Chào các bạn
Tôi đang quản trị một mạng LAN khoảng 100 máy, trước đây tôi thiết lập địa chỉ IP lớp C 192.169.21.xxx cho các máy client.
Bây giờ tôi muốn thay đổi IP thành địa chỉ lớp A 10.10.100.xxx cho toàn bộ các máy trong hệ thống mạng đó. Nếu mà đi từng máy client để thay đổi thì mất rất nhiều công sức, mà tôi nghe có người nói rằng có thể dùng Active Directoy (AD) ngồi tại server thì đổi một lần thôi, cả hệ thống đều thay đổi.
Tôi đã vào AD tìm rồi nhưng không thấy mục nào cả. Bạn nào rành về AD có thể chỉ cho tôi có được không?
Cám ơn nhiều...

Bạn cài dịch vụ DHCP trên máy chủ. Sau khi cài xong, cấu hình một scope với dải địa chỉ (address pool) 10.10.100.1 đến 10.10.100.254. Activate scope này.
Tại các máy client bạn phải kiểm tra xem có đặt chế độ Automatically obtain IP address không.
Sau khi thực hiện xong, restart các máy client, các máy này sẽ có địa chỉ như bạn mong muốn.

Mọi người chi dùm em với, em cài Win2000 Server cho một máy chủ cài xong em cũng đã Share Internet nhưng khi các máy client không join vào domain của máy chủ được, mặc dù em đã đặt IP cho cả máy chủ và máy client. Trên máy client báo là không nhìn thấy Domain đó

Mọi người cho em hỏi: Join Domain và đăng ký network ID khác nhau ở chỗ nào:

Hi !

Join Domain và đăng ký Network ID đều giống nhau cả, một cái làm bằng tay, và một cái là nó giúp mình thực hiện điều này bằng công cụ Wizard.

Thân chào !

Mọi người làm ơn chỉ cho mình cái routing and remote access trong win2000 server với! xin cám ơn!

Mọi người chi dùm em với, em cài Win2000 Server cho một máy chủ cài xong em cũng đã Share Internet nhưng khi các máy client không join vào domain của máy chủ được, mặc dù em đã đặt IP cho cả máy chủ và máy client. Trên máy client báo là không nhìn thấy Domain đó
Bạn đã đặt account cho các client có thể join vào domain chưa? Và trên từng client cũng phải join vào domain trước đã.
Hoặc kiểm tra địa chỉ IP của client và máy chủ xem có cùng subnet không
tốt nhất là cấu hình sử dụng dịch vụ DHCP.
:D

Mọi người làm ơn chỉ cho mình cái routing and remote access trong win2000 server với! xin cám ơn !


Bạn có thể vào site này xem chi tiết nhé !http://www.netcenter-vn.net/hotrokythuat/index.cfm?id=576

Thân . :lol:

Chào các bạn
Tôi đang quản trị một mạng LAN khoảng 100 máy, trước đây tôi thiết lập địa chỉ IP lớp C 192.169.21.xxx cho các máy client.
Bây giờ tôi muốn thay đổi IP thành địa chỉ lớp A 10.10.100.xxx cho toàn bộ các máy trong hệ thống mạng đó. Nếu mà đi từng máy client để thay đổi thì mất rất nhiều công sức, mà tôi nghe có người nói rằng có thể dùng Active Directoy (AD) ngồi tại server thì đổi một lần thôi, cả hệ thống đều thay đổi.


Trường hợp A: nếu các client được cấp IP động từ DHCP server.

Trước khi bồ mún remove cái lớp 192.... đi, thì bồ nên thực hiện các bước sau. Trong DHCP Server.
1. Tạo 1 cái sope mới cấp dãi 10....
2. Cấu hình các tùy chọn nếu có.
3. Active cái scope mới đó
4. Deactivate cái scope 192.... Deactivate chớ không fải Remove (right click vào cái scope cũ, chọn Deactivate)
5. Chờ các DHCP clients renew. Thường fải chờ tối thiểu là 50% thời gian leased trong Leased duration for DHCP clients (kiểm tra trong Properties của scope 192...) Mà khỏi chờ. Kệ bố nó, đi ngũ 1 đêm mai dậy. Nếu bạn vào trong Address Leases của scope 192... thấy không còn DHCP client nào nữa thì có nghĩa là chúng nó vì xin scope 192.. renew không cho (do đã bị deactivate) nên chúng nó đi xin của người khác (scope 10...) rùi. Yên tâm sang bước 6.
6. Delete ông scope 192... đi.

Trường hợp B: đã gán IP tĩnh cho client hay cho 1 số server.
Còn fải hỏi. xuống tận nơi chỉnh lại bằng tay/ chân gán cơ chế cấp IP động hoặc cho gán IP cùng subnet mới.

Một ngày trời không mưa, em Promote thêm một cái DC nữa cho cái mạng Windows 2000 của em thì nó bảo không thể Promote được đồng thời thông báo account không có quyền trong AD, em dùng account DOMAIN\Administrator hẳn hoi, giúp em với

Nếu em đã có một DC rồi thì cái thứ hai của em nên là Secondary . Em vào trong cái DC đầu tiên cấp quyền cho cái thứ hai và sau đó promote , cuối cùng là thiết lập relationship .
Thân !

Hình như trong Active Directory không có khái niệm Secondary thì phải. Em không biết cấp quyền cho cái thứ 2 là như thế nào??? nó đang là Domain Member của cái Domain đó.

mong được chỉ dẫn thêm!

Secondary ý là cái DC khác ngoài DC chính đó . Nó là một backup DC cho cái chính . Cấp quyền cho nó ko có gì khó , em kiếm một cuốn sách về Win 2000 ,đọc một chút là có thể làm được .

Cẩn cấp những quyền gì cho "nó" thì đủ giải quyết vấn đề trên vậy ITWorld?

Nhưng tại sao em dùng account Administrator vẫn không đươcj nhỉ?

Các PRO đâu rùi, giúp với!

lới kêu gọi thống thiết từ ..

BAn log in vao bang Administrator cua local computer, sau do promote len binh thuong!!!

Bảo thủ quá.

Em đã bảo là có cái lỗi gì đó nên Local Administrator không được mà. Joint vào thành Domain Member rổi dùng Account Domain Admin không được nốt.

em có hâm đến mức không biết điều đó đâu. các vấn đề này tra trong sách không thấy có.

nó báo: Account của bạn không đủ quyền tạo Object trong AD. và yêu cầu gõ account khác, thử hoài mà chưa được.

Dùng account local admin, sau khi chỉnh sửa các thông số như: IP tĩnh, DNS server, DNS prefix name. DCPROMO, khi may hoi là join vào forest nào thì bảo là domain name cũ.

Xin ipsec post chính xác lỗi bằng tiếng Eng được không. Để tiện tra khảo vậy mà.

Sử dụng account DOMAIN\Administrator


The operation failed because: Failed to modify the necessary properties for the machine account DCSRV02$

"Access is denied. "

Hy vọng bồ ipsec có cái để vọc. Nè hệ thống có banh-ta-lon thì đừng có đổ thừa tui nha. Bê nguyên con cho bồ tiện tham khảo:

SYMPTOMS

During Active Directory promotion of a replica domain controller, you may receive the following error message:
The operation failed because: Failed to modify the necessary properties for the machine account %computername%$ "Access Denied".
The %SystemRoot%\Debug\Dcpromo.log folder contains entries similar to the following example:
MM/DD HH:MM:SS [INFO] Configuring the server account
MM/DD HH:MM:SS [INFO] NtdsSetReplicaMachineAccount returned 5
MM/DD HH:MM:SS [INFO] DsRolepSetMachineAccountType returned 5
MM/DD HH:MM:SS [INFO] Error - Failed to modify the necessary properties for the machine account %computername%$(5)

A network trace shows that the ModifyReponse frame to the LDAP ModifyRequest frame to the UserAccountControl attribute is unsuccessful with an "insufficient access" error message.

CAUSE

One of the operations that takes place during the promotion of a replica domain controller is the modification of the UserAccountControl attribute for the computer you are promoting. The UserAccountControl attribute is important for defining the role of the computer as a member server or domain controller. Specifically, the computer you are promoting performs the following tasks:
Performs a Lightweight Directory Access Protocol (LDAP) search against an existing domain controller in the domain for its computer account (ObjectClass=user,ObjectClass=computer,SamAccountN ame=%ComputerName%$).
Attempts to update the UserAccountControl attribute, indicating a change from a member server to a domain controller.
Attempts to move the computer account object from the current container or organizational unit, to the domain controller's organizational unit of the domain.
Sources the schema, configuration, and domain naming contexts for replication from domain controllers that already exist.
For steps 2 and 3 to succeed, the source domain controller used by the new replica must have successfully replicated and applied the security policy. Application of policy is identified by Event ID 1704 in the application log after Active Directory promotion (Dcpromo) has run (look for Event 1704 being logged after the last entry in Dcpromo.log).

The specific right required to update the UserAccountControl attribute is the "Enable computer and users accounts to be trusted for delegation" user right, granted to the Administrators group in default domain controllers policy.

RESOLUTION

To resolve this problem, use the appropriate method:
Verify that the current domain controllers in the domain have applied security policy and the Enable computer and users accounts to be trusted for delegation user right is granted to the Administrators Group in the domain controllers policy (click Computer Configuration, click Windows Settings, click Security Settings, click Local Policies, and then click User Rights Assignment).

For additional information about editing Group Policy Objects in Windows 2000, click the following article number to view the article in the Microsoft Knowledge Base:
322143 HOW TO: Administer GPOs in Windows 2000

For computers that do not have this right, confirm that group policy objects in the directory service and file system have replicated, and then manually apply the policy by typing the following command:
secedit /refreshpolicy machine_policy

NOTE: Look for the following message in the application log to confirm the application of the policy:
Event ID 1704: Security Policy in the Group policy objects are applied successfully.
Stop the Netlogon service on the source domain controllers that do not have this right applied to discover another domain controller in the domain that applied this right.
Verify that the source domain controller is in the organization unit. The name of the source domain controller can be found in the hidden file called Dcpromo.log in the %Systemroot%\debug folder on the Windows 2000 server that you are trying to promote.
Open a command prompt on the source domain controller, and run the Gpresult.exe Resource Kit utility to verify that the domain controllers policy is being applied to the source domain controller.

Chúc hên.

đọc xong chưa , uống thuốc nhức đầu chưa ? :P

nadmad search hay wá , rất đầy đủ .

ipsec, chính ra là AD protection rất kín đáo theo LDAP , lúc mình còn luyện AD cho các lớp , phần đông các lỗi lúc promote là :
1. Không có đúng mechanic: trong server ( to be promote ) phải có install ADMINPAK = và phải dùng AD domain & trust snap-in để authenticate server.
2. Accounts cũng phải dùng snap-in ( chắc là đã làm rồi ? = AD ).
3. Đọc thêm về forest, tree, domain, schema relationship : nếu server install như là member của schema thì KHÔNG co' right to promote lên DC của forest .

chúc may mắn ,

Tui nhìn qua cũng chẳng muốn đọc bài của Nadmad, "trông monotone khó chịu lắm", Viết bài thì tiện quẳng vào chút hài hước vốn dĩ là thế mạnh của you đi chứ. "trông monotone khó chịu lắm"

Bài này em copy chớ đâu có tự viết đâu. Lỡ modify bậy bạ, anh ipsec đọc ba chớp ba nháng mần điếc cái server thì có nước em trốn lun. Mà hàng zin thì đâu cần "mông má son fấn" gì đâu anh.

Chào mọi người,
- Trong hệ thống mạng LAN của cơ quan mình sử dụng Domain, hệ thống LAN vẫn hoạt động bình thường, mọi người vẫn đăng nhập vào domain một cách bình thường, nhưng hiện tượng xảy ra đó là khi mình truy cập máy cài domain controller để vào trong Administrator Tools --> Active Directory User and Computer thì thành phần này biến đâu mất, thế mết tức chứ. Rõ ràng là hệ thống vẫn hoạt động nhưng không thấy nó đâu cả, mọi người có thể giúp mình kéo nó ra trong bóng tôi không?
- Không những thế một số Tools khác cũng biếtn mất, mình không tiện nêu ra ở đây.
Đừng khuyên mình cài lại nhé bởi mình chưa backup cái AD đó ra đâu?

Bạn có delete hoặc move cái shortcut của nó đi không đấy?

Hôm trước tôi có bị trường hợp giống như bạn vừa nói ở trên, thì mình khởi động lại server là được, AD sẽ hiển thị lại cho bạn. Không biết trường hợp bạn có giống của tôi không????
Tuy nhiên tôi có trường hợp như thế này: Tôi cài bản Win2k Advan với số serial là RBDC9- VTRC8-... bán ngoài thị trường thì chạy được khoảng hơn 1 năm thì nó có tình trạng là không thể nào thêm hoạc xóa 1 account nào được, và khi join một máy nào vào mạng cũng không được luôn.
Mỗi lần như thế thì nó báo là
Windown canot created the object because:
The directory service was unable to allocate a relative indentifier
Tôi đã thử dùng một máy để cài backup cho nó thì cũng báo như thế.
Bạn nào biét khắc phục nó như thế nào không? Chỉ giúp tôi với... bay giờ mà cài lại server thì rất là mất công, mà lại phải join lai cho gần 100 máy của các thành viên nữa...

Chắc là licence của bản đó chỉ có thế thôi

Chắc là licence của bản đó chỉ có thế thôi, hoặc khi cài chọn per server ít quá

Tôi không chọn Per Server khi cài, mà chọn Per Seat.... vì thế trường hợp này không thể xảy ra.
Bạn nào có bản Windows 2k Advance server nào hká mà chạy ổn định thì cho tôi xin được không? Cho tôi xin link cũng được....

www.microsoft.com

bản này chạy rất ổn đấy
:mrgreen: :mrgreen: :mrgreen:

www.microsoft.com

Thế thì em phải bảo Giám đốc của em bán cơ quan đi thì mới có tiền mà tậu nó về..................

Vào RUN gõ: "DSA.MSC"

hoặc làm cái shortcut trỏ đến cái file đó. rùi copy mỗi thư mục một cái link dùng cho sướng

Do cơ quan có cùng một lúc một vài người quản trị nên mình không biết chắc có xoá hay không, nói chung hệ thống Domain của mình vẫn chạy bình thường, bây giờ khó nhất là muốn thêm user thì không biết vào đâu mà thêm nữa, vậy có cách nào để gọi lại Active Directory User and Computer không, mình đoán chắc chắn AD này vẫn nằm đâu đó nhưng chưa biết cách nào để gọi ra thôi.

To minhmang: Anh thử backup AD rồi cài lại sau đó Restore lại xem có được không?

Vào RUN gõ: "DSA.MSC"

Đúng là cái mình đang cần, cám ơn anh nhiều nhé tuanevnit!