» Создание второго "равноправного" контроллера домена

ctolnik
Спасибо
1) С этим пунктом все ясно...

2) По поводу Infrastructure Master и Global Catalog вот что нарыл:

Цитата:

As a general rule, the infrastructure master should be located on a nonglobal catalog server that has a direct connection object to some global catalog in the forest, preferably in the same Active Directory site. Because the global catalog server holds a partial replica of every object in the forest, the infrastructure master, if placed on a global catalog server, will never update anything, because it does not contain any references to objects that it does not hold. Two exceptions to the "do not place the infrastructure master on a global catalog server" rule are:
Single domain forest:

In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain.
Multidomain forest where every domain controller holds the global catalog:

If every domain controller in the domain also hosts the global catalog, then there are no phantoms or work for the infrastructure master to do. The infrastructure master may be placed on any domain controller in the domain.

Т.е. в моем случае, когда домен в лесу один, неВАЖНО где расположен infrastructure master.
С этим пунктом тоже все ясно...
3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.

Цитата:

Global Catalog Server (сервер Глобального Каталога) – сервер Глобального Каталога – это контроллер домена, который знает о каждом единичном объекте, который существует в Active Directory, в каждом из доменов. Однако, он сохраняет только часть атрибутов каждого объекта, которые считаются наиболее важными. По умолчанию только один контроллер домена во всем лесу выполняет эту роль – первый контроллер домена, созданный в лесу.

Т.е. когда в лесу один домен, то информация о других доменах отсутствует, поэтому база ntds.dit содержит полную информацию о домене, ТАК ???
4)
Цитата:

Да всё верно - это настрой + обязательно бэкап. И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.

Значит я поднимаю DNS на BDC и ставлю галку Global Catalog на BDC и все готово для отказа одного из контроллеров ?
А как проверить в нерабочее время, точнее просто методика проверки:
а) Выключаю PDC и домен на BDC должен нормально функционировать
б) Выключаю BDC и домен на PDC должен нормально функционировать
ТАК ?

kibkalo

Цитата:

- В Active Directory Sites & Services разверни сайт, сервер, посмотри его свойства репликации и там поставь галку.

Да нету там вообще галок... можно по-подробнее?

ctolnik

Цитата:

3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.

Помогите найти эту галку

pazdak

Цитата:

Что нужно поставить: Global Catalog, DNS может еще что ??? Короче чтобы при падении PDC, второй не заткнулся, а обрабатывал пользователей, как будто ничего не случилось

Да вроде как все, но проверять полюбому нужно как говорит ctolnik

Цитата:

И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.

Цитата:

Значит я поднимаю DNS на BDC и ставлю галку Global Catalog на BDC и все готово для отказа одного из контроллеров ?
А как проверить в нерабочее время, точнее просто методика проверки:
а) Выключаю PDC и домен на BDC должен нормально функционировать
б) Выключаю BDC и домен на PDC должен нормально функционировать
ТАК ?

У меня ДНС развернут на двух
проверять можно и просто выдергиванием сетевого шнурка

das Rustle
Там, Там все раскрывай пока до конца не дойдешь, а именно NTDS Setting и вот там в Свойства и галочку Global Catalog

Вот цитата:
Чтобы проверить, не является ли контроллер домена сервером глобального каталога, выполните следующие действия.
1) Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — сайты и службы.
2) Дважды щелкните на левой панели пункт Сайты и найдите соответствующий узел или, если другие узлы отсутствуют выберите Default-first-site-name.
3) Откройте папку Servers и выделите контроллер домена.
4) В папке контроллера домена щелкните дважды пункт NTDS Settings.
5) В меню Действие выберите команду Свойства.
6) На вкладке «Общие» проверьте, установлен ли флажок Глобальный каталог.

Цитата:

Чтобы проверить, не является ли контроллер домена сервером глобального каталога, выполните следующие действия.
1) Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — сайты и службы.
2) Дважды щелкните на левой панели пункт Сайты и найдите соответствующий узел или, если другие узлы отсутствуют выберите Default-first-site-name.
3) Откройте папку Servers и выделите контроллер домена.
4) В папке контроллера домена щелкните дважды пункт NTDS Settings.
5) В меню Действие выберите команду Свойства.
6) На вкладке «Общие» проверьте, установлен ли флажок Глобальный каталог.

Наконец-то я ее нашел... спасибо

All
5) У меня DNS был только на PDC (Win2003), я поднял DNS еще на BDC (Win2000) оба интегрированные в AD. Все вроде нормально, только вот вопрос с _msdcs zone: Эта зона появляется если на контроллере стоит Global Catalog, ТАК ?
Если ДА, то тогда не будет конфликтов если я поставлю галку GC на BDC (Win2000), вот источник:
http://support.microsoft.com/default.aspx?scid=kb;en-us;817470

ОЙ читаю и, А Это еще что-такое:

Цитата:

After all the DNS servers in the forest root domain are running the Windows Server 2003 DNS Server service, configure your ForestName zone to be stored in an Active Directory-integrated domain-wide application partition. Similarly, configure your DNS records for the _msdcs.ForestName domain name to be stored in a separate _msdcs.ForestName zone that you store in an Active Directory-integrated forest-wide application partition.

Это что еще такое, что интегрировать DNS в AD можно только когда все DNS стоят на Win2003 ?

ПОЯСНИТЕ...

Не могу поставить дополнительный котроллер выдет следующую ошибку:

Цитата:

Операция не выполнена по следующей причине: Не удалось изменить необходимые свойства компьютера для учетной записи компьютера Х$
"Отказано в доступе"

В чем проблема? Может надо в политиках что-то изменить?

pazdak - В Q817470 речь идет о forest-wide partition
В 2003 днс может хранить интегрированную зоны на
1) всех контроллерах домена
2) на всех контроллерах леса
3) на всех днс серверах домена
4) на всех контроллерах домена включенных в данный партишен

В 2000 всегда все хранилось как в первом случае.
Если есть 2000 и 2003 контроллер в native 2000 mode то можно выбирать из 1-3
При приведении леса в Native 2003 mode становится доступной последняя опция.

PRiM
Дай результаты dcdiag и netdom - надо на ошибки посмотреть

kibkalo
dcdiag не запускается, ругается на ошибку в dll, а откуда можно слить netdom?

PRiM
Windows 2000 Domain Manager (Netdom.exe) - Это утилита из Support Tools

Цитата:

Use NetDom to:

* Join a Windows 2000 computer to a Windows NT 4.0 or Windows 2000 domain, and:
*** Provide an option to specify the organizational unit for the computer account.
*** Generate a random computer password for initial join.
* Manage computer accounts for domain member workstations and member servers:
*** Add, Remove, Query.
*** Provide an option to specify the organizational unit for the computer account.
*** Provide an option to move an existing computer account for a member workstation from one domain to another and maintain the security descriptor on the computer account.
* Establish (one or two-way) trust relationships between domains, including the following kinds of trust relationships:
*** from a Windows 2000 domain to an Windows NT 4.0 domain.
*** from a Windows 2000 domain to a Windows 2000 domain in another enterprise (an "uplevel" external trust).
*** between two W2K domains in an enterprise (a shortcut trust).
*** the Windows 2000 half of an interoperable Kerberos realm.
* Verify and\or reset the secure channel for the following configurations:
*** Member Workstations and Servers
*** BDCs in a Windows NT 4.0 domain
*** Specific Windows 2000 replicas
* Manage trust relationships between domains
*** View all trust relationships
*** Enumerate direct trust relationships
*** Enumerate all (direct and indirect) trust relationships

PRiM
А под какой учетной записью пытаешься это сделать?
Необходимо чтобы ты входил в группу Администраторы схемы и Администраторы предприятия. Иначе - всегда будет посылать...

А как прибить бывший контроллер домена?
Роли уже перекинул, глобальный каталог - благодаря вам, тоже.
Когда я пытаюсь убить его (бывший контроллер домена) он отмазывается тем что у него есть контейнеры и объекты и никак не могу прибить.
Где косяк, где править?

Никогда не убивай контроллер через AD Users & Computers если он еще есть.

Цитата:

dcpromo

тебе поможет. Запусти и демоутни

Бордовцы, совсем что-то плохо стало после убиения первого контроллера домена с интегрированным AD...
Все было хорошо, пока было два все было хорошо...
Первый был под 192.168.30.20, второй на конце 10
Первый я корректно удалил, как положено через dcpromo
Скажу сразу. что на втором я поставил айпишник первого, чтоб не ходить по всему зданию, да всем менять на 192.168.30.10 ДНС
И тут началось...
Обо всем по порядку.
Event Viewer
Категория System

Цитата:

Event Type:Error
Event Source:NETLOGON
Event Category:None
Event ID:5775
Date:23.01.2004
Time:18:51:22
User:N/A
Computer:DOMAIN
Description:
Deregistration of the DNS record 'e346b632-67f7-4adc-9b35-7840bf6bb7c4._msdcs.indexbank.com. 600 IN CNAME kib1.indexbank.com' failed with the following error:
The data is invalid.

Ругается на старый(первый) контроллер домена - kib1.indexbank.com
Потом тут же

Цитата:

Event Type:Error
Event Source:NETLOGON
Event Category:None
Event ID:5774
Date:23.01.2004
Time:18:47:46
User:N/A
Computer:DOMAIN
Description:
Registration of the DNS record '_gc._tcp.Default-First-Site-Name._sites.indexbank.com. 600 IN SRV 0 100 3268 domain.' failed with the following error:
The data is invalid.

Цитата:

Event Type:Error
Event Source:NETLOGON
Event Category:None
Event ID:5774
Date:23.01.2004
Time:18:47:46
User:N/A
Computer:DOMAIN
Description:
Registration of the DNS record '_gc._tcp.indexbank.com. 600 IN SRV 0 100 3268 domain.' failed with the following error:
The data is invalid.

В File Replication Service

Цитата:

Event Type:Information
Event Source:NtFrs
Event Category:None
Event ID:13516
Date:22.01.2004
Time:20:26:18
User:N/A
Computer:DOMAIN
Description:
The File Replication Service is no longer preventing the computer DOMAIN from becoming a domain controller. The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL.

Type "net share" to check for the SYSVOL share.

SYSVOL расшарено, все как положено - вовсе не понятно, откуда такая информация, что там проверять, когда все хорошо... я так понимаю, что хотя бы на это можно не обращать внимание

В DNS Server

Цитата:

Event Type:Error
Event Source:DNS
Event Category:None
Event ID:6702
Date:23.01.2004
Time:08:42:23
User:N/A
Computer:DOMAIN
Description:
DNS Server has updated its own host (A) records. In order to insure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update. An error was encountered during this update, the record data is the error code.

If this DNS server does not have any DS-integrated peers, then this error
should be ignored.

If this DNS server's ActiveDirectory replication partners do not have the correct IP address(es) for this server, they will be unable to replicate with it.

To insure proper replication:
1) Find this server's ActiveDirectory replication partners that run the DNS server.
2) Open DnsManager and connect in turn to each of the replication partners.
3) On each server, check the host (A record) registration for THIS server.
4) Delete any A records that do NOT correspond to IP addresses of this server.
5) If there are no A records for this server, add at least one A record corresponding to an address on this server, that the replication partner can contact. (In other words, if there multiple IP addresses for this DNS server, add at least one that is on the same network as the ActiveDirectory DNS server you are updating.)
6) Note, that is not necessary to update EVERY replication partner. It is only necessary that the records are fixed up on enough replication partners so that every server that replicates with this server will receive (through replication) the new data.

После этого увиденного я пошел в Мэнэдж ДНС, и там посносил все что было связано со старым контроллером домена... и ничего не помогло... где может собака зарыта??

В Directory Service

Цитата:

Event Type:Error
Event Source:NTDS General
Event Category18)
Event ID:1126
Date:23.01.2004
Time:19:40:08
User:Everyone
Computer:DOMAIN
Description:
Unable to establish connection with global catalog.

Хотя Глобал Каталог (стоит галочка) на втором и уже единственном контроллере домена
Здесь же и вот это

Цитата:

Event Type:Error
Event Source:NTDS Replication
Event Category5)
Event ID:1411
Date:23.01.2004
Time:19:40:08
User:Everyone
Computer:DOMAIN
Description:
The Directory Service failed to construct a mutual authentication Service Principal Name (SPN) for server domain. The call is denied. The error was:
A Service Principal Name (SPN) could not be constructed because the provided hostname is not in the necessary format.

The record data is the status code.

Как лечить - ума не приложу....

Что посоветуете?? что можно сделать...???
Самое интересное, что сеть живет своей жизнью... все хорошо заходят в домен, правда большинство компов сидят на вин98, но с правами все хорошо, но вот в логах уж слишком много красного, хотелось бы исправить, и понять где я ошибся, и как все это лечится
Хотелось бы услышать ваши вариации на тему исправления...

После того, как упал ГЛАВНЫЙ КОНТРОЛЛЕР домена, я перенес все роли на другие. НО!
Теперь не могу добавить НОВЫЙ КОНТРОЛЛЕР домена из за делегирования.

Цитата:

Ваши параметры безопасности не разрешают указывать, можно ли доверять этой учетной записи делигирование

Облазил все параметры безопасности, везде ПОЛНЫЙ доступ. Подскажите, что делать.

Поставь галку Account Is Trusted for Delegation
На аккаунте компа (а заодно и своего юзера можно)

kibkalo
Блин так я ставлю.
А точнее. Захожу в ADUaC, нахожу НОВЫЙ еще неКОНТРОЛЛЕР, свойства. Ставлю галочку Доверять компьютеру права представителя. Нажимаю применить. И получаю

Цитата:

Ваши параметры безопасности не разрешают указывать, можно ли доверять этой учетной записи делигирование

По моим проблемам никто не поможет?
Может как-то можно снести ДНС, да его заново настроить?
Как побороть репликацию?

Хорошая ветка, по всему инету такую инфу искал.
Вот такие вопросы по резервному контроллеру, думаю многим "чайникам" полезно будет знать:
1) Как настроить на резервном контроллере DNS и DHCP чтобы реплицировалось с основным контроллером?
2) Что такое DNS Server с primary zone и что такое "желательно Active Directory Integrated"?
3) Обнаружил у себя в DNS такую штуку как она ".", это нужно?

4) Уже было, но:
Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!!
как это понимать и чем это грозит?
Т.е. если у меня два контроллера домена и на каждом я поставлю галку ГК, то что будет с Infrastructure Master?

5) Еще непонятен момент с переносом FSMO ролей на BCD при удалении PCD, если просто при отказе основного контроллера всю работу подхватывает резервный, то на кой вообще на него переносить эти роли? Или он после перезагрузки если не найдет основной контроллер то работать не будет?

Pantalone
1) DNS - просто установить, главное, чтобы зона была AD Integrated и DNS Partition хранился на всех контроллерах леса (в 2000 так по умолчанию)
Чтобы заставить DHCP реплицироваться придется поднимать кластер. Так никто почти не делает (у меня стоит кластер, но упаси бог им быть контроллерами), так что просто два дхсп сервера раздают разные диапазоны из одной подсети, чтобы их базы НЕ пересекались. То бишь не стоит раздавать всю подсеть, лучше ограничить ее к-вом твоих хостов * 2. И отмечу отдельно, что DHCP на контроллере, очень некрасивая идея! (если речь не идет о сети из двух серверов и 20 компов)
2) Разница в хранении зоны. Праймари - в файле имя_яоны.днс, ад интегрейтед, та же песня, но хранится в АД и реплицируется вместе с ней. Более защащенная и ресурсоемкая штука. Рекомендую
3) Точка. Она же корень. Если твой домен корневой, то без нее никуда. Если видит инет, ставь roots другие днс.. Кто хостит "реальную" интернетную точку
4) Про GC есть два исключения..
Если почитаешь "корень зла" (майкрософт)
http://support.microsoft.com/default.aspx?kbid=223346
То поймешь, что если
а) В лесу ОДИН домен. то наплевать на инфраструктурного мастера, т.к. он все равно работать не будет (ну нечго ему, инфраструктурному делать в одном домене)
б) Если глобальный каталог есть на ВСЕХ контроллерах леса (сколь угодно большого), то опять все чуки-пуки. Именно это и есть рекомендованное решение для нераспределенных сетей (там где не страшен некоторый лишний трафик) - ибо максимально быстро все работает и меньше точек отказа..
5) Кто ОН "не найдет основной контроллер" ?
Если все (часть) роли были на контроллере А, при существующих В и С, затем А умер (выключили), то для клиентов (нормальных, а не НТ4 и 9х) ничего особо не изменится. Аутентификация и все такое будет проходить, главное, чтобы глобальный каталог был жив (смотри пункт выше и рекомендацию). НО ты не сможешь делать изменений в схеме, создавать новых объектов (на самом деле сможешь несколько штук, со скэшированными RID, но потом обломаешься), старые клиенты, использующи PDC Emulator не смогут жить,... В общем роли придется захватывать. Тут такая история - если отключние контроллера А запланировано, то роли необходимо перенести (transfer), после этого его можно выключить, а потом опять включить и перенести роли назад. Если контроллер А умер (или его неожиданно унесли), то роли придется захватывать (seize) - в этом случае майкрософт Категорически! не рекомендует возращать контроллер А в сеть без переустановки его..

вопросы есть?

kibkalo
Вопросов еще больше стало

1) Я правильно понял что если на резервном контроллере просто установить DNS ничего не настраивая, то она сама подхватит все настройки DNS основного контроллера? А на клиентах надо как-то прописывать этот вторичный DNS?

Насчет DHCP это наследие предыдущего админа, собираюсь полностью избавиться от него, контора не такая большая и IP можно прописывать ручками на клиентах, но волнует то как без него поведут себя сетевые принтеры, которые цепляются прямо к свитчу, как им IP тогда будет присваиваться? И волнует как юзеры из инета будут попадать на мой веб-сервер, им по идее тоже выделяется какой-то IP при обращении к моему веб-серваку?
Но все же если оставить DHCP, то как я понял нужно чтобы они раздавали IP находящиеся в разных диапазонах, которые между собой не пересекаются? А как быть с зарезервированными IP для некоторых компов, это придется все же прописывать на обоих DHCP? И почему бы DHCP не быть на контроллере домена, если там уже есть DNS?

2) Т.е. DNS нужно делать Active Directory Integrated и тогда она сама реплицируется на свежеустановленный DNS на другом компе?

3) Точка. Она же корень. Если твой домен корневой, то без нее никуда. Если видит инет, ставь roots другие днс.. Кто хостит "реальную" интернетную точку
Можно немного расписать это?

5) Значит если у меня вдруг временно вырубается основной контроллер (ну там БП полетел или еще чего), то НТ4 и 9х работать с сетью не смогут при наличии резервного контроллера? Работоспособность их на время отсутствия основного контроллера можно будет восстановить только при захвате резервным контроллером роли PDC Emulator, но тогда при починке основного контроллера учитывая в этом случае майкрософт Категорически! не рекомендует возращать контроллер А в сеть без переустановки его все пойдет вообще наперекосяк, т.е. лучше все же дождаться восстановления основного контроллера не захватывая роли? Но клиенты будут стоять все это время, как быть?
Еще, можно немного расписать как запускать перенос и захват ролей, какие утилиты или галки где поставить?

ЗЫ: досадно, купил две толстенные книги по W2k Server, но инфы обсуждаемой в этом топике там нету

1) Если ты на второй контроллер ставишь днс, при условии, что зона у тебя на первом АД интегрейтед, то при добавлении зоны, он ее возьмет из АД. Пробуй ручками..
2) Сама рееплицируется если там создашь одноименную
3) Книжки
4) Читать HELP по утилите NTDSUTIL - можно на офсайте. Все в ней.

я просто для инфы добавлю, народ забудте про NT4 нету никаких pdc bdc, все контроллеры в одном домене главные, просто есть 5 ролей котрые на кого-то возложены плюс GC. поймите это и некоторые вопросы отпадут

Alexgg
Из-за этих 5-ти ролей как раз и весь сыр бор и все вопросы, если при пропадании контроллера-держателя этих ролей другой контроллер не может полноценно поддержать домен, то это уже не равноправие, а какое-никакое pdc bdc.
Да еще с DHCP так и не понял, придется толстенные толмуды читать, придется на кучу других вопросов на это время забить

Pantalone - про роли читать и читать, а что непонятно про дхсп ???
он НЕ УМЕЕТ реплицироваться!
Если у тебя сеть 192.168.0.0/16 и всего 500 машин, то удобнее на первом дхсп раздавать адреса из диапазона 192.168.1.1 - 192.168.4.255 (исключить 192.168.2.0, 192.168.3.0, 192.168.4.0), а на втором раздавать адреса из диапазона 192.168.5.1 - 192.168.8.255 (исключить 192.168.6.0, 192.168.7.0, 192.168.8.0)
Это было для ПРИМЕРА!
При этом они нормально существуют параллельно и если один сдохнет, никто ничего не заметит

kibkalo
Это я и пытался выяснить, спасибо!
Еще бы узнать зачем исключать вышеозначенные адреса, вообще бы радости моей не было предела

Pantalone - реализация DHCP у Microsoft раздает адреса с нулями на конце. То есть комп может получить адрес типа 192.168.2.0/24 - что в принципе есть сеть... Слишком много проблем с такими случаями - потому и рекомендую исключать. В книжке наверное такого не порекомендуют.

Насколько я понял, нежелательно держать DHCP сервер на AD контроллере. С чем это связано и какие могут быть глюки?

хорошая статья по ролям находится на
http://i2r.rusfund.ru/static/380/out_9937.shtml#16
Типовые задачи администрирования сети Windows 2000

AlexSSS - нежелательно по причине невысокой безопасности сервиса DHCP (при закручивании гаек он не будет работать), а для онтроллера безопасность превыше всего. К тому же на контроллеры действуют отдельные политики и раздются специальные права - не следует давать право локльного общения с контроллерам dhcp администраторам.

Про статью же скажу, что для новичка оно может и ничего, но больно по детски написана. Автор не копал глубоко в рекомендации от микрософта, путает цели глобального каталога и инфраструктурного мастера, пишет лишь словами из поверхностных документов. Если же копнуть технет глубже, всплывают интересные моменты (типа размещения глобальных каталогов на ВСЕХ контроллерах односайтового домена). А уж идея о том, что мастер схемы и домена нахрен не стоит восстанавливать, если не собираетесь заводить новых доменов звучит глупо.

kibkalo, спасибо

PS. Спасибо всем участникам ветки, на днях ставил свой первый AD, ветка здорово помогла понять какие-то вопросы