» Вывод контроллера из домена

Есть 2 DC, один - 2003, второй - 2008. Первый пора выводить из эксплуатации. Я перенес все роли на 2008, как написано вот тут:
http://winitpro.ru/index.php/2012/03/06/peredacha-rolej-fsmo/
Все передалось без ошибок. Выключаю из сети первый сервер и при перезагрузке получаю на семерке "Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом" или "Неверное имя пользователя или пароль". На разных по разному.
XP говорит что "Проверье правильность имени пользователя или пароля".
К самому серверу 2008 тоже не подключиться ни удаленно ни локально. Ругается что неправильный пароль.
После возвращения в сеть сервера с 2003 все сразу становится нормально.
Помогите! Что делать?

новый сервер хозяин всех ролей?
у клиентов днс нового сервера стоит?

Второй. Перенес 5 ролей при помощи mmc. DHCP выдает DNS новый сервер. nslookup по умолчанию тоже лезет к новому.

где находится глобальный каталог?

и вообще-то удаление одного из контроллеров реализуется не просто его выключением, а понижением роли через dcpromo.

Глобальный каталог находится на обоих. Во всяком случае в "Сайты и службы" у обоих в поле "Типы DC" написано "Глобальный каталог".

Я боюсь делать dcpromo пока не уверен в работоспособности того который остается. Чтобы не остаться вообще без работоспособного DC

Клонируйте образы жестких дисков, если что, вернете все на место

Цитата:

Клонируйте образы жестких дисков, если что, вернете все на место

подобное применимо, если контроллер всего один. При нескольких контроллерах могут(не обязательно) вылезти проблемы, связанные с рассинхронизацией при таком подходе.

Biblbrox
тогда смотри что в логах на рабочих станциях и на контроллерах

Обнаружил следующее: к первому серверу (srv1) у меня работает
telnet srv1 3268
а ко второму (srv2) нет. Хотя GC находится на обоих. Может быть не запущена какая нибудь нужная служба или может быть порт не стандартным? Брандмауэр выключен.

Цитата:

или может быть порт не стандартным?

порт нестандартным быть не может. проверяй действительно ли на втором есть глобальный каталог. Что в логах?

Global Catalog не перенесся. Так как в AD болтался давно мертвый поддомен и при переносе он очень хотел с ним синхронизироваться. Прбовал удалить его через ntdsutil -> Metadata cleanup. При удалении домена - говорит не может, так как в домене есть контроллеры домена. Повсякому перепробовал его удалять - ошибки.
В итоге когда делаю в domain management
delete NC DC=DomainDnsZones,DC=olddomain,DC=local то на одном контроллере пишет:

Цитата:

ldap_delete_ext_sW ошибка 0xa(10 (Ссылки).
Расширенное сообщение об ошибке LDAP 0000202B: RefErr: DSID-030A09EC, data 0, 1
access points
ref 1: 'f5fa9782-0bad-492f-bf04-3d3ed3f36ece._msdcs.domain.local'

Возвращенная ошибка Win32 0x202b(Сервер возвратил ссылку.)
)

а на другом:

Цитата:

ldap_delete_ext_sW ошибка 0x1(1 (Ошибка операций).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-030A0AE6, problem 50
12 (DIR_ERROR), data 8434

Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
ущим владельцем FSMO.)
)

Как все таки выдрать эту запись из AD? ADSIEdit говорит из ntdsutil удаляй.
И неужели нельзя сделать так чтоб хранилась и была доступна хотя бы часть разделов GC?

Цитата:

И неужели нельзя сделать так чтоб хранилась и была доступна хотя бы часть разделов GC?

нет, глобальный каталог содержит всю информацию. Он не может хранить данные только о части инфраструктуры.

Получается что из за того что когда то давно был поддомен, я не смогу полноценный DC в домен добавить? Есть какие нибудь варианты записи о нем сурово удалить?