Previous Entry Share Next Entry
Принтер в домене: нет доступа
miller777
Достался тут клиент на обслуживание,


не приведи, Господь, таких много.

Завод. В ебенях (ну, относительно, бывало и хуже). Грязища. После их клавиатур хочется пойти и вымыть руки с мылом.

Порядка 15 компов. Компы куплены на распродажах в каких-то организациях лет 12 назад, когда те меняли себе технику. Как правило, celeron'ы с 512 мб или 1 гб памяти. Винты кое-где сыплются. Интернет хуевый. Windows XP почти везде.

Домен! Контроллер домена на полумертвом Windows 2003 сервере с 512 мб. памяти. Он же прокси и файрвол. В качестве файрвола - ISA.

Бухгалтерия сидит на "Инфо-бухгалтере" (я думал, он давно съеден 1С, а вот поди ж ты…), и в принципе не хочет слышать ни про какой 1С.

Складской учет ведется в Excel. Расчет деталей - в нем же.

В общем, сплошное ретро.

Сейчас до директора дошло, что надо бы поменять технику.

Плюс только один: платят аккуратно, хотя и морщатся.

Приходится разгребать.

Надо было от них отказаться сразу же, но их привел хороший знакомый, а потом уже выглядело бы как-то некрасиво. Что лишний раз подчеркивает справедливость цитаты из Сент-Экзюпери: "мы навсегда в ответе за всех, кого вовремя не послали".

Я с доменами не очень, обычно с ними не сталкиваюсь, а где сталкиваюсь - там свои админы. На моих площадках доменов нет.

Уперся в 2 проблемы:

1. Ставил новый ПК с win7pro. Ввел его в домен. Добавил юзера в пользователи домена. Добавил компьютер в разрешающее правило ISA. Добавил пользователя в ISA, поставил ему безлимитный трафик.

Интернета на машине нет.

Втыкаешь на это место старый системник - все работает. На новом - нет.

Где и что еще посмотреть?

2. Подключил к новому ПК принтер (hp laserjet 1022n, подключил по USB), расшарил его. Настроил дополнительные параметры общего доступа в Windows. Отключил фаерволл в Windows. Пытаюсь получить доступ с других рабочих станций к этому ПК, отказ. "Невозможно установить доверительные отношения между этой рабочей станцией и остальным доменом".


В свойствах шары принтера ставил и снимал галочку "добавить этот принтер в Active Directory", это ни на что не влияет.

Принтер надо сделать сетевым, где копать? В рабочей группе все бы давно работало.

Права администратора домена есть. До меня сеть поддерживал местный работник, но он больше по электронике. Что мог, уже рассказал.

Пока взял паузу. Буду благодарен за подсказки.


  • 1
2003 сервер - ключевая подсказка.
он не аллё с семеркой в локалнете, подобные твоему глюки там постоянны.
вариант ровно один - грохнуть там всё и поставить ну хотя бы пятилетней давности систему.

>он не аллё с семеркой в локалнете, подобные твоему глюки там постоянны.

[смотрит сквозь лорнет, как на экспонат кунскамеры]
У меня минимум у двух клиентов была ситуация "Домен 2003 - хосты Win 7".
И, разумеется, никаких таких проблем не было. От слова "совсем", ага.

+1
Просто кто-то не умеет их готовить и не проходит ликбез.

домен 2003 - не умеем готовить, согласен.
да и не нужно это, если есть уже более годные решения.

Денег дохуя?
Зачем описанному заводику платить за сервер 2012 Стандард?

Назовете одно принципиальное отличие его от 2003?

Домен на одно-два поколения старше десктопов абсолютно нормальная ситуация.
И работает с семерками, да хоть с десятками, совершенно штатно.



Ну там еще есть пара семерок, с ними нормально.

Грохать - не вариант, там все встанет, а быстро я не подниму. А работа непрерывно идет.

Надо как-то жить с тем, что есть, постепенно меняя, частями.


С нуля я бы, конечно, совершенно не так все сделал.

tojestj u chuvakov vsjo zajebisj nalazheno, nado bylo toka domen pribitj i vinty pomenjatj, a ty reshil vsjo naxuj slomatj. molodec, cho.

Edited at 2017-03-25 06:45 pm (UTC)

Где такое написано?

Сыплющиеся винты я заменил.

Речь идет о замене наиболее слабых рабочих станций на новые, чем я сейчас и занимаюсь. Плюс установить принтер, которого тут раньше не было.

Домен я трогать не буду до последнего, хотя он там и не нужен.

ISA я бы заменил на какой-нибудь человеческий роутер, но это потом, когда надо будет менять машину, на которой стоит контроллер домена.

Про взять и сломать нахуй речи не идет.

>ISA я бы заменил на какой-нибудь человеческий роутер, но это потом, когда надо будет менять машину, на которой стоит контроллер домена.

Можно в любой момент, ващет. Оно никак не связано с. В DHCP прописать всем новый роутер, на серверах и прочей активке со статикой шлюз сменить принудительно - вот и вся недолга.

можно даже ISA не тушить.

DHCP на AD - что с ним делать?

>>В DHCP прописать всем новый роутер

Не понял.

>>на серверах и прочей активке со статикой шлюз сменить принудительно

это понятно.

"на серверах и прочей активке со статикой"
А зачем на активке ручная статика?)

> Речь идет о замене наиболее слабых рабочих станций на новые

zachem?

> Про взять и сломать нахуй речи не идет.
> win7pro

Вы работали на Celeron`е с 512 мб. памяти? Это очень грустно даже в офисном пакете.

Часто современный софт на XP не идет, поэтому, видимо, Win7pro.

>Интернета на машине нет.
>Втыкаешь на это место старый системник - все работает. На новом - нет.
>Где и что еще посмотреть?

За вот такое вот "интернета нет" хочется бить палкой по голове.
Что значит нет ? Вот что значит нет ?
Марш читать за модель OSI, а потом возвращаться с ответами на вопросы
- ip внешнего хоста резолвится ?
- пинг до dns есть ?
- пинг до шлюза есть ?
- пинг до внешнего ip шлюза есть ?
- пинг до внешнего хоста есть ?
- трейсрут до внешнего хоста ?

Собственно, если теория изучена качественно, то после получения ответа на эти вопросы дополнительная помощь уже не понадобится ;)


> "Невозможно установить доверительные отношения между этой рабочей станцией и остальным доменом".

1. Проверить, что первым DNS прописан DС (=контроллер домена, если вдруг кто не). Если нет - сильно и больно бить палкой по рукам того, кто так сделал, до появления устойчивого рефлекса "первым DNS всегда должен быть DC, исключений не бывает".

2. Проверить совпадение времени на ПК и DC, перевести (вывести - ребут - переименовать - ребут - ввести - ребут) ПК в домен под другим именем

Да какая нахуй OSI?

1. Нет инета, потому что не стоит ISA Agent. Разреши машине выходить (радикальнее всего - по IP) - всё будет
2. Правильно, потому что параметры безопасности, NTLM и прочее говно. сделай gpresult /h gpres.html на обеих машинах (хотя на ХР ключика /h может не оказаться), либо RSoP прогони, да сравни параметры безопасности, многое станет понятно сразу.

> Разреши машине выходить (радикальнее всего - по IP) - всё будет

Если там DHCP - будет смешно :)


>2. Правильно, потому что параметры безопасности, NTLM и прочее говно.

Это если там развесистые GPO. Но я не верю :) Первым делом в этом направлении я бы проверил, в том ли OU находится учётка нового ПК, что и старого.

Там DHCP. Могу прописать статику.

>>в том ли OU находится учётка нового ПК, что и старого.

Можно подробнее, OU - это что?

>>1. Нет инета, потому что не стоит ISA Agent.

Скорее всего, я его не ставил. Где его взять? Он же должен совпадать с версией ISA, нет?


На самой ИСЕ и взять. Как он там назывался и где лежит - уж извини, не вспомню, подымай доку.

Ну мажорную версию желательно совпасть, конечно.

//лирическое отступление
Дядь, я не настоящий сварщик (с). Я - эникей-самоучка с серьезными пробелами в знаниях. Я пытаюсь с этим бороться, получается большей частью хуево. Но я стараюсь. Понимаю, что гордиться нечем. Вот, сейчас столкнулся с тем, чего не знаю. Знал бы - этого поста бы не было.
//конец лирического отступления

>>За вот такое вот "интернета нет" хочется бить палкой по голове.

Согласен, писал на ходу в электричке с телефона, исправляюсь.

Локальная сеть работает, адрес от DHCP получен. Компьютеры в локальной сети доступны. При попытке открыть любую страницу в браузере (например, mail.ru), получаем ответ (я так понимаю, от ISA): страница не может быть отображена.

Пинги до mail.ru идут. Пинги до гугловских DNS идут.

Трейсрут не делал.

В трее значек сетевого подключения с желтым восклицательным знаком и подсказкой "подключение по локальной сети, без интернета". Прокси-сервер в браузере не прописан, но он не прописан ни на одной машине в сети.

Первым DNS прописан контроллер домена. Прописывал вторым гугловский - ни на что не повлияло.

Время совпадает.

Переименование и ввод-вывод из домена не делал пока.

>Пинги до mail.ru идут. Пинги до гугловских DNS идут.
>Трейсрут не делал.
>В трее значек сетевого подключения с желтым восклицательным знаком и подсказкой "подключение по локальной сети, без интернета". Прокси-сервер в браузере не прописан, но он не прописан ни на одной машине в сети.

Точно затык в роутере (=ISA). Сделай трейсрут, будет видно, что дальше роутера оно не идёт.

Я с ISA дело не имел, ейные кишки не знаю. Так что скорее всего дело в том, о чём pan2 пишет



>Первым DNS прописан контроллер домена. Прописывал вторым гугловский - ни на что не повлияло.
>Время совпадает.
>Переименование и ввод-вывод из домена не делал пока.

Вообще несколько странная ситуация, на свежепоставленной ОС и свежевведённой в домен машине такое ну очень маловероятно. Обычно оно бывает, когда под тем же именем другую машину в домен ввели.
Или ОС не свежая и в домене она уже давно была ?
Не отключал "не нужные" службы часом ? Или там вместо нормального дистрибутива какую-нить, простихоспади, сборку взял ?


>>на свежепоставленной ОС и свежевведённой в домен машине

Именно.

>>Или ОС не свежая и в домене она уже давно была ?

ОС - OEM, не активированная, предустановлена продавцом ПК. Но в кладовке тот ПК лежал долго... Так что не уверен, что она свежая (Win7Pro OEM еще можно купить??)

>>Обычно оно бывает, когда под тем же именем другую машину в домен ввели.
Вот как раз такой вариант я делал в прошлый раз - назвал новую машину так же, как и старую, и создал на ней такого же юзера, как на старой. Старую убрал, новую поставил. Наверное, это неправильно, но оно до сих пор работает.

Кстати, именно на этой машине "нет доверительных отношений" и беда с шарой принтера. Это из-за этого?

>>Не отключал "не нужные" службы часом ?
Нет.

> Добавил юзера в пользователи домена.

Вот это сразу не увидел. Можно поподробнее пояснить, что это сейчас было ? Какого юзера, где добавил ?

А главное - зачем, если любой вновь создаваемый в AВ user сразу и автоматически УЖЕ НАХОДИТСЯ в "domain users" ?

Пытался решить проблему путем удаления компьютера в AD\computers и добавлением его снова.

Посмотрел, нового созданного на ПК юзера в AD не было после включения ПК в AD\users. Добавил туда руками.

У меня такое ощущение, что сделал глупость, буду благодарен за разъяснения.

Edited at 2017-03-25 09:05 pm (UTC)

>Пытался решить проблему путем удаления компьютера в AD и добавлением его снова.

логика правильная, но если дело в том, что два ПК под одним именем, то так по очереди будете до морковкиного заговения перевводить. Поэтому я и предложил сменить имя.


>Посмотрел, нового созданного на ПК юзера в AD не было после включения ПК в AD.

Разумеется. Потому что локальные юзвери - это локальные юзвери, и к домену они никак не относятся. Наоборот, доменные юзвери со вводом ПК в домен "приходят" на ПК. Ну то есть можно залогиниться любым доменным пользователем (по умолчанию в локальную группу "Users" добавляется "domain users").

А локального юзера в домен добавить невозможно. Никак. В принципе. By design.
Можно в AD создать пользователя с таким же именем, но всё равно это будут разные пользователи:
pc-name\user_1
и
domain.name\user_1

Но делать так не нужно, потому что такое полное "имя" показывается далеко не везде, и легко запутаться. Если тачка доменная, то локальные пользователи вообще не нужны (ну, кроме двух локальных админов на всякий случай - основного и резервного). Соответственно, никаких учёток для пользователей на локальной машине заводить не нужно, совсем не нужно. Всё в домене.

Соответственно, чтобы доменный пользователь стал, например, локальным администратором, то его надо в локальную группу "Администраторы" добавить на ПК. Тогда он на этом ПК будет локальным админом. На соседнем уже не будет, что характерно. На соседнем он будет только обычным пользователем - пока его руками в локальную группу какую не добавить.

  • 1
?

Log in