internet Radio, осла того же(хотя это уже отдельный разговор про LowID) --------- Время надирать задницы и жевать жвачку. Чёрт, но у меня кончилась жвачка!!!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 30.05.2005, 13:30

Отвечает: Khedin Здравствуйте, Andriano Kondratini! Категорически не согласен с сентенциями John Freeman. 1. Первое высказывание его вообще не понятно по поводу маршрутизации. Если ты покупаешь канал, то ты покупаешь, как минимум один ip адрес, причём для того, чтобы настроить общее подключение совершенно не имеет значения какой он, приватный или публичный. 2. John Freeman Ну и покажи мне службу RRAS (Routing and Remote Access Service) на любой клиентской системе, спорим не найдёшь? Спорим на ящик Holsten что не надёшь? и не настроишь даже простейший nat (который как раз в ней и настраивается). Максимум это статические маршруты с помощью route add, но согласись, на нормальную маршрутизацию soho офисом, только для одной машины. Приезжай в Нижний, там и расчитаемся:=-). 3. Опять неправильно, ну при чём тут нат и подсчёты кому сколько? 4. Опять таки всё это вполне себе красиво поднимается на вышеупомянутом rras. Теперь мой вариант. Ставить машину на Боевую границу - это в высшей степени рисковано и непрофессионально. Для этого используют машрутизаторы soho класса. Так называемые Nat devices. Фактически роль этого маршрутизатора сводится к построению обычного культурного ната. Я уже организовал не один десяток подобного рода сеток. Вот к примеру что у меня дома стоит (кстати ситуация 1 в 1 твоя, типа чтобы пров не знал): AlliedTelesyn 220 (тот самый nat device) на вснешнем интерфейсе айпишник провайдера, прописаны dns провайдера, гейтвей и wins (на всякий случай). На внутреннем интерфейсе три порта: 1 - сервер 2003 ЕЕ СП1, 2 - Клиентская станция WinXPSP2Corp (AD, DNS, DHCP, WINS, RIS, IPSEC, ISA, ну и антивирус, программа для образирования и т.д.) 3-Zyxel Prestige 662HW Wireless. Соответсвенно все машины общаются с внешней сетью через nat на Allied telesyn. Если нужна обратная связь (например протокол irc или RDP снаружи) то используется port mapping вполне себе сносно реализованный н а любом мало мальски маршрутизаторе, в том числе и на мойм телесине (кстати покупал его за 1000р недавно). Кдоверенные клиенты извне подключаются через VPN реализованный методом L2TP поверх IPSEC (прокидываю на маршрутизаторе порт 1701(L2TP) + ещё парочку для аутентификационных сервисов и строим тоннель), либо приходят люди с ноутами, тогда через wifi zyxel. Тот же самый Zyxel и является adsl модемом по совместительству, и подключен ко второму провайдеру, у которого нет дешевле. То есть внутренние ресурсы (фильмы музыку софт бесплатно сосём у первого провайдера через телесин, к тому же из его же сети подключаюсят клиенты к интернету второго провайдера). Само собой стоит домен. В нет ходят путём Сервер W2003EE - Zyxel. Напомню что на win2003EE стоит ISA сервер. Траффик считается proxyinspector'ом Итого, купи soho маршрутизатор, и ставь nat. Провайдеру не обязательно знать что у тебя проксируется траффик/ Отследить может от так количество исходящих tcp сессий. Но опять таки это не доказуемо. Либо увидев воочию у тебя оборудование. Другими словами - не беспокойся, нифига он не просечёт если только не человеческий фактор, ну ты понимаешь. Если вопросы есть по сказанному - задавай.

Ответ отправил: Khedin (статус: Академик) Отправлен: 30.05.2005, 16:33

Отвечает: Star Wolf Здравствуйте, Andriano Kondratini! Парни .. вы че все усложняете ? внешние роутеры и нат ... довольно нормально работает более простым и деревенским способом ... 1. Шлюз по любому ... для билинга (XP SP2 подойдет на все 100) 2. На шлюз ставим две сетевухи ... (одна для ADSL .. другая для внутренней сети ..)объединяем мостом ... пишем DNS прова и шлюзом внешний IP адрес ... 3. Туда же пихаем проксю... простую.. типа UserGate... (ей считаем траффик, ограничиваем скорость и объемы ... строим маппинги и пр. ) и фаервол ... блокируем транзитные пакеты (чтоб не ломились в обход) ... 4. Клиентам прописываем адрес шлюза. (к примеру 192.168.0.1) .. при обращении к любому Инет-сервису светится будет внешний IP ... не зависимо с какой машины шел запрос ... что нам в принципе и надо ... минусами данного варианта являются то что шлюз должен быть всегда включен ... и в UG нужно выставить коррекцию траффика (5-6%) т.к. он не учитывает служебные пакеты ... можно вместо него поставить Traffic Inspector ... наманая такая прога ... несколько замороченная .. но работает качественно ... --------- ... cold as Ice ...

Ответ отправил: Star Wolf (статус: Академик) Отправлен: 30.05.2005, 17:29

Вопрос № 21.523

Здравствуйте, уважаемые эксперты! Помогите, пожалуйста, разобраться с одной проблемой. Зарегистрировано на nic.ru доменное имя второго уровня npfets.ru Мы хотели бы создать сайт с именем provoloka.npfets.ru Заключили договор со своим провайдером. Провайдер дал мне IP-адрес 80.70.230.4 и сказал, что надо в зону занести одну запись типа А, такую: provoloka.npfets.ru A 80.70.230.4 Я занёс запись, но команда ping -a provoloka.npfets.ru не работает. Говорит, что это неизвестный узел. При этом сам IP 80.70.230.4 пингуется прекрасно. Что я сделал неправильно?

Отправлен: 30.05.2005, 15:23 Вопрос задала: Alexpo (статус: Посетитель) Всего ответов отправлено: 3

Отвечает: John Freeman Здравствуйте, Alexpo! Если действительно всё правильно - то подожди пока очистится кэш и пройдёт репликация с остальными/broadcast об обновлении --------- Время надирать задницы и жевать жвачку. Чёрт, но у меня кончилась жвачка!!!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 30.05.2005, 15:52

Отвечает: Станислав К. Здравствуйте, Alexpo! Вы неправильно поняли описание параметров команды ping. В принципе, того, что есть, уже достаточно: nslookup provoloka.npfets.ru ... Non-authoritative answer: Name: provoloka.npfets.ru Address: 80.70.230.4 ключ -а указывается для явного преобразования адреса в имя, то есть, правильный формат команды выглядел бы так: ping -a 80.70.230.4 НО! у Вас нет записи в обратной зоне ДНС вашего провайдера. для работы сайта оно и никчему. для красоты - можно. то есть будет работать nslookup 80.70.230.4 и Ваш замечательный пинг :) лучше обратите внимание сейчас на то, что у вашей компании пока еще нет записи МХ dig mx provoloka.npfets.ru ; <<>> DiG 9.3.0 <<>> mx provoloka.npfets.ru ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61979 ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;provoloka.npfets.ru. IN MX ;; AUTHORITY SECTION: npfets.ru. 600 IN SOA ns3.nic.ru. office.etscompany.spb.ru. 65012707 14400 3600 2592000 600 Удачи!

Ответ отправил: Станислав К. (статус: 3-ий класс) Отправлен: 30.05.2005, 15:57

Отвечает: mdkCrash Здравствуйте, Alexpo! Просто скорее всего еще не прошло обновление DNS серверов, которое проходит вроде раз или два в сутки. У Меня тоже самое было когда изменил настройки на именном серваке. Обновление прошло в течении 18-ти часов. Так что стои немного подождать!!! Удачи!

Ответ отправил: mdkCrash (статус: 2-ой класс) Отправлен: 30.05.2005, 21:43

Вопрос № 21.525

Добрый день. Вопрос - возможно ли в WinXP SP2 настроить высший приоритет для удаленного доступа ? Если проще - то чтобы при входе на самом компе не отрубался удаленный доступ с другого компа (а вежливо так отказывалось в доступе), потому как очень не удобно, когда работаешь на нем, а начальнику вдруг в инет захотелось вылезти. (Комп на другом этаже)

Отправлен: 30.05.2005, 16:36 Вопрос задала: vladkon (статус: Посетитель) Всего ответов отправлено: 1

Отвечает: John Freeman Здравствуйте, vladkon! 1) Никак - только поставив WinConnectServerXP 2) Для инета есть ICS/Proxy --------- Время надирать задницы и жевать жвачку. Чёрт, но у меня кончилась жвачка!!!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 30.05.2005, 16:53

Вопрос № 21.527

Народ, кто сталкивался - помогите!!! Такая ситуация: домен win2003, 3 DC, один из них глюконул - повредился у него ntds. Как его не пробовали по совету microsoft переиндексировать и пр. - полный ноль. Восстановили из backup состояние системы и полетел на нем kerberos. Репликации с других серверов на него идут, а с него нет. На других DC такая ошибка: The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/fs04. The target name used was . This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (мой домен), and the client realm. Please contact your system administrator. Накопал выход из сложившейся ситуции такой: Explanation Kerberos cannot authenticate the Web program user because the server cannot verify the Kerberos authentication request sent by the client. This usually happens when there is an account in the target domain with the same name as the server in the client's domain. If so, the ticket is issued for the server in the client's domain and it cannot be decrypted by the recipient server in the target domain. User Action Search the client domain for accounts with the same name as the target server, and then either rename the duplicate account or remove it. Но где это смотреть - не понятно. Есть вариант сбросить билеты klist /purge (или kerbtray и там сбросить) на каждом сервере, но поможет ли?! и что потом делать - просто перегрузить все DC? Самое плохое, что этот DC остался с ролью RID, а ронять его и переставлять, перехватывая роль, не вариант. Как его побороть. Заранее благодарен за ответы.

Отправлен: 30.05.2005, 18:05 Вопрос задала: Руденский Игорь Евгеньевич (статус: Посетитель) Всего ответов отправлено: 2

Отвечает: John Freeman Здравствуйте, Руденский Игорь Евгеньевич! RTFM! Плохо читал - бэкап слишком старый, как говорится Kerberos Ticket Outdated!!! Так что либо перевводи в домен, либо копайся с kerberos utils. --------- Время надирать задницы и жевать жвачку. Чёрт, но у меня кончилась жвачка!!!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 30.05.2005, 18:22

Отвечает: Khedin Игорь, я тебе официальный документ тут прикладываю (не знаю есть ли он у тебя), здесь есть решение, не буду плагиатом заниматься и его пересказывать. Поиск по ключу KRB_AP_ERR_MODIFIED тебя приведёт к описанию и решению. ЗЫ: Кстати, почитать бы его ещё и некотороым умникам, которые что то там про время действия тикета высказывались... Прикреплённый файл: Загрузить >> Срок хранения файла на сервере RusFAQ.ru составляет 14 суток с момента отправки ответа.

Ответ отправил: Khedin (статус: Академик) Отправлен: 31.05.2005, 12:07

Вопрос № 21.530

гДПЮБЯРБСИРЕ, СБЮФЮЕЛШЕ. оНЛНЦХРЕ, ОКГ. аСУЦЮКРЕПХЪ. б МЕИ РПХ ЙНЛОЮ.бЯЕ ОНД уп. бЯЕ Б НДМНИ ПЮАНВЕИ ЦПСООЕ, МХЙЮЙХУ ОЮПНКЕИ, БЯЕ УНДЪР ЙН БЯЕЛ- ЬЕМЦЕМЯЙЮЪ ГНМЮ ОПЪЛ. мН БНР НДХМ ХГ ЙНЛОНБ БДПСЦ ОЕПЕЯРЮК ОНГБНКЪРЭ ОНКЭГНБЮРЕКЪЛ Я ДПСЦНЦН ПЮАНВЕЦН ЛЕЯРЮ ЯНУПЮМЪРЭ Б ЯЕАЕ КЧАХЛНЛ ХГЛЕМЕММШЕ ХЛХ ТЮИКШ. р.Е., ТЮИК, НРЙПШРШИ МЮ ДПСЦНЛ ЙНЛОЕ (PC-01), ОПХ ОНОШРЙЕ ЯНУПЮМХРЭ ХГЛЕМЕМХЪ, ЯННАЫЮЕР, ВРН НМ НРЙПШР РНКЭЙН ДКЪ ВРЕМХЪ Х БЯЕ РЮЙНЕ. аСУЦЮКРЕПХЪ АЕЯХРЯЪ. вРН СФЕ ОНОПНАНБЮКНЯЭ: 1) яБНИЯРБЮ ОЮОЙХ "ЛНХ ДНЙСЛЕМРШ" - ЦЮКНВЙЮ "РНКЭЙН ВРЕМХЕ" ЯМЪРЮ- БН БЯЕУ БКНФЕММШУ ТЮИКЮУ- РНФЕ- нй- ЙНМРПНКЭ - ЯБНИЯРБЮ ОЮОЙХ- ЦЮКНВЙЮ "РНКЭЙН ВРЕМХЕ" ЯРНХР ЯМНБЮ- %( 2) рН ФЕ, МН ЯМХЛЮЕЛ ЦЮКНВЙХ "РНКЭЙН ВРЕМХЕ" БН БЯЕУ БКНФЕММШУ ОЮОЙЮУ ОПХМСДХРЕКЭМН, ОПНУНДЪ БЯЕ ДЕПЕБН ЯБЕПУС БМХГ Х НАПЮРМН. йНМРПНКЭ- БЯЕ ЦЮКНВЙХ МЮ ЯБНХУ ЛЕЯРЮУ. #%@ 3) яНГДЮК МЮ ДПСЦХУ ЙНЛОЮУ ЯЕРЕБШЕ ДХЯЙХ, РХОЮ Z: "лНХ ДНЙСЛЕМРШ МЮ PC-01" - МЕ ОНЛНЦЮЕР. 4) яНПГДЮК ОЮОЙС: D:\лНХ ДНЙСЛЕМРШ2- ОЕПЕРЮЫХК БЯЕ ХУ ТЮИ КШ РСДЮ- РНР ФЕ ПЕГСКЭРЮР- МЕ ДЮЕР ОНКЭГНБЮРЕКЪЛ ЯНУПЮМЪРЭ ОН ЯЕРХ. врн декюрэ???!!! я СБЮФЕМХЕЛ, йНМЯРЮМРХМ

Отправлен: 30.05.2005, 18:23 Вопрос задала: shvetski (статус: Посетитель) Всего ответов отправлено: 1

Отвечает: gp Здравствуйте, shvetski! Прежде всего, как у вас организованы пользователи - заведены на всех Пк все существующие сос своими именами и паролями - или везде включен "гость" и ему даны полные права в папках общего доступа? Надо лезть в настройки безопасности. Их два вида - настройки разрешений общего доступа ( папка - свойства-доступ-безопасность) и настройки общей безопасности(свойства - безопасность). Если последняя не отображается. следует в "Свойствах папки" панели управления Снять флажок "...простой общий доступ". Смотреть надо в сторону Полных разрешений на проблемном Пк, а также сроков действия паролей (управления компьютером - пользователи - свойства) и разрешений записи Гость. Извините, что не говорю конкретно, в чем проблема, но всех случаев не опишешь в ответе все равно...

Ответ отправил: gp (статус: Профессионал) Отправлен: 30.05.2005, 18:40

Вопрос № 21.533

К вопросу 21527 на ответ эксперта John Freeman Понятно, что backup старый, теперь-то как вылезти из этой ситуации

Отправлен: 30.05.2005, 18:39 Вопрос задала: Руденский Игорь Евгеньевич (статус: Посетитель) Всего ответов отправлено: 1

Отвечает: John Freeman Здравствуйте, Руденский Игорь Евгеньевич! Говорю же - копать man на kerberos или перевводить в домен, что не так сложно;) --------- Время надирать задницы и жевать жвачку. Чёрт, но у меня кончилась жвачка!!!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 30.05.2005, 18:43

Вопрос № 21.534

Здравствуйте, уважаемые эксперты! Мы с моим другом хотим соединить наши компы в локалку, живем в одном доме, но в разных подъездах и на разных этажах (я в 1-м подъезде на 1-м этаже, он во 2-м подъезде на 3-м этаже). И вот какие вопросы: 1. Что выгоднее по соотношению цена/качество/производительность: беспроводная или проводная сеть? И почему? 2. Какие проблемы могут возникнуть при настройке сети? 3. Какую ОС лучше использовать для администрирования? 4. Какой дополнительный софт может понадобиться? Например, для учёта трафика на выделенке и тп? Мой комп будет серваком и я буду следить за этой сеткой. Конфигурации: Мой: Athlon XP 3000+/MB EPoX EP-8RDA3/512 RAM/HDD 80 Gb/128 Mb Radeon 9600 Pro; Друга: Celeron 2,25 GHz/256 mb RAM/MB GigaByte GA-p4T800(или что-то в этом роде)/HDD 60 Gb/128 GeForce 4 MX-440/ В ближайшее время намечается апгрейд систем (и моей и его) до уровня: P4 3.2 GHz/1 Gb RAM/MB Socket 775(754/939), SATA,RAID,1 Gbit Ethernet -- С уважением, ReFLeXive mailto:reflexive@list.ru

Отправлен: 30.05.2005, 18:42 Вопрос задала: ReFLeXive (статус: Посетитель) Всего ответов отправлено: 2

Отвечает: Star Wolf Здравствуйте, ReFLeXive! 1. Я считаю что проводная... купите экранированный кабель и кабель канал .. и прям по стене дома проложите ... дешевизна оборудования и простота настройки ... тем более будут гигабитные сетевухи .. 2. Если проводная .. то я думаю никаких проблем не будет ... статические IP ... заведете друг друга как локальных пользователей (т.е он тебя у себя пропишет .. а ты его у себя ... поскольку из пункта 4 ясно что инет у вас будет гостевую модель лучше не практиковать ... не безопасно это .. ) дадите нужные права на шары ..... все это очень просто ... 3. XPSP2 ... однозначный ответ ... 4. какойнить прокси сервер .. типа wingate ... usergate ... и им подобным ... и не забудте фаервол ... Outpost 2.6 к примеру ... а также антивирус.... --------- ... cold as Ice ...

Ответ отправил: Star Wolf (статус: Академик) Отправлен: 30.05.2005, 19:15

Отвечает: spybot Здравствуйте, ReFLeXive! Здравствуйте, ReFLeXive! 1 если расстояние не более 100 м. - то выгоднее всего использовать проводную сеть на витой паре - не дорого и отличная скорость (100 МБит/с). 2 проблем может быть масса (неправильная разводка кабеля, плохие контакты, неправильные настройки Ос и др.), а может и не быть вообще - лучше посмотрите доп инфу в инете по прокладке сетей 3 imho лучше win2k или winXP 4 все зависит от того, что вы хотите делать и использовать, а для учета трафика хорошо подойдет tmeter

Ответ отправил: spybot (статус: Специалист) Отправлен: 31.05.2005, 10:10

© 2001-2005, RusFAQ.ru, Россия, Москва. Все права защищены.
Идея, дизайн, программирование, авторское право: Калашников О.А.