» Переустановка AD с сохранением пользователей и компьютеров.

Есть проблемма. В AD закралась ошибка. А точнее не работают службы удаленной установки из-за косяка в AD (она сама об этом говорит). Сервер: Windows 2003 server Standart Rus.
Хотелось бы переустановить AD, но оставить все учетки пользователей и компьютеров, и желательно чтобы тачки не потеряли домена.

mikas

Неплохая программа для миграции доменов:
IDEAL MIGRATION is
the indispensable tool for the re-organization of your IT system.It also presents, other functions which allow you to be more selective on the objects to transfer :
-moving some shared folders from a server to another
-moving user accounts from a domain to another;
-moving file and folder securities from a server to another;
-automatic addition/modification of printers relative to a backup configuration. Other strong point, exportation and importation of оbjects are made with CSV files. Those files can be easily installed in a database, modified or even created by yourself.
_www.pointdev.com

домен должен остаться тем, же в конечном итоге. Если только сделать еще один рядышком, туда закинуть юзеров, переустановть AD, и перекинуть обратно?
Программулину уже качаю. Буду смотреть.

Добавлено
я понимаю что вопрос несюда, но всеже...
скачал я 3.0 версию, а серийника нету. У тя есть.. пришли в ПМ плиз.

Ideal Migration не позволяет переустановить AD с сохранение всех Юзеров и компов. Компы не находят потом домена. Вот это проблемма. ГЛАВНОЕ ЧТОБЫ КОМПЫ НЕ ТЕРЯЛИ ДОМЕНА. После переустановки и восстановления с IM в логах ошибки о том что компьютеры пытаются обратиться к серверу с доверительными отношениями, но они потеряли уникальный код.

Чем стандартный Active Directory Migration Tool не устраивает?

Duke Shadow
дык для этого нужно поднимать другой домен! И потом, чтобы имя домена было прежним, поднимать опять начальный с нуля и перекидывать туда пользователей. Долго это.

я непонимаю в чем проблема, вот в этих статьях все сказано что и как (MSDN)
Q234790, Q255690, Q296882
только одно замечение:
если у тебя один контроллер домена то все роли должны быть активированы на нем: 5 ролей и Global Catalog

Если у тебя два контроллера домена то ОБЯЗАТЕЛЬНО надо разнести роль Infrastructure Master и Global Catalog по разным серверам-контроллерам. Лучше на одном сервере (главном) держать все роли а на втором ТОЛЬКО Infrastructure Master. За этой парой надо следить внимательно.

млин...
иду на msdn (msdn.microsoft.com) там в поиске набираю Q296882 например и ничего не находит
Где найти эти статьи?

Добавлено
нашел
поиск корявый у микрософта!

Другой вопрос. Крякнул сервак, но остались базы АД и баккап Систем Стэйт. Нужно поднять заново домен. КАК?

avital
ставь заново сервак и потом бэкап накатывай!
Причем грузится нужно в режиме восстановления службы каталогов. Ф8 при занрузке винды и выбор метода загрузки.
Если непоможет.. то я думаю пипец ...

Добавлено
hell raiser

я думаю ты непонял про что я.
Переносы ролей - ничего не дает. Мне нужно переустановить с нуля сервак, поднять новую AD. Заменить id сервака или домена на прежний, а потом добавить всех обратно юзеров.
При переносе ролей AD не переустановишь.

mikas
Не помогло.
Есть установка DC из баккапа систем стэя, но ему всеравно нужен сервак, пусть хреново работающий, но нужен.
Может тулза какая есть, мне из старого АД нужны просто юзеры с их оригинальным ID.

Цитата:

Есть установка DC из баккапа систем стэя

вот это непонял.
Ставь ЧИСТЫЙ СЕРВАК, можешь даже, наверно, не делать его DC, загрузись в режиме восстановления каталогов и накати бэкап. Если этот бэкап был действительно System State, то AD там должна быть.
еще смотри логи. Он там ругнеться на какую-то хрень и попросит создать файл с особенным названием в папке Ынымщд для того чтобы служба репликации подготовила его к расшариванию. Мне помогало, когда падал домен.
Ну правда я точно непомню какой бэкап спасал System State или всего раздела системного. ИМХО системный раздел нужно бэкапить раз в месяц хотя-бы.

mikas
Если сделать бэккап систем стэя потом на другом серваке разбэккаапить в какую-нить папку, то на этом серваке можно поднять AD без копирования базы с PDC. Для этого надо запустить dcpromo /adv, при этом дойдя до установки дополнительного сервера он спросит ставить ли из бэккапа. Очень удобно, если сервера находятся в разных офисах, при этом большая база AD и низкая скорость соединения между ними. Но в любом случае, контроллер домена должен существовать.

hell raiser
Если у тебя два контроллера домена то ОБЯЗАТЕЛЬНО надо разнести роль Infrastructure Master и Global
это называется слышал звон да не знаю где он.

Если имеем Single domain forest, Infrastructure Master'у проcто нету работы и GC может быть на любом DC. Или в Multidomain forest, где на каждом DC помечена бубочка isGC.

Newbie777
читай выше
Цитата:

если у тебя один контроллер домена то все роли должны быть активированы на нем: 5 ролей и Global Catalog

hell raiser, ты это.. с головой дружи-то.
Я же процитировал к какой твоей фразе мой пост.

Newbie777 ну ладно, блин, бывает.
ну и что, касательно
Цитата:

Если у тебя два контроллера домена то ОБЯЗАТЕЛЬНО надо разнести роль Infrastructure Master и Global

что неверно?

Неверно "ОБЯЗАТЕЛЬНО". Имеем ровно два исключения, описаны мной выше. Одно из них как раз наш случай.

hell raiser - я тоже предпочитю на КАЖДЫЙ контроллер (включая инфраструктурный мастер) вешать по каталогу. Лесов у меня два, домена четыре, контроллеров, соответственно восемь. Все работает как часы и менять не собираюсь. Заметим, что для конфигураций, где есть Exchange, такая конфигурация является рекомендованной.

вобщем то странно, готов согласится с тем что слово "ОБЯЗАТЕЛЬНО" лишнее, но то сами мелкософтовци как раз и рекомендуют разносить Infrastructure Master и Global каталог по разным контролерам, готов отстаивать.

hell raiser
ссылку в студию.

блин, как назло немогу найти эту статью, но найду, обязательно. просто счас особо времени на это нет. но можно даже вспомнить то что когда пытаешся переносить глобал каталог на контролер на котором стоит роль инфраструктуре мастера, то сразу выскакивает предупреждение о том что это крайне не рокомендуется делать. хотя готов согласится что в некторых схемах альтернативногоо дизайна AD можно забить болт на это предупреждение и подтвердить данный перенос. однако это предупреждение неспроста выскакивает и я помню что читал гдето об этом, и мало того нечто подобное помоему встречается на одном из экзаменов мелкософта, кстати kibkalo как мелкософт тренер может это подтвердить.

hell raiser, миленький "читайте внимательно договор перед подписыванием".

1. GC и IM несовместимы.
Исключения: a)... b)...

Что еще непонятно?

hell raiser - не подтвержу, ибо не так это.
Почитай тут:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssbd_topo_hgmx.asp
Обрати внимание на

Цитата:

Operations Master Placement for Single Domain Forest
In addition to hosting the operations master roles, the first domain controller created in a forest also hosts the global catalog. In a single domain forest, the database of a global catalog server is identical to that of a domain controller. Therefore, configure all domain controllers as global catalog servers because it does not cause any additional workload for the domain controllers. In a single domain forest where all domain controllers are configured as global catalog servers, leave all operation master roles on the first domain controller that is created in the forest and use the second domain controller as a standby operations master.
Operations Master Placement for Forest Root Domain
In a forest hosting multiple domains, if all domain controllers in the forest root domain are also global catalog servers, leave all the operations master roles on the first domain controller. Use the second domain controller deployed in the forest as the standby operations master.

Далее по документу они говорят
Цитата:

on a domain controller that is also a global catalog server

просто для тех кому лень далее читать. Ибо строкой ниже ссылки на полную документаию из ресурс кита и MSA - где явно рекомендуют все контроллеры сделать глобальными каталогами (кстати в документации по дизайну эксченджа это еще раз подчеркнуто)
В общем имхо спорить тут бесполезно, мы уже несколько раз высказались по одному и тому же вопросу, далее флейм. я ликвидируюсь из обсуждения

а как можно сделать вот что:

есть домен, заведены пользователи. в какой-то момент решили отделить часть народа-отделов и т.д. и поставили отдельный домен.
Теперь не хотелось бы заводить часть пользователей в новом домене заново и настраивать им профили, как можно скопировать из первого домена часть учетных записей и перенести их в новый домен. Либо перемещением либо копированием, без разницы.
И стоит этим заниматься для того чтобы потом получить их профили про залогинивании с нового домена. Профили локальные. Наверно создадутся новые но может быть можно будет поверх перезаписать нужное чтобы сократить время перенастройки?

movetree.exe задвинет между доменами и поправит SID History, это даст возможность не перенастраивать профили. Или по-тяжелому ADMTv2.0

так точно!

главное чтоб потом AD в старом домене жил ... убивать его я не хочу, просто 10% пользователей надо из него добавить в другой домен ... ADMT это сделает?

Если лес един, то лучше таки movetree.
В случае ADMT не забудь дать NTFS права на папки с профилями юзерам нового домена, а то создадут новые.

kibkalo - благодарю, всегда помогаешь мне в трудных вопросах. оказалось достаточно movetree.