» Создание второго "равноправного" контроллера домена

Цитата:

нежелательно держать DHCP сервер на AD контроллере

У меня стоит и не жужжит.

Pantalone - а я и не говорил, что это невозможно.
Небезопасно. Видимо нет у тебя в сети хитрожопых юзеров, которые очень хотели бы стать домен-админами...

Проблема с переносом Schema Master на другой контроллер - через оснастку "Active Directory Schema"-->"Operation Master" кнопка Change задисейблена при выборе любого контроллера

Проблема решена - я под доменным администратором, который ставил AD с нуля, оказался просто не включен в группу Schema Master.
Такой неблагодарности я от AD не ожидал ;o)

В домене 4 контроллера
2 BDC Windows NT 4 SP6a
2 Windows 2000 Server

где-то с периодичностью раз в сутки нарушается репликация лицензий на контроллеры Windows NT
Event ID 213 "Replication of license information failed because the License Logging Service on server \\Server could not be contacted.", после чего это сообщение выдается каждые 15 мин

на NT4 серверах это происходит в разное время, помогает перезагрузка LLS на этих серверах.

При попытке добавить сервак с 2003 в качестве второго контроллера в домен (первый на 2000) получаем:
Цитата:

The operation failed because: The Active Directory Installation Wizard was unable to convert the computer account SECOND$ to a domain controller account. "Access is denied."

Я уже админа подобавлял во все какие смог административный группы не помогает
схему расширил - никакого эффекта,
куда копать подскажите!!!

Народ, выручайте.
Есть контроллер домена 2000 сервере. Поставил второй КД на 2003 сервере. Перенес актив директори, 5 хозяев, глобальный каталог. Но НИКАК не могу перенести ДНС или создать новый. Все время выдает ошибку.
Нельзя провести анинстал первого КД. Пишет, что не видет других серверов.
Все компы входят в сеть нормально. Но как только вытаскиваешь сетевой провод из 2000, на компы становится невозможно зайти.
Как мне заставить ДНС заработать?! Посоветуйте, пожалуйста!

PRiM
1) На ДНС 2000 зона АД интегрированная? Сделай обычную (не интегрированную)
2) Разреши в свойствах Zone Transfer брать зону всем (на время)
3) На ДНС 2003 создай одноименную праймари НЕинтегрированную зону. Останови сервис. С систмы 2000 скопируй файл \WINNT\system32\dns\ZONE.dns (ZONE переименуй в имя твоей зоны) на машину 2003 в \WINDOWS\system32\dns\ZONE.dns
Стартани на 2003 днс сервис
4) Скажи клиентам использовать 2003 как днс (возможно надо поправить DHCP)
5) останови днс на компе 2000, выключи его
6) если все ок, то переведи зону 2003 в интегрированную и вуаля

Как перенести AD со старого доменконтроллера на новый?
На основном серваке умерла мать, поднят запасной доменконтроллер щас бы надо как то скопировать AD со старого винат на новый DC, как енто можно сделать?

Имеем главным контроллером 2003 сервер, поставил дополнительный контроллер на 2000 сервере.
Перенес все роли с 2003 на 2000 кроме PDC по причине полного зависа ntdsutil при выполнении переноса PDC. Что делать прям не знаю...

Все эти телодвижения по необходимости поменять железо на 2003 серваке, снова поднять 2003 и сделать сервер снова главным.

Спасите... Посоветуйте
Много лет жил на нт4, а тут такая беда с новыми софтверными веяниями...

Цитата:

по причине полного зависа ntdsutil при выполнении

Ты что роли силой переносил?

Student1 - в отсутствие основного ты в принципе не можешь поднять второй - толькл завести новый контроллер нового леса. Если на момент смерти у тебя был один контроллер, то ищи аналогичную мать, чтобы заставить тот комп загрузиться, по другому без вариантов. Если второй уже был на момент смерти первого, то надо только захватить на нем роли. Когда достанешь новую мать заново поставишь на первом винду, сделаешь его контроллером (типа третим) и перенесешь (а не захватишь) роли назад.


Koshak - еще раз запустить ntdsutil желательно на 2003 контроллере. соеддиниться из него с 2000м, и перетянуть. Если не перетягивается мягко (transfer) то роль придется захватить жестко (seize)

P.S. Если не получится, то и забей, роль эта не особо важна при отсутствии старых клиентов, ежели время замены желаеза небольшое (день), то просто на новом железе поднимешь контроллер, перенесешь на него все роли, а PDC естественно захватишь

Именно с 2003 и делал, соединяясь с 2000
Большая часть клиентуры на nt4ws, остальные на 2k и ХР
4 роли трансфером нормально утащил, а для пятой и Seize PDC не помогает...
Спрашивает типа ВЫ ХОТИТЕ....? Отвечаю ДА, получаю в ответ Attempting safe transfer of PDC FSMO before seizure и тишина... Далее помогает только CTRL+C

Видимо таки придётся носиться по всему заводу высунув язык и настраивать клиентов...

Не, попробуй сначала повторить это же в NTDSUTIL на 2000.
Если не поможет можно через ADSIEdit вручную перетащить, хотя для крупного домена я бы не стал такое делать

Пробовал, аналогичная картинка
Машин немного... ~40, но радости сЁравно мало...
Про ADSIEdit можно поподробнее? Я пока с АД на ВЫ...

Проблема хоть и не аналогичная, но новую тему создавать наохота.

Загнулся сервер с контроллером домена, подняли другой с другим именем. Теперь при логине пользователей вылазит ошибка:

Цитата:

Тип события: Ошибка
Источник события: SAM
Категория события: Отсутствует
Код события: 16650
Дата: 06.09.2004
Время: 12:57:04
Пользователь: Нет данных
Компьютер: XXX
Описание:
Не удалось инициализировать распределитель идентификаторов учетных записей. Запись данных этого события содержит код ошибки. Система будет пытаться выполнить инициализацию, пока она не будет выполнена успешно, а до тех пор создание учетных записей на этом контроллере домена будет запрещено. Посмотрите другие записи событий SAM в журнале событий, которые могут указывать истинную причину этой ошибки.
Данные:
0000: a7 02 00 c0 §..A

Так же не могу сменить хозяина операций для RID:

Цитата:

Текущий хозяин операций находится в автономном режиме, нельзя передать роль.

PDC и инфраструктура сменили хозяина нормально.

Никто не сталкивался?

P.S. Забыл добавить, всё на w2k.

kibkalo

Цитата:

1) На ДНС 2000 зона АД интегрированная? Сделай обычную (не интегрированную)
2) Разреши в свойствах Zone Transfer брать зону всем (на время)
3) На ДНС 2003 создай одноименную праймари НЕинтегрированную зону. Останови сервис. С систмы 2000 скопируй файл \WINNT\system32\dns\ZONE.dns (ZONE переименуй в имя твоей зоны) на машину 2003 в \WINDOWS\system32\dns\ZONE.dns
Стартани на 2003 днс сервис
4) Скажи клиентам использовать 2003 как днс (возможно надо поправить DHCP)
5) останови днс на компе 2000, выключи его
6) если все ок, то переведи зону 2003 в интегрированную и вуаля

Спасибо. Проблемы у друга были я ему написал. Вроде даже он ДНС запустил, но вот старый 2000 контроллер никак ни анинсталить, не видит он 2003. И хозяев обратно на 2000 не перенести, вместо имени 2003 отображается ERROR.

PRiM - если на 2003 заработал ДНС, то клиенты смогу работать без 2000 (проврь)
А сие значит, что выдергиваешь провод из 2000 и говоришь dcpromo /forceremoval и оно сносится нх даже не видя АД

kibkalo
Проверим, но если все будет стабильно работать,
Цитата:

dcpromo /forceremoval

не понадобиться...
format c:
и с ним покончено!

PRiM
Да. А на 2003 ты его из АД удалишь, благо вин2003 сам почистить умеет остатки старых контроллеров

Проблема однако. 2003 и 2000 только в связке пашут.

PRiM DNS поднял на 2003? Далее перетянешь ВСЕ роли на 2003. Ставишь клиентам использовать 2003 как днс сервер. Делаешь 2003 глобальным каталогом. Выключаешь 2000. Если что-то не работает, то давай конкретезируй, а то я тут больше пишу чем ты

Роли и глобальный каталог давно перенесли. Днс вроде запахала. А вот 2000 не видит 2003.

Такой вопрос. Поставил на один комп основной контроллер домена Win2003, на второй - дополнительный контроллер домена тоже на 2003.
В принципе, все работает, только когда со второго контроллера пытаюсь зайти в "Политика безопасности домена", "Политика безопасности контроллера домена" - пишет, нет прав доступа.
То же самое пишет, когда через mmc пытаюсь зайти на "Управление компьютером" на компах домена. А в первых контроллер оно меня пускает.

как это лечится?
Спасибо.

Есть такая ситуация
есть основной контролер домена (дико кривой (каюсь - мои эксперементы, знаю что нельзя - но для конторы надо было)про всем при том еще и на железо ругается, проверил железо все ОК просто винда после нескольких падений сильно окривела, то есть можно сравнить с ситуацией что PDC просто умер и его не поднять) - PDC
есть второй контролер (на нем роутер второй ДНС) (этот сильно ровнее - но машина средненькая) - BDC
Задача следущая -миграция на 2003 сервер, но не сразу а постепенно, сначала надо начистовую переставить PDC потом поверх (если получится ровно - BDC)
вот и как это сделать?
Если я все правильно понял то
1. Отключаем от сети BDC (но интерфейсы должны работать)
2. Запускаем на BDC adprep /Forestprep
3. смотрим логи и если все нормально запускаем ADPREP /Domainprep
4. Включаем его в сеть
5. Инсталим 2003 сервер (уже проинстален-есть имидж) запускаем dcpromo - ставим AD
6. Ждем окончания репликации
7. и????????????????????
Все должно заработать? или как? что может еще понадобится
Поправте в чем я не прав
и если надо продолжите список действий!!

Самое последнее действие через какое то время (если все прошло успешно)
- ставим нав BDC 2003 сервер
P.S. Я знаю что нет в 2000 и 2003 PDC и BDC но писать -главный и чуть-чуть главнее и дольше и рука не поднимается

Все получилось!!!!!!!!!!!
Если интересно напишу пошагово

BigBear
Давай по шагам, тоже думаю на 2003 домен переводить, но вот боюсь его трогать, домен уже не один год пашет, если накроется, боюсь не смогу поднять.

0.ДЕЛАЕМ ПОЛНЫЙ БЕКАП СИСТЕМЫ обоих серверов(я делал акронисом для северов)
1. подключаем GC на втором контролере
2. через остнаски AD передаем второму все 5 ролей (описано на второй странице этого топика)
RID; Infrastructure; PDC передаются через оснастку Active Directory Users and computers тыкаешь правой кнопокой мыши по домены выбираешь Operation Master; Domain Name Master через оснастку трастов проделываешь тоже самое Schema master через оснастку Active Directory Schema. Как сделать через ntdsutil подробно описано в хелпе, вызываешь виндовый хел выбираешь поиск и вбиваешь в нём FSMO.
Огромное спасибо ctolnik
(Пункт два делал два раза - сервак вешался намертво, уж очень кривой был, поднимал из бекапа и снова повтор)
2а. Выводим из домена контролер (тоже подвис - снова востановление)
3. Отключаем от сети BDC (но интерфейсы должны работать)(выдернул все шнурки из свича за исключением сервера
4. Запускаем на BDC adprep /Forestprep
5. Запускаем dcdiag - смотром , так же смотрим логи adprep
6. Включаем его в сеть , запускаем ADPREP /Domainprep
7. Инсталим 2003 сервер запускаем dcpromo - ставим AD
заводим его вторым контролером
8. Подымаем DNS интегрированый в AD
9. Забираем роли обратно как и в пункте 1
10. Самое нудное - ловим блох от миграции
На все про все половина субботы и половина воскресенья, ловля блох самое нудное и долгое занятие
P.S. без адмпака и саппорт тулзов не разобратся
И спасибо всем в этой ветке: Мужики без вас я бы не смог

BigBear
Насчет бэкапа системы, ты о какой системе, какой бэкап, диск целиком или партицию? Актив директори тоже в бэкап? А восстановить не пробовал, может он и не работает бэкап этот, это очень важно между прочим, отработка бэкапа.

Pantalone
Бекап системной партиции всех контролеров, AD у нас на системной партиции крутится значит и он бекапится
Я же написал что приходилось востанавливать из бекапа - все было нормально, прошли репликации нормально!

Народ, есть проблема. Заинсталил новый сервер 2003. Перенес на него домен со старого сервера 2000. Перенес ДНС. Все как положено. Настроил Терминал сервер. Тоже работает. С помощью dcpromo вывел старый сервер 2000 из разряда контроллеров. Уж было обрадовался что все прошло чисто и гладко, но тут вспомнил что на старом сервере у меня DHCP стояло. Решил что надо как-то его перетащить на новый сервер.
И тут меня постигла неудача.
1. При попытке установить DHCP сервер на 2003 процесс установки прерывается и в журнале появляется запись:
An error occurred which prevented the Dynamic Host Configuration Protocol (DHCP) component from being installed or removed. The error was "The data is invalid".

2. Каким образом, в случае если с помощью добрых людей я решу первую проблему, мне перенести базу DHCP на новый сервер.