» Обновление (upgrade) Win2000 srv до Win2003 (AD)

Работает сервер на Windows 2000 Server, на нем AD, DNS, файлы.
Какие подводные камни есть при обновлении на Win 2003 Server, необходимо сохранить группы, пользователей и настройки.

Есть ли у кого реальный опыт по обновлению.

---

также смотрите темы
ошибки DCDiag после обновления Win2000 до Win2003
Как перенести AD с Win2000 на Win2003

у меня есть реальный опыт
если у вас всего один DC то никаких проблем не будет, у меня все прошло очень гладко.

если у вас в сети куча форестов, доменов и т.д. то обратите внимание на DC Security Policy

советую почитать вот это
http://support.microsoft.com/default.aspx?scid=kb;en-us;555040

там описаны ошибки и есть рекомендации как и что сделать.

Было два контроллера 2к.
Сначала оставляется один (мастер), второй сносится из контроллеров, а потом переставляется. Делается контроллером и мастером, второй сносится из контроллеров и переставляется. Ну и наконец, второй тоже делается контроллером. Таким образом AD постоянно сохранялась на коком-то из контроллеров, т.к. их два
В заключении необходимо сделать Rise Domain Function Level до структуры 2003-го сервака.

сеть простая - контроллер один

abzac
Ну тогда и карты в руки !
Делай простой апгрейд до 2003. База активки останется в целости и сохранности.
Ну и как уже говорили
Цитата:

Rise Domain Function Level до структуры 2003

Успехов !

наступил критический момент, попробовал сделать upgrade c 2000 до 2003.
1. подготовил лес
2. подготовил домен
3. обновление происходит как часы
все работает нормально
начинают ставить обновления, windowsupdate находит 18 критических, начинаю ставить:
1. некоторые обоновления очень долго ставятся
2. после перезагрузке машина подвиса не доходя до логина - черный экран и мышка
3. еще раз перезагрузка - сообщение что сервис на стартовал, логин появляется входим
смотрим, сервис Workstation не стартовал, вручную не заводится с сообщение об ошибке
попробовал вручную поставить обновление KB820x35, тот же результат ставится долго и в после перезагрузки зависает

опыт проделывал два раза, результат одинаков
что за обновление, которые так закрывают дырки

пожет поднять второй временный контроллер кинуть в него AD, поставить нормальный с нуля, и вернуть назад...
если так, то какой лучше контроллер делать на 2000 или 2003?

abzac - на будущее - НИКОГДА не надо апдейтить винду если нет яркой необходимости. Просто добавляешь второй контроллер на 2003, переносишь на него все что можно и сносишь первый. Апгрейд нужен только с НТ4 и то после этого очевидный шаг заточка второго контроллера и снос проапгрейженного.

inQui

Цитата:

Делается контроллером и мастером

как? можешь детально описать?КАК перенести основной контролер домена с одного сервера на другой?

SeT


в двух словах - береш комп - ставиш на него 2003 сервер (типа сервер 2).

далее делаеш его дополнительным контроллером домена в соществующем домене.

Потом убедившись что в журналах нет ошибок репликации данных (и убедившись визуально - глядя в актив директори (сервер2 ) чтоб она не была девственно чистой), понижаешь роль сервера 1 до изолированного

опять - порверя логи кладешь сервер 1 и все..

! - Бекап сервера 1 полный обязательно (сист. раздела)
! - время на репликацию при добавлении сервера от 20 до 60 минут (ИМХО)
! - времы на понимание сервера 2 что он стал сервером 1 где-то такое-же


если ты в чем-то не уверен не берись (делай на выходных чтоб время на откат было)

почитай про передачу ролей - (fsmoroles, ... )

ZZYbeR
А как же утилитка от Микрсофт - dcpromo?
На сколько я понял она подготавливает AD в 2000 к переходу на 2003?

vworld

НЕТ - dcpromo это мастер установки AD (использовать будешь когда :: понижаешь роль сервера 1 до изолированного).

для того чтоб 2003 понял AD 2000 используется ADPREP (http://www.petri.co.il/windows_2003_adprep.htm)

Кстати когда добавляеш сервер 2 (2003) к домену под управлением сервера 1 (2000) он вполне понятно те об этом скажет

такс значица как я понял делаем так:

Есть сервер1 (основной на 2000) и сервер2(дополнительный контролер тоже на 2000) ...если я понижаю роль сервера1 (server) до изолированого..переименую его например в server2 , а на его место ставлю сервер3(новый на 2003) с именем server и его айпи..цепляю на него АД (домен к переходу на 2003 готов) то все должно заработать? А как сделать из этого нового сервера3 основной контролер домена..или при установки АД он сам таким станет?

SeT Наверно проще отказатся от дополнительного сервера.

ты как раз второй сервак сделаешь изолированым (dcpromo - исключиш из домена) и поглядишь не поплохело ли основному (логи репликаций как себя поведут, и в AD во вкладке где контроллеры должен быть тока один)

а потом вместо него пихаешь новый 2003. Сам он основным не станет - ты на старом основном (2000) запустиш dcpromo и сделаешь его изолированым.... вот после этой операции он передаст все права на домен новому 2003

Насчет имен - я бы не стал называть сервак как предыдущий, придумал бы оригинальное (ИМХО) - то есть не доводилось

так же не меняй IP после установки сервера


ЗЫ: чет я подумал - а попробуй с основного начать - только бекап основного и дополнительного ОБЯЗАТЕЛЬНО

ЗЗЫ: сам вообщем все взвесь и обдумай... ))

ZZYbeR

Цитата:

отказатся от дополнительного сервера.

не могу я отказаца от второго..он у меня как файрволл и роутер и инет

Цитата:

не стал называть сервак как предыдущий

Цитата:

так же не меняй IP после установки сервера

так мне на 150 машинах все ссылки менять чтоли?..вся фица в том чтоб новый сервак на 2003 стал основным контроллером с именем и айпи старого 2000 сервака

почему то я об этом и подумал


хех чет писарь с мя никакой....

ты понимаеш, что шары и права на новом сервере тоже ручками надо будет выставлять? или я не прав?? Хотя даже это проще чем у юзеров новое имя прописать ха-ха

в принципе я тестил на VmWare разные ситуации (тож надо было апгрейдить и два домена под один ставить)... ниче страшного не будет (про БЭКАП не забываем!!!)

понижай основной (2000 -- 1)- отрубай его от сети - ставь новый (2003) - давай тот-же айпи и name - вводи в домен - понижай второй (2000 -- 2)

на каждом этапе (повторюсь ) смотри логи репликаций и время давай (по моему имхо полная репликация минут 10-40)

ЗЫ - пиво только не пей (счас админы запинают мя )) - от него порог ответственности снижается

ухх . вроде ниче не забыл - если что пиши я еще часа 1.5 на работе от времени публикации

Я уже писал где-то в темах. мне по этой схеме так и не удалось перенос сделать у меня второй сервак (2003) никак контроллером домена становиться не хочет? так и сижу сейчас на 2000-м
при попытке поднять 2003 до контроллера домена пишет недостаточно прав
хотя все делаю с правами админа предприятия
уже замахался копать

wchik

погоди - а при понижении второго сервака что происходит??? Первый так и остается дополнительным - не верю.... тогда второй должен ругнутся и сказать почему он не может передать домен

я это полгода назат делал - может что подзабыл.... а, ! в башке крутится - пользователь вроде должен принадлежать еще к администратору схемы




Добавлено
уже самому интересно стало вспомнить ... в ближайшем времени портестирую еще раз апгрейд - можете подождать если по времени не прижимает


Добавлено
SeT - коли тут вопросцы есть , давай, погоди чуть - я на тестовой станции откатаю и отчет выложу... наверно до выходных успею....

господа...я их сделал..еси тока завтра жив буду к вечеру опишу как

И еще например для меня важный момент - поставить под server2 еще одну машинку
Ну нет у меня господа свободной машинки как ни крути
Неужели тупик? Неужели все равно придется вторую как угодно искать и поднимать?

ну а как же ?
Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain
_http://support.microsoft.com/default.aspx?scid=kb;en-us;555040
How to Use Active Directory Migration Tool Version 2 to Migrate from Windows 2000 to Windows Server 2003
_http://support.microsoft.com/default.aspx?scid=kb;en-us;326480
Active Directory Migration Tool v.2.0
_http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en

crazyElephant
А потом можно будет, как-то заархивировать AD - снести все - поставить по-новой 2003 и уже из архива взять AD и поставить?

vworld

Цитата:

А потом можно будет, как-то заархивировать AD - снести все - поставить по-новой 2003 и уже из архива взять AD и поставить?

AD в 2000 и 2003 немного отличается. Если не хочешь проблемм - не заморачивайся с архивированием и восстановлением.

vworld, crazyElephant вы статейки топрочитали? Там Known issues список видели? Вот у меня всякое желание после этого пропадает тулзы от мелких использовать...

vworld - тебе комп нужен второй максимум на день - (или на ночь если все пойдет удачно)

у меня немного другая сетуация
есть основной контролер домена (дико кривой (каюсь - мои эксперементы)) - PDC
есть второй контролер (на нем роутер второй ДНС) (этот сильно ровнее - но машина средненькая) - BDC
Задача следущая -миграция на 2003 сервер, но не сразу а постепенно, сначала надо начистовую переставить PDC потом поверх (если получится ровно - BDC)
вот и как это сделать?
Если я все правильно понял то
1. Отключаем от сети BDC (но интерфейсы должны работать)
2. Запускаем на BDC adprep /Forestprep
3. смотрим логи и если все нормально запускаем ADPREP /Domainprep
4. Включаем его в сеть
5. Инсталим 2003 сервер (уже проинстален-есть имидж) запускаем dcpromo - ставим AD
6. Ждем окончания репликации
7. и????????????????????
Все должно заработать? или как? что может еще понадобится
Поправте в чем я не прав
и если надо продолжите список действий!!

Самое последнее действие через какое то время (если все прошло успешно)
- ставим нав BDC 2003 сервер

BigBear - мы тут все отчета дождатся не можем.... надеемся SeT еще жив...
а у меня пока времени нет откатать экспэримент на двух контроллерах

но по памяти :

1 я не делал

5 - на что инсталлем то?? тебе не проще ли понизить сервер 1 как я SeT'у советовал??

ZZYbeR
пункт 1 описан в ссыле что была на 1 странице и в хелпе w3k
пункт 5 - инсталим на сервер где раньше стоял PDC
так что понижать нечего у меня и так после сноса PDC остается BDC
а с примари домен контролером что сейчас крутится на w2k уже ничего не сделаешь - кривой насметь вот его родимого сносить и будем и менять на w3k в первую очередь

Все остальное я правильно понимаю?

BigBear

ой я не заметил что в п.1 у тебя BDC

Давай еще раз разберемся:

1 ты хочеш выкинуть (не понижая) кривой BDC - воткнуть на его место новый комп с w3k - перетащить на него AD c нормального BDC - жить счастливо ??

ZZYbeR
Не BDC а PDC (не бекап DC а примари DC)
Именно этого и хочу
и чтобы сейчас не переставлять бекап DC находящийся на роутере
И жить счасливо!!!!!!!!

Такой вопрос. ставлю AD под 2003-й сервак, в итоге dcdiag выдает следующее:


Цитата:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER_name
Starting test: Connectivity
The host ea111fa9-c382-4602-bd5e-7e1e45e37c17._msdcs.dom2.dom1 could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(ea111fa9-c382-4602-bd5e-7e1e45e37c17._msdcs.dom2.dom1) couldn't be

resolved, the server name (server.dom2.dom1) resolved to the IP address

(192.168.115.104) and was pingable. Check that the IP address is

registered correctly with the DNS server.
......................... SERVER_name failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER_name
Skipping all tests, because server SERVER_name is
not responding to directory service requests

Остальное все ок, только вот эта часть проблемная

Вижу, что в ДНС что-то не до конца настроил, не могу понять что именно ;о(

Плиз, посоветуйте, куда копать.

BigBear

опечаталься - трудно после трудового дня - ниче у тебя не получится ИМХО.

средствами мелких (dcpromo) надо сказать BDC что PDC больше нет и что теперь "прямой BDC" возьмет роль "кривого PDC" - а потом наооборот скажешь BDC что теперь главный новый w3k

у меня до сих пор в логах отображается что отсутствует контроллер домена INT (тестовый) - в AD он есть - он не удаляется не ремувится (это ж контроллер).. лист варнингов тулзы которая его ремувит очень большой (вплоть до отказа всей AD).

Ты пойми - мелкие это ПИ";№", там есть SID, kerberos и еще хз что... не получится просто убрать один и поставить другой - по идее все контроллеры домена равны - но один РАВНЕЕ!! - главное правильно им об этом рассказать кто есть ХУ


vav1107 - под w3k ДНС записи должны соответствовать:

локальные: что.то.там.local
реальные : domen.domen.ru


если у тебя домен реальный, то - пров длжен его держать и на тест твоего ДНС сервера давать реальный ответ что это ты и усе такое...
если у тебя нет реальногоо домена, а ты завел хз что - то ниче не получится - заводи что.то.local и усе будет хорошо ИМХО