» Помогите перенести AD с Win2000 на Win2003

HELP! Не получается корректно запустить работу AD под Win2003.


На сервере под управлением Win Ser2000 настроена AD и DHCP с DNS. Сервер стал глючить (наверное железо), постоянно теряет сеть. Стоит задача перенести AD с него на другой сервак под Win Ser2003. Вроде все перенеслось нормально и AD и DHCP с DNS .Сделал этот сервер контроллером домена, но он никак не хочет работать если выключен прошлый сервер (тот который под 2000).Если старый работает то и новый тоже пашет. Как бы мне сделать так, чтобы новый сервак (с 2003) работал один (старый надо на диагностику отвозить) ????

Подскажите поподробнее в чем дело, и как это поправить. Плизззззз...

Нужно перенести на 2003 Operations Master Roles а именно:
Relative ID Master Role
PDC Emulator Role
Infrastructure Master Role
Domain Naming Master Role
Schema Master Role

и Global Catalog

Желательно все делать при запущеном 2000 сервере. Это штатные процедуры и подробно описаны в хелпе и находятся там поиском.

А каким способом можно перенести эти 5 ролей ??? И как затем понизить роль домена седящего под 2000.

referi

Цитата:

А каким способом можно перенести эти 5 ролей ???

и Global Catalog
Ищи в хелпе "transferring operations master roles" и "enable or disable global catalog"


Цитата:

И как затем понизить роль домена седящего под 2000.

Вот этим переносом все и понизится

referi
ntdsutil из ресурскита тебе поможет

Я перенес эти 5 ролей на новый сервер, сделал его глобальным катологом. Но когда на старом сервере (под 2000), запускаю dcpromo чтобы удалить AD, выскакивает сообщение об ошибке "Операция не выполнена по следующей причине : Не найден подходящий контроллер для домена ххх.local. Указанный домен не существует или к нему невозможно подключиться."
Также когда провожу Проверку топологии репликации (с нового сервера, которому я передал 5 FSMO+ GK) пишет "AD на котроллере домена _имя нового сервера проверила топологию репликации. AD в данный момент просматривает подключения с контроллера домена _имя старого сервера " Старый сервер с AD под Win2000 еще включен в сеть.
Что делать? как заставить работать новый сервер без старого???

Прочитай внимательно следующую статью. Не забыл ли чего сделать? Например adprep/forestprep.

А следующую это какую?

referi
Ты лес и домен подготовил с помощью adrep:

Команда adprep /forestprep является единовременной операцией, выполняемой над хозяином схемы (FSMO) леса. Команда adprep /domainprep в этом домене должна запускаться только после окончания операции forestprep и репликации на компьютеры-хозяева схем всех доменов.

Пока команды /forestprep и /domainprep не выполнены, и результаты не реплицированы на все контроллеры в данном домене, будет невозможно выполнять следующие действия.
•    На контроллерах домена под управлением Windows 2000 обновлять операционную систему до Windows Server 2003, используя программу Winnt32.exe.

Примечание. На компьютерах под управлением Windows 2000, не являющихся контроллерами домена, операционная система может быть обновлена до Windows Server 2003 в любой момент времени.
•    Вводить в домен новые контроллеры домена под управлением Windows Server 2003, используя программу Dcpromo.exe.

вот статьи у М$:
http://support.microsoft.com/kb/325379/ru
http://support.microsoft.com/kb/324392/ru

В версии средства Adprep.exe, вошедшей в состав пакета обновления 1 (SP1) для Windows Server 2003, команда adprep /domainprep выполняет те же действия, что и в исходной версии данного средства. Однако обновленная версия средства Adprep.exe не изменяет права доступа к объектам групповой политики, если не указан параметр /gpprep.

Объясните зачем нужно adprep/forestprep ????
Зачем мне обновлять 2000 до 2003 ???

Потому что вводить в домен новые контроллеры домена под управлением Windows Server 2003, можно только после того как домен и лес будут подготовлены для 2003 уровня, тоесть обновлены.
Для этого и нужны
adprep /forestprep - для подготовки леса
adprep /domainprep /gpprep - для подготовки домена и групповой политики

Добавлено:
Иначе винда 2003 просто откажется становиться контроллером домена.

А как запустить их запустить???
Сначала нужно подготовить лес потом домен и групповые политики, а уже затем начинать перенос ролей, так? Если не трудно дай инструкцию по пунктам - что зачем делать.

Вообще в статье http://support.microsoft.com/kb/325379/ru все расписано.
Сначала запускаешь:
adprep /forestprep
Команда adprep /forestprep является единовременной операцией, выполняемой над хозяином схемы (FSMO) леса.

Ждешь полной репликации на все контроллеры домена.После того как изменения, внесенные командой /forestprep, будут полностью реплицированы на хозяев инфраструктуры всех доменов, выполняешь:
adprep /domainprep /gpprep

Заранее извиняюсь мож не в тему лезу, но у меня такая проблема: запускаю adprep /forestprep отрабатывает немного потом выбрасывает ошибку Win 32 и завершает процес...
Помогите запарился с ним!

VinDizel
Код ошибки из евентлога давай, EventID.

Все равно не получается у меня. Поднимаю новый домен под 2003. Вот хочу воспользоваться утилитой ADMT для миграции пользователей. Только из описания я не понял, она не удалит мне всех пользователей с исходного контроллера домена ???? Кто -нибудь работал с ней может мне подсказать?

referi
На кой черт тебе миграция с одного домена на другой, если ты можешь поднять свой 2000 домен до 2003?

Все просто:
1. Обнови лес и домен для поддержки 2003 КД.
2. Установи на новый сервак 2003 и сделай его дополнительным контроллером домена.
3. Проверь в сайте что у 2003 сервака есть синхронизация с 2000 серваком.
4. Поставь на новом серваке DNS, WINS и синхронизируй их со старым серваком.
5. Перенеси DHCP сервер на новый сервак. С этим могут возникнуть некоторые проблемы, для экспорта базы DHCP в 2000 используй dhcpexim_setup.exe, а в 2003 уже есть встроенные функции импорта DHCP базы в netsh/
6. Передай все роли FSMO и глобальный каталог на новый сервер 2003
7. Понизь контроллер домена на 2000 винде. И если не нужен вообще - выведи из домена.
8. Проверь в DNS что все что связано со старым КД на 2000 больше нет, если есть удаляй.
9. Проверь сайт, там не должно быть других серваков, кроме 2003.

После каждой операции, если не знаешь как посмотреть что все синхронизировалось, реплицировалось и тд и тп, лучше жди минут 10-15 для надежности, если нет межсайтовой репликации (что скорее всего). И смотри евентлоги на обоих серваках, в них вся правда (ну может не вся, но многое ).

Подскажите, что можно сделать в моей ситуации: по предыдущему сообщению успел сделать все кроме пунктов 5, 7-9, сервак 2000 лег вмертвую (полетел диск). Может есть какая утилитка чтобы на 2003 почистить старый КД?

1. Я вроде сделал обновление adprep /forestprep ,adprep /domainprep /gpprep, а как посмотреть обновилось ли?
2. Как проверить что есть синхронизация у 2003 с 2000? В сайтах весят 2 сервака 2000 и 2003 , в 2000 (Buh) в NTDS с сервера Serverbase (это сервак 2003), в 2003(Serverbase) c сервера Buh (2000).
Роли все переносил ,глобальный католог тоже, DNS настраивал.
Выключаю сервак 2000 (Buh) , 2003 (Serverbase) только работает в, AD написано "Active Derectory пользователи и компьютеры [buh.ххх.local] " . В сеть при выключенном 2000 (Buh) зайти нельзя пишет "Нет сервера который может обработать этот запрос".
Запускаю dcpromo на 2000 серваке, она мне пишет что "не удалось найти контроллер домена с учетной записью Buh$" и все, не понижает роль.
Также хотел снести AD с 2003 , перед этим все роли отдал 2000, не получается, говорит что в сети есть еще один контроллер домена но с ним невозможно связаться.
Мож я что -то не так сделал вначале??? Объяснишь?

referi
1. Все таки прочитай статейку у M$ _http://support.microsoft.com/kb/325379/ru, там все расписано, где как можно посмотреть обновление.
Вот выдержки:


Цитата:

Проверьте, успешно ли выполнилась команда adprep /forestprep на хозяине схемы. Для этого убедитесь в следующем. •    Команда adprep /forestprep завершила работу без ошибок.
•    Объект CN=Windows2003Update записан по адресу CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса.. Запишите значение атрибута Revision.
•    (Необязательно) Версия схемы увеличена до 30. Это значение хранится в атрибуте ObjectVersion по адресу CN=Schema,CN=Configuration,DC=корневой_домен_леса..

Версия схема в R2 - будет увеличена до 31.


Цитата:

Убедитесь, что изменения, внесенные командой adprep /forestprep, реплицированы на все контроллеры доменов в лесу. Для проверки можно отслеживать следующее. a.     Увеличение номера версии схемы.
b.     Репликацию соответствующих операций в CN=Windows2003Update, CN=ForestUpdates,CN=Configuration,DC=корневой_домен_леса. или CN=Operations,CN=DomainUpdates,CN=System,DC=корневой_домен_леса.
c.     Новые классы схемы, объекты, атрибуты и другие изменения, добавленные командой adprep /forestprep (такие как inetOrgPerson). Просмотрите файлы SchХХ.ldf (где ХХ — число между 14 и 30) в папке %systemroot%\System32, чтобы обнаружить подобные объекты и атрибуты. Например, класс inetOrgPerson определяется в файле Sch18.ldf.

Цитата:

Убедитесь, что команда domainprep успешно завершилась. Для этого убедитесь в следующем. •    Команда adprep /domainprep завершила работу без ошибок.
•    Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена существует.

Цитата:

бедитесь, что изменения, внесенные командой adprep /domainprep, реплицированы. Для этого проверьте, выполняется ли для оставшихся контроллеров в домене следующее условие. •    Объект CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=доменное_имя_обновляемого_домена существует, и значение атрибута Revision совпадает со значением аналогичного атрибута на компьютере-хозяине инфраструктуры домена.
•    (Необязательно) Найдите изменения, внесенные командой adprep /domainprep в объекты, атрибуты и таблицы управления доступом (Access Control List, ACL).

Добавлено:
2. Идем Active Directory - сайты и службы - Servers - Buh - правой кнопкой на NTDS Settings - Все задачи - Проверка топологии репликации


Цитата:

Active Directory запускает автоматическую генерацию топологии между сайтами на одном контроллере домена в сайте для установки стоимости межсайтовых подключений и проверки доступности ранее доступных контроллеров домена или наличия новых добавленных контроллеров домена. Затем Проверка согласованности знаний (KCC) использует эти сведения для добавления или удаления объектов подключения, необходимых для эффективной репликации. Данный процесс не распространяется на объекты подключения, созданные вручную. Только один контроллер домена в сайте предполагает роль автоматической генерации топологии между сайтами.

Затем идешь в просмотр событий - Служба репликации файлов и смотришь какие есть варнинги и ошибки. События смотри на обоих серваках.

Также заюзай dcdiag и netdiag и ошибки сюда.

Добавлено:
Antdik
Утилиты такой не знаю, да и врядли есть. Придется чистить ручками, есть статьи в инете на эту тему.

Добавлено:
Antdik
Удаление данных из Active Directory после неудачного понижения роли контроллера домена

to Slavik Огромное человеческое спасибо! Сделал, вроде все ОК.

хочу добавить w2k3 в AD w2k
дела adprep /forestprep а он мне ошибку пишет
Adprep created the log file ADPrep.log under C:\WINNT\system32\debug\adprep\logs\20060925134709 dir
ectory.
Adprep was unable to copy file C:\usr\utils\schema.in_ from installation point to local machine und
er directory C:\WINNT. ?
[User Action] ?
Check the log file Adprep.log in the system root System32\Debug\Adprep\Logs directory for more info
rmation.
Adprep encountered a Win32 error. ?
Error code: 0x2 Error message: The system cannot find the file specified..

ни как не могу понять почему он в C:\usr\utils ищет файл schema.in_?

я проверил как написано в статье
http://support.microsoft.com/kb/325379/ru
вроде все нормально никаких ошибок, мастером схемы является, а когда делаешь
adprep /forestprep дает ошибку, что не так?
schema.ini находится здесь C:\WINNT\system32\schema.ini

ну подскажите хотя бы в какую сторону смотреть? очень нужно добавить в АД

оказывается проблема была в том что кроме adprep.exe нужно еще какие то файлы. а я то просто exe скопировал

обьясните идиоту - то есть мне -почему не могу ввести как резервный контроллер Домена Windows 2003 R2
главный контроллер Windows 2000

команды adprep /forestprep и adprep /domainprep мне почему то сказали что обновление леса и домена уже было и ничего не сделали
запускаю мастер установки AD на Windows 2003 R2 -говорю вводить как резервный контроллер -спрашивает у меня учетную запись -кстати чего за учетную запись он спрашивает?

и на учетной записи этой затыкается -говорит проверьте DNS -чего то такое ***сервер RPC не найден
в какую сторону хоть думать -я запутался!!!

читал про установку Windows 2003 как BDC - там основной упор на adprep /forestprep и adprep /domainprep везде

хоть какую умную мысль дайте -может я ему не ту четную запись даю?
или ее как то еще указать надо?

У меня тоже R2! Может он какой-то неправильный, а? Есть лес с двумя доменами, на обоих windows server 2003 enterprise edition. При попытке поднять на третьем сервере домен и подключить его к лесу пишет такую-же ошибку!!! Говорит юзай adprep, но ведь все на 2003? Правда если на первых двух серверах винда ломаная, то на третьем лицензионный server 2003 R2 standart edition sp1. Functional level на обоих серверах стоит windows 2000 native, может поэтому?

Добавлено:
Впрочем, если даже и воспользоваться adprep то ничего не меняется...


Цитата:

Данные уровня леса уже обновлены.
[Состояние/результат]
Программа Adprep не предпринимала попыток повторить эту операцию.

Цитата:

Данные уровня домена уже обновлены.
[Состояние/результат]
Программа Adprep не предпринимала попыток повторить эту операцию.

Что делать????

SpinnE, как то удалось решить вопрос?
У меня аналогичная проблема. Лицензионный server 2003 R2 standart edition не хочет становиться контроллером домена. требует обновить лес.
При попытке обновления леса adprep выдает "Данные уровня леса уже обновлены"

С какой стороны начать бороть даже ума не приложу

Ура!!! Наконецто удалось проблему побороть.
Нашел здесь http://forum.windowsfaq.ru/showthread.php?t=59037
Оказывается adprep надо запускать не с первого диска а со ВТОРОГО.
Каким местом до этого надо было додуматься - непонятно.
Но решил запостить сюда тоже. Может комуто поможет.

MONro

Спасибо, помогло...