» Проблема с FSMO

Было 2 контроллера домена(server, server1), потом был поднят 3(mainserver). Нужно передать роли с сервера1 на новый сервер... Все роли передались успешно, кроме RID.
Щас на новом и на старом контр. домена ошибки(текущий держатель этой роли недоступен).
Вот что дает netdom:
Schema owner mainserver.xxxxx.ru

Domain role owner mainserver.xxxxx.ru

PDC role mainserver.xxxxx.ru

RID pool manager server1.xxxxx.ru

Infrastructure owner mainserver.xxxxx.ru

The command completed successfully.

netdiag:
....................................

Computer Name: MAINSERVER
DNS Host Name: mainserver.xxxxx.ru
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 3 Stepping 4, GenuineIntel
List of installed hotfixes :
KB833407
KB890046
KB893756
KB896358
KB896424
KB896428
KB899587
KB899588
KB899589
KB899591
KB900725
KB901017
KB901190
KB901214
KB902400
KB904706
KB905414
KB908519
KB908531
KB910437
KB911280
KB911562
KB911564
KB911567
KB911927
KB912919
KB914388
KB914389
KB916281
KB917159
KB917344
KB917422
KB917734
KB917953
KB918439
KB918899
KB920214
KB920670
KB920683
KB921398
KB921883
KB922616
Q147222


Netcard queries test . . . . . . . : Passed
[WARNING] The net card 'Intel(R) PRO/100 M Network Connection' may not be wo
rking.



Per interface results:

Adapter : Local Area Connection 2

Netcard queries test . . . : Failed
NetCard Status: DISCONNECTED
Some tests will be skipped on this interface.

Host Name. . . . . . . . . : mainserver
Autoconfiguration IP Address : 169.254.83.206
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . :


Adapter : Local Area Connection

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : mainserver
IP Address . . . . . . . . : 192.168.0.2
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . : 192.168.0.254
Dns Servers. . . . . . . . : 192.168.0.2


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{85E62075-B3B9-40B6-A41B-CBCC624911B2}
NetBT_Tcpip_{7CA55D56-9D88-486D-956D-C199548CDDD0}
2 NetBt transports currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
[WARNING] Cannot find a primary authoritative DNS server for the name
'mainserver.xxxxx.ru.'. [ERROR_TIMEOUT]
The name 'mainserver.xxxxx.ru.' may not be registered in DNS.
PASS - All the DNS entries for DC are registered on DNS server '192.168.0.2'
and other DCs also have some of the names registered.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{85E62075-B3B9-40B6-A41B-CBCC624911B2}
NetBT_Tcpip_{7CA55D56-9D88-486D-956D-C199548CDDD0}
The redir is bound to 2 NetBt transports.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{7CA55D56-9D88-486D-956D-C199548CDDD0}
NetBT_Tcpip_{85E62075-B3B9-40B6-A41B-CBCC624911B2}
The browser is bound to 2 NetBt transports.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped


The command completed successfully

Вопрос как передать оставшуюся роль? Стоит ли делать захват оставшейся роли?

У меня была такая проблемма. Помогло следующее:
Open Command Prompt.
Type:
ntdsutil

At the ntdsutil command prompt, type:
roles

At the fsmo maintenance command prompt, type:
connection

At the server connections command prompt, type:
connect to server DomainController

At the server connections command prompt, type:
quit

At the fsmo maintenance command prompt, type:
transfer RID master

Value Description
DomainController The domain controller to which you want to assign the new operations master role.

Notes

To perform this procedure, you must be a member of the Domain Admins group or the Enterprise Admins group in Active Directory, or you must have been delegated the appropriate authority. As a security best practice, consider using Run as to perform this procedure.
To open a command prompt, click Start, point to Programs, point to Accessories, and then click Command Prompt.
To view the complete syntax for this command, at the ntdsutil command prompt, type:
roles ENTER

? ENTER

Не получилось (
Вот:
fsmo maintenance: transfer rid master
ldap_modify_sW error 0x34(52 (Unavailable).
Ldap extended error message is 000020AF: SvcErr: DSID-0321091C, problem 5002 (UN
AVAILABLE), data 3

Win32 error returned is 0x20af(The requested FSMO operation failed. The current
FSMO holder could not be contacted.)
)
Depending on the error code this may indicate a connection,
ldap, or role transfer error.
Server "mainserver" knows about 5 roles
Schema - CN=NTDS Settings,CN=MAINSERVER,CN=Servers,CN=Default-First-Site-Name,CN
=Sites,CN=Configuration,DC=xxxx,DC=ru
Domain - CN=NTDS Settings,CN=MAINSERVER,CN=Servers,CN=Default-First-Site-Name,CN
=Sites,CN=Configuration,DC=xxxx,DC=ru
PDC - CN=NTDS Settings,CN=MAINSERVER,CN=Servers,CN=Default-First-Site-Name,CN=Si
tes,CN=Configuration,DC=xxxx,DC=ru
RID - CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=xxxx,DC=ru
Infrastructure - CN=NTDS Settings,CN=MAINSERVER,CN=Servers,CN=Default-First-Site
-Name,CN=Sites,CN=Configuration,DC=xxxx,DC=ru
fsmo maintenance: q
ntdsutil: ^C

Что еще посоветуете?

По ходу чтото с доменом, я делал следуещее:
Выбирал сервер на котором крутиться глобальный каталог (в будущем его лучше держать на нескольких контроллерах), на всякий случай проводим операцию по пренудительному переносу всех каталогов и служб на этот контроллер (как это сделать смотри Help and Support Center > в поиске набираешь FSMO > с лева в результатах поиска есть To transfer the domain naming master role, To transfer the infrastructure master role, To transfer the PDC emulator role, To transfer the RID master role, To transfer the schema master role делаешь все по шагам, каждую службу, через соммандную оболочку), после остальные контроллеры понижаешь до уровня рабочей станции, на единственном контроллере чистим DNS, Active Directory Sites and Services на предмет отсутствующих контроллеров домена, далее смотрим логи, если все в порядке можно добавлять новые контроллеры.

Добавлено:
Да забыл, ОБЯЗАТЕЛЬНО!!!, билды Windows и установленные сервис паки должны быть одинаковы на всех контроллерах домена, у меня такие глюки возникали когда один контроллер домена был с билдом винды 1039 а другой с 23ХХ точно цыфры не помню...

Все остальные роли я уже передал новому серверу... Все прошло нормально. Остается только роль RID...
Мне кажется что то не так с ДНС записями, относящимися к server1(старый сервер).
Но вот где не так я понять не могу...

Как выриант думаю, можно будет захватить роли, просто хочется выбрать наиболее безболезненное решение

Кстати заметил, у тебя второй интерфейс в сеть не смотрит, отключи его тогда сделай Disable или в биосе отключи. Может по этому глюки, так как при поднятии домена он будет ругаться именно на неподключенный интерфейс сетевой.

2 интерфейс отключен в винде...

А это что?

Adapter : Local Area Connection 2

Netcard queries test . . . : Failed
NetCard Status: DISCONNECTED
Some tests will be skipped on this interface.

Host Name. . . . . . . . . : mainserver
Autoconfiguration IP Address : 169.254.83.206
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . :
Dns Servers. . . . . . . . :

2FormatM Сорри перепутал чето... теперь выключил.

2 G14
Мне очень не желательно потом понижать этот контроллер домена(ведь если роль захватываешь, то предыдущего хозяина роли надо удалять из сети).
Netdom s servera1 говорит что все роли у mainservera! Запустил adsiedit на старом контр. домена(server1) все записи про РИД на месте, везде mainserver.

Однако на новом сервере adsiedit вообще запускаться не хочет! Пишет :
Ошибка инициализации оснастки
Имя:<нет данных>
CLSID:{1C5DACFA-16BA-11D2-81D0-0000F87A7AA3}

Dsdiag с нового(mainservera):
Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\MAINSERVER
Starting test: Connectivity
......................... MAINSERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\MAINSERVER
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
MAINSERVER: Current time is 2006-09-27 16:19:07.
CN=Schema,CN=Configuration,DC=xxxx,DC=ru
Last replication recieved from MERCURY at 2005-01-26 16:33:45.
WARNING: This latency is over the Tombstone Lifetime of 60 days!

CN=Configuration,DC=xxxx,DC=ru
Last replication recieved from MERCURY at 2005-01-26 16:33:45.
WARNING: This latency is over the Tombstone Lifetime of 60 days!

DC=xxxx,DC=ru
Last replication recieved from MERCURY at 2005-01-26 16:33:45.
WARNING: This latency is over the Tombstone Lifetime of 60 days!

......................... MAINSERVER passed test Replications
Starting test: NCSecDesc
......................... MAINSERVER passed test NCSecDesc
Starting test: NetLogons
......................... MAINSERVER passed test NetLogons
Starting test: Advertising
......................... MAINSERVER passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MAINSERVER passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MAINSERVER passed test RidManager
Starting test: MachineAccount
......................... MAINSERVER passed test MachineAccount
Starting test: Services
......................... MAINSERVER passed test Services
Starting test: ObjectsReplicated
......................... MAINSERVER passed test ObjectsReplicated
Starting test: frssysvol
......................... MAINSERVER passed test frssysvol
Starting test: frsevent
......................... MAINSERVER passed test frsevent
Starting test: kccevent
......................... MAINSERVER passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x00000457
Time Generated: 09/27/2006 15:36:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 09/27/2006 15:59:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 09/27/2006 15:59:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC25A001D
Time Generated: 09/27/2006 16:08:56
(Event String could not be retrieved)
......................... MAINSERVER failed test systemlog
Starting test: VerifyReferences
......................... MAINSERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : xxxx
Starting test: CrossRefValidation
......................... xxxx passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... xxxx passed test CheckSDRefDom

Running enterprise tests on : xxxx.ru
Starting test: Intersite
......................... xxxx.ru passed test Intersite
Starting test: FsmoCheck
......................... xxxx.ru passed test FsmoCheck

p.s. Mercury я так понимаю когда то(до меня) был неправильно понижен...

Теперь выведи из домена новый контроллер, почисть старый, и введи новый заново.

Что то очень я боюся так делать... К тому же чтобы вывести новый контр. домена нужно передать с него 4 роли... Что значит почистить?

Я вот подумал, что если старый контр. домена говорит, что все роли на новом, может сделать захват роли RID на новом и тогда не надо будет отключать из сети старый?

Твой новый при выводе из домена должен передать все роли старому контроллеру домена, почистить значит проверить DNS и АД на отсутствие записей о выведенном контроллере, чтобы все чистенько было, один старый контроллер и все.
Соответственно перед выполнением обязательно БЕКАПЬ АД!!!
Старый у тебя то как раз работает нормально, оставь его, проблеммы в новом.

Кстати, сервис паки на этих контроллерах домена не совпадают( на старом не был установлен даже СП1). Ну и билды тоже

Теперь ясно откуда ноги растут, SP1 изменяет структуру АД добавляя в нее несколько полей. Несоответствие структур Ад, и вуаля ошибки...