Значится получил я в среду геморой на свою попу. Расскажу и вам, для справки.
Итак утро среды, добрый бади мирно спит. Местное время 9-10.
Звонок:
-Андрюха, привет. У нас тут беда - сетка упала. Никто в сетевое окружение зайти не может, папки на серваке недоступны.
-э.... ну сервак в ребут и поглядим.
Постепенно просыпаюсь, начинаю думать - чего могло случится то? Сетевуха чтоли сдохла, подвис сам сервак? Думать о том что он вообще помер даже не хотелось.
9-20, звонок:
- Не помогла перезагрузка, мож приедешь?
- Ну а чего еще остается, ждите.
12-30 Офисс фирмы (гребанные пробки, 2-ва часа добирался)
Сервак загружен, ждет ввода пароля. Ну хоть не полностью сдох, уже проще. Вхожу. Надпись - не могу получить IP. Тихо оху...вая врубаюсь... как это? не могу получить Ай-Пи который руками забит? Чё за дурь? Лезу в логи - всё красным цветом, Ошибки в АД, ошибки в изменения роли сервера (от такой надписи я ваще чуть не помер), невозможно запустить DNS. Полный коплект короче.
13-00
Копаю логи, ищу с чего началось. Вижу надпись - ваш ай-пи заняла какая-то сцука с таким-то MAC-адресом.
15-00
сцука найдена - Wi-Fi роутер, мать его. Один из сотрудников принес и подключил. А у него случайно ай-пишник как у сервака. Ну и каким-то образом сервак посчитал себя персоной менее важной и решил уступить этому роутеру роль контроллера домена 😞
17-00
отключил роутер, кое-как запустил DNS, исправил основные ошибки в DNS. Оталась ругань на АД и еще мелочи. Буду на след. неделе разгребать.
Вот такие пироги, будьте осторожны друзья, подключая всякую хрень непосредственно в сеть, без настройки и тестирования ее на локальной машине!
------------------
Измена другу - преступленье
Без оправданья,без прощенья. (Лопе де Вега)
хе.
/ехидно так/ вот поэтому админы сперва конфигурят ЛЮБОЙ активный девайс в локали, и только потом втыкают в сетку.
А глупые инжеНегры втыкают в сетку (192.168.0.1\255.255.255.0) железку с ip 192.168.0.1 а потом долго чешут репу...
ехидна ты 😊
Меня они не спрашивали перед тем как втыкать 😞
Помню, когда поставил на свою машину Linux и поднял там самбу, она тут же стала контролером домена, сервер с Windows2000 сам ей всё отдал. Правда, у меня ничего не упало, как раз наоборот.
Ещё недавно было падение целого сегмента сети у нашего провайдера. Из-за того, что какой-то добрый человек поднял у себя на машине dhcp, от которого ответ приходил быстрее, компы у пары домов получали неверные ip и не могли зайти в сеть. Но это известная дыра в протоколе.
------------------
Just on the border of your waking mind
There lies... Another time
Where darkness & light are one
Один из сотрудников принес и подключил. А у него случайно ай-пишник как у сервака.не фиг кому не попадя подключать что не попадя....поубивав бы..
Нефиг контроллеру .0.1 давать...проявите фантазию 
badydoc
ехидна ты 😊
Меня они не спрашивали перед тем как втыкать 😞
Есть такая полезная прога - DeviceLocker , как говорится не поднимая попы с админского стула мона запретить много чего юзерам.Очень много чего. Например, сидюк даже на кнопку открытия трея у юзера не будет возбуждаться... порты любые на железе юзерам закрыть...и пусть до посинения подключают что угодно 😛
и как в моей ситуации девайс-локер бы помог? 😛 Роутер же не к компу подлючали, а просто в сеть (100Мб которая) воткнули и этого оказалось более чем достаточно.
Bugi
Нефиг контроллеру .0.1 давать...проявите фантазию
Всегда попасть можно. Вот у нас контроллер .1.1. Так вот такие же адреса на сетевых платах АТС LG. В чем мы имели возможность убедится. Причем сервер тоже решал, что атс важнее и ложился...
А у нас .10.10 на всякий пожарный...хотя и это не предел фантазии...
badydoc
и как в моей ситуации девайс-локер бы помог? 😛 Роутер же не к компу подлючали, а просто в сеть (100Мб которая) воткнули и этого оказалось более чем достаточно.
Коллега, чес слово за то что, кото-то воткнул бы в сеть что-то свое, у нас бы отвечал куском з/п не иначе... Пишите соответствующие правила и положения за подписью генерального.
у нас бы отвечал куском з/п не иначеКстати, да. Администрирование это не только технические возможности...это, в первую очередь, трудовая дисциплина.
+1
...но у нас, ввиду невозможности причинить большой ущерб - отвечают обычно пивом %-))
у нас ничем никто не отвечает 😞 Я там вообще формально не работаю, трудового договора нет, обязанности - листок на принтере отпечатанный с перечнем работ которые я обычно у них делаю и моя подпись. Всё. Плюс отсутсвие непосредственного начальства. Тоесть серьезные проблемы сегодня с одним человеком обсуждаешь, завтра с другим (который первому протеворечит). В общем всё как в армии и главный девиз - ПВО (погоди выполнять - отменят) 😀
GeorgeM, вот так вот дисциплина и сходит на нет...типо я с админом бухал...хренушки...я сам себе могу пива купить...лишь бы гимороя с такими френдами не иметь...
хе, а кто тебе сказал что оне со мной бухають? оне предоставляют расходники и идут далее(лесом). Естессно после внушения и беседы о политике партии.
бухаю я один, а пива в меня влазит много... ой много...
ну не на всех же докладные писать, бывают и полувменяемые юзвери(вменяемых не бывает, факт.).
%-))
Атас...алкокоррупция в наших рядах...
Ну во-первых АД надо нормально конфигурировать, чтобы никому ничего не отдавал. Правда из описания я не понял это 2000 или 2003.
А во-вторых настроить брандмауэр чтобы слал нафик всех, кто под адресом серверов но с другим маком пытается прорваться в сеть. Поставить сервера в DMZ, доступ к ним через брандмауэр, и всё. Пусть возьмет IP адрес сервера, это ни на что не повлияет - не пробьется никуда за пределы своей зоны (т.е. рабочих станций офиса). Некоторые брандмауэры позволяют блокировать такие умные устройства за попытку взять "не тот" IP.
И дальше - что значит "случайно оказался тот же IP"? Это значит что скорее всего IP был 192.168.0.1 или .254? 😊 Адреса DHCP вообще не надо давать серверам - берите 172.16 или 10.0.х - их WiFi рутеры никогда не берут. Все аппаратные DHCP серверы всегда по-умолчанию оперируют в зоне 192.168...
У меня на прошлой работе вообще зверская система стояла - при IP конфликте с серверными IP порт нарушителя на управляемом свиче отключался и я получал СМС об этом. И весь разговор.
Mondor2003, если можно - давайте подробности 😛 как и чего там настраивать.
Ну во-первых АД надо нормально конфигурировать, чтобы никому ничего не отдавал. Правда из описания я не понял это 2000 или 2003.
Mondor
Ну во-первых АД надо нормально конфигурировать, чтобы никому ничего не отдавал. Правда из описания я не понял это 2000 или 2003.А во-вторых настроить брандмауэр чтобы слал нафик всех, кто под адресом серверов но с другим маком пытается прорваться в сеть. Поставить сервера в DMZ, доступ к ним через брандмауэр, и всё. Пусть возьмет IP адрес сервера, это ни на что не повлияет - не пробьется никуда за пределы своей зоны (т.е. рабочих станций офиса). Некоторые брандмауэры позволяют блокировать такие умные устройства за попытку взять "не тот" IP.
И дальше - что значит "случайно оказался тот же IP"? Это значит что скорее всего IP был 192.168.0.1 или .254? 😊 Адреса DHCP вообще не надо давать серверам - берите 172.16 или 10.0.х - их WiFi рутеры никогда не берут. Все аппаратные DHCP серверы всегда по-умолчанию оперируют в зоне 192.168...
У меня на прошлой работе вообще зверская система стояла - при IP конфликте с серверными IP порт нарушителя на управляемом свиче отключался и я получал СМС об этом. И весь разговор.
хотелось бы узнать как это было реализовано.
Вы про отключение порта? Это была настройка в управляемом свиче Allied Telesyn. Модель не назову, не помню, но дорогая была ок. 500 USD.
Кроме того к свичу через COM порт был подключен другой сервер который отсылал ARP запросы по сети и сравнивал результат со своей таблицей. В случае несовпадения - узнавал у свича порт на котором тот находится и отключал его. После чего слал СМС.
badydoc
2003, если можно - давайте подробности 😛 как и чего там настраивать.
Для того чтобы увидеть ошибку надо посмотреть на конфигурацию. Проблема вышла сюрреалистичная. Ведь для того, чтобы другой компьютер стал контроллером домена ему нужно пройти через аутентификацию, для этого недостаточно просто воткнуть устройство в сеть, это Керберос. Я не знаю насколько всё должно быть "не так" чтобы такое произошло.
Хотя почему-то мне показалось (извините, просто мысль вслух) что за сообщение о смене PDC вы приняли сообщение о том, что какой-то компьютер считает себя master browser, что далеко не одно и то же и лечится установкой обновления с http://support.microsoft.com/kb/843517 (октябрь 2006) - оно просто повышает приоритет Win2003 машины на выборах мастер броузера.
В качестве литературы возьмите материалы по подготовке к экзамену Microsoft 70-294 - там эти вопросы рассматриваются. Но опять же, ситуации чтобы кто-то просто так стал контроллером домена быть не может в принципе. Решение о прекращении функции primary domain controller и всяческих schema/domain naming master также требует осмысленного и многократно подтверждаемого приказа сисадмина. Хотя я так понял что там всего один контроллер, но всё равно с ним пришлось бы повозиться.
Кстати, если действительно нужен ответ на сложный вопрос по Винде, попробуйте задать его в IRC: irc.freenode.net канал ##windows (2 решетки впереди!) - он на английском, но там сидят по-настоящему опытные специалисты. По-крайней мере несколько терпеливых MCSA/MCSE одновременно есть всегда.
Хотя почему-то мне показалось (извините, просто мысль вслух) что за сообщение о смене PDC вы приняли сообщение о том, что какой-то компьютер считает себя master browser, что далеко не одно и то же и лечится установкой обновления с http://support.microsoft.com/kb/843517 (октябрь 2006) - оно просто повышает приоритет Win2003 машины на выборах мастер броузера.неа, мастербраузер тут совсем непричем. С ним я еще на win2000AS долго мучался, теперь политиками отрублено запуск этой службы у всех остальных компов.
В целом я и не говорю, что этот роутер стал контролером домена, но в логах сервака отчетливо было написано - пытаюсь изменить себе роль, попытка неудачная.
irc.freenode.net канал ##windows (2 решетки впереди!)не пользуюсь IRC. Но за совет спасибо.