» Создание второго "равноправного" контроллера домена

Извините если подобное где-то было, но не удержался...
Вот уже создан один контроллер домена knure45.com, все бы хорошо, но за последнюю неделю вылетело две такие же машины, как и та, на которой стоит домен.
Вот нужно подстраховаться - выделили новую машину, все хорошо. Каким макаром теперь развернуть второй контроллер домена который бы полностью смог заменить первый. Вплоть до того, чтоб можно было первый домен вообще выключить, перебить ОС под пользователя и отдать эту машину на растерзания юзверам... А второй оставить в серверной.
Вообще возможно ли делать равноправный второй домен с тем же именем knure45.com? Или все равно прийдется подключать второй домен к лесу первого? Где можно о таких ситуациях почитать?
Или вообще как лучше сделать, подскажите?

зачем
Цитата:

равноправный второй домен

?
подними
Цитата:

второй контроллер домена

(этого же домена). если упадёт первый - попробуй восстановить его. если не получится - схвати 5 ролей на втором контроллере и вычисти на втором информацию о первом с помощью ntdsutil

то же имя не обязательно для функционирования, достаточно чтобы на втором находился Global Catalog и чтобы у клиентов вторичный DNS смотрел на него, это как минимум.

2 lek

Цитата:

зачем
равноправный второй домен

Причина просто - со временем первый домен вообще снесется(убьется) - поставится туда вин98 и поставится на стол кассиру или еще кому-то там... вообщем конечному пользователю. Поэтому я и хочу, если так можно, создать второй домен так, чтоб по выключению из питания первого -- всё осталось работать! Или так сделать нельзя?


Цитата:

подними
второй контроллер домена
(этого же домена).

Тобишь это делать Additional domain controller for an existing domain, а потом вот это
Creat a new child domain in an existing domain tree?
Просто что делать потом, чтоб безболезненно все перенеслось (среплицировалось) на новый и выключился первый?


Цитата:

схвати 5 ролей на втором контроллере и вычисти на втором информацию о первом с помощью ntdsutil

вот это что-т для меня совсем «темный» лес… Надеюсь на вашу, бордовцы, помощь

уу запущено как усё.
Да первый пункт верен, а вот создавать new child domain не стоит.

das Rustle
1. Клиент W2k Pro/XP может быть членом только одного домена
2. "Creat a new child domain" ну будите вынуждены бороться с двумя доменами, а хорошо ли это?
3. "Additional domain controller for an existing domain" вот на этом похоже нужно остановиться


lek махонькое замечание .... ролей 6, а так все

SurfKoba


Цитата:

"Creat a new child domain" ну будите вынуждены бороться с двумя доменами, а хорошо ли это?

я вот чего не пойму. например есть 2 домена в лесу или домен и дочерний домен. юзер из одного домена, заходя на компьютер в другом домене, всё равно же проходит аутентификацию на контроллере своего домена. так что если этот контроллер будет недоступен, юзер не сможет аутентифицироваться. так или нет? если да, тогда

Цитата:

создать второй домен так, чтоб по выключению из питания первого -- всё осталось работать!

такая конструкция не будет работать


Цитата:

ролей 6

ролей FSMO - 5

shema master
domain naming master
PDC emulator
RID master
Infrastructure master


GC может быть на каждом контроллере в домене

lek
+ GC - с такой формулировкой 100% согласен
"не будет работать" - да как бы и не должна, а я где то ратовал за еще один домен, вроде нет ... подписался под вашими словами о том доп контроллер разумнее, или чего не понял в вопросе? Два (а в реалиях на forest-е обычно больше : root и филиалы например) домена это удвоение головной боли (репликации+роли+синхронизация ... etc) и идти имеет смысл только при необходимости
И еще совершенно не хочется под новый год спорить C наступающим

Цитата:

уу запущено как усё.

да-а-а, я бы сказал да-а-а-а
Дак что же делать?
Цитата:

2. "Creat a new child domain" ну будите вынуждены бороться с двумя доменами, а хорошо ли это?

или
Цитата:

3. "Additional domain controller for an existing domain" вот на этом похоже нужно остановиться

Щас вот кинулся, а на этой новой, купленной машине сетевая не работает Отнес в гарантийку. Но по ее возвращению нужно ж будет ковырятся

SurfKoba
lek
Где эти роли можно поглядеть? изменить? Ага, запускал я ntdsutil и там видел роли
я так понял что там по йес\ноу проставляешь их? да?

das Rustle
netdom query fsmo - поглядеть
Перенос Using Ntdsutil.exe to Seize or Transfer FSMO Roles to a Domain Controller Seize по злому (тот у которого забрали потом в печь), Transfer по доброму

вообще то ролей 5, GLobal Catalog не имеет никакого отношения не имеет.
Хочу не согласится если выпадет первый DC а есть второй который имеет на борту DNS и Global Catalog всё будет работать, так что можно совсем не заморачиватся.
Через NTDSUtil не стоит это насильственный метод это если первый домен имеющий эти роли безвозвратно помер. Так они передаются слудщим образом:
RID; Infrastructure; PDC передаются через оснастку Active Directory Users and computers тыкаешь правой кнопокой мыши по домены выбираешь Operation Master; Domain Name Master через оснастку трастов проделываешь тоже самое Schema master через оснастку Active Directory Schema. Как сделать через ntdsutil подробно описано в хелпе, вызываешь виндовый хел выбираешь поиск и вбиваешь в нём FSMO.

Значит если разворачивать
Цитата:

3. "Additional domain controller for an existing domain"

и выключить питание на первом --- работать адишинал домен не будет, тобишь работа сети на этом адишинале не получится?

das Rustle

Цитата:

Где эти роли можно поглядеть? изменить?

http://support.microsoft.com/default.aspx?scid=kb;en-us;255690

ctolnik
"есть второй который имеет на борту DNS и Global Catalog" - Sorry Ну не совсем так ... умрет PDC Emulator клиенты pred-W2k в домен не попадут. Кроме того Transfer NTDSUtil ничем ни отличается от transfer через gui по последствиям (опять жеж backup никто не отменял)

SurfKoba

Цитата:

netdom query fsmo - поглядеть

по этому я ничего не увидел. за линк спасибо
эх... запутался я совсем

Добавлено
ooptimum
спасибо за линк

das Rustle
"Не увидел" как ?
"Запутался" да нет в ролях ничего фатально книжка (Зубанов например) ms - линки которые вам уже дали + FSMO Placement and Optimization on Windows 2000 Domain Controllers + Windows 2000 Active Directory FSMO Roles почитайте на первый случай сойдет.

Дак все же? что выбирать при dcpromo.exe?
Domain Controller Type
Domain controller for a new domen
Additional domain controller for existing domain

Здесь я уверен, что второй вариант, дальше
Create Tree or Child Domain
Create a new domain tree
Create a new child domain in an existing domain tree

Здесь я не в чем не уверен
Create or Join Forest
Create a new forest of domain trees
Place this new domain tree in an existing forest

Здесь уже все зависит от выбора
Цитата:

Create Tree or Child Domain

Потом по идее будет спрашивать какое имя вводить - Можно ли будет писатьknure45.com (см. мой первый пост)
Ох, расскажите что нужно выбирать из того что я отписался по порядку... когда разворачиваешь второй контроллер домена.

das Rustle
(вчера под коньяк sorry давать советов не хотелось, и так местами винные пары преобладали над разумом )
"что нужно выбирать" - Так вроде ж договорились домены не плодить исходя из этого - Additional domain controller for existing domain и соответственно 2003 - To create an additional domain controller 2000 - Installing an Additional Domain Controller for an Existing Domain из HOW TO: Promote and Demote Domain Controllers in Windows 2000 возможные проблемы с DNS тут
А у вас судя по "Create Tree or Child Domain" выбрано таки не второе а первое (Domain Controller for a New Domain вместо Additional domain controller for existing domain)

SurfKoba
Спасибо за линки, по возвращению компутера с гар. ремонта начну ковырять...
Но вопросы еще появятся...

das Rustle
Купите Зубанова AD подход профессионала часть отпадет и это ... не отягощайте праздники, пертрубации начинайте после нового года.

Развернул таки я Additional domain controller... Все хорошо, перенеслись тут же все юзеры на этот Эдишинал, но вот сейчас, когда на первом добавляешь юзеров, они не реплицируются на второй... где надо что-т подправить, что данные среплицировались? А то я что-то не найду...

Смотри в логи репликации там должно быть написано в чём проблема.

Цитата:

Смотри в логи репликации там должно быть написано в чём проблема.

Поглядел и устранил
Репликация заработала Эт я экспериментатор накуралесил, вернул все в зад - и все стало хорошо!
Теперь "проблема" другого характера. Первый домен нужно изничтожить и оставить на работе пока тот второй... но так что он был главный! Я так понимаю, что роли нужно будет переносить, вот этим чичас и будем заниматься

2 das Rustle выражайся коректнее домен или контролер домена?
Если второе то роли + ГК + DNS. И желательно коректное выведение с помощью dcpromo.

ctolnik

Цитата:

выражайся коректнее домен или контролер домена?

(принял к сведению) я имел ввиду контроллер домена...
Перенес я роли, работают еще два компьютера(два контроллера домена). На одной из машин в качестве одного днс сервера поставил второй домен(который впоследствии останется один) и в сетевом окружении вижу только его и тот первый контроллер домена... даже себя нет...
Конечно, когда набираешь \\имя_компьютера -- на него заходишь, но это же не выход
На первом контроллере домена все было хорошо, и в сетевом окружении все было...

Цитата:

ГК + DNS.

ДНС развернуто на втором контроллере а вот что таке ГК? я что-то не понял, может в нем и проблема? подскажите...

Если в итоге должен остаться ОДИН контроллер домена, то на нем должны быть установлены:
1) DNS Server с primary zone (желательно Active Directory Integrated)
2) Все 5 ролей FSMO
3) ГК, он же GC, он же Global Catalog (галка ставится в AD Sites & Services)

После того как эти требования выполнены на остальных контроллерах при помощи dcpromo нужно убрать AD (сделать обчными серверами а не контроллерами)

Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!!

Удачи

Цитата:

1) DNS Server с primary zone (желательно Active Directory Integrated)
2) Все 5 ролей FSMO

это сделано
а вот
Цитата:

3) ГК, он же GC, он же Global Catalog (галка ставится в AD Sites & Services)

эту галочку я не могу найти, не подскажете где ее именно нужно поставить?

С этим

Цитата:

в сетевом окружении вижу только его и тот первый контроллер домена... даже себя нет...

я разобрался, ДНС заново перенастроил(точнее настроил, он как оказалось вовсе был не настроен ) и компы появились в сетевом окружении, так что этот вопрос снят с производства

das Rustle -
Цитата:

эту галочку я не могу найти, не подскажете где ее именно нужно поставить?

- В Active Directory Sites & Services разверни сайт, сервер, посмотри его свойства репликации и там поставь галку.

All
Вы тут обсуждаете актуальную для меня тему, и поэтому хочу уточнинь несколько вопросов:
Немного о себе:
1) Есть сеть из 100 компьютеров на Win2000/XP
2) Поднят домен: mydomen.ru (Домен один)
3) В домене два контроллера домена: PDC (Win2003) и BDC (Win2000) оба в Native mode
4) Все роли находяться на PDC включая Global Catalog
5) DNS интегрированный в AD поднят на PDC

Хочу понять следующее:
1) Так ли что, контроллер домена Win2k3 не может быть в Native mode до тех пор, пока в сети существуют контроллеры домена Win2k.
Тогда почему: просматриваю свойства домена в AD Users and Computers он мне четко пишет:
Domain Functional level:
Windows 2000 native
Ну и в каком режиме домен ?

2)

Цитата:

Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!!

У меня сейчас все вместе и вроде все работает корректно, нужно ли переносить Infrastructure Master на PDC ?

3) И вообще правильно ли я понимаю, Global Catalog это сокращенная база всего леса, а когда у меня один домен, то нет большой роли где он стоит, т.е. при падении PDC, где GC и находиться, у меня сеть не встанет, просто нужно будет поставить галку Global Catalog на BDC и на этом успокоиться (для начальной работоспособности) ??? Поясните, а то информации по GC много, но не догоняю до конца сути...

4) В случае падения PDC (Win2003) у меня вся сеть встанет (backup пока не берем во внимание), так вот хочу услышать ваше мнение по поводу дополнительной настройки на BDC ???
Что нужно поставить: Global Catalog, DNS может еще что ??? Короче чтобы при падении PDC, второй не заткнулся, а обрабатывал пользователей, как будто ничего не случилось

2 pazdak
1) У 2003 есть режим поддержки домена с контролерами 2000, и домен где все контролеры 2003. В 2000 сервере тоже самое смешанный с контролерами от NT 4.0 и Native где только 2000 или 2003. Если ты на 2003 ничего не нажимал о смене режима то у тебя натив 2000
2) Необязательно
3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.
4) Да всё верно - это настрой + обязательно бэкап. И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.