» Перенос контроллера домена на другой сервер

имеем

1. Server 1. OS:Server 2003 ENG с MUI на данный момент сервер глобального каталога.
2. Server 2. OS:Server 2003 SP1 ENG на данный момент на него перенесены и захвачены все 5 ролей контроллера домена.

Собственно Server 1 нужно вывести мне из домена и использовать для других целей в другом городе.

на сервере 1 имею такие такие ошибки :

Event ID: 13552

Службе репликации файлов не удалось добавить этот компьютер к следующему набору репликации:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Это может быть вызвано следующими причинами:
-- недопустимый корневой путь,
-- отсутствующая папка,
-- отсутствующий дисковый том,
-- файловая система на этом томе не поддерживает NTFS 5.0,

Следующая информация может помочь при устранении проблем:
DNS-имя компьютера - "ntserver.sres.local"
Имя набора репликации - "NTSERVER"
Корневой путь набора репликации - "c:\windows\sysvol\domain"
Путь конечной папки репликации - "c:\windows\sysvol\staging\domain"
Путь рабочей папки репликации - "c:\windows\ntfrs\jet"
Код ошибки Windows -
Код ошибки службы FRS - FrsErrorMismatchedJournalId

Event ID: 13555

Служба репликации файлов находится неработоспособном состоянии. Файлы не будут реплицироваться из или в наборы репликации на этом компьютере до тех пор, пока не будут выполнены следующие шаги для ее восстановления:

Шаги восстановления:

[1] Возможно, ошибочное состояние будет сброшено, если остановить и перезапустить службу FRS. Это можно сделать с помощью следующих команд:

net stop ntfrs
net start ntfrs

Если это не поможет устранить ошибку, выполните следующие действия.

[2] Для контроллеров домена Active Directory, не несущих дублей DFS или других наборов репликации с включенной репликацией:

Если имеется хотя бы еще один контроллер домена в этом домене, то восстановите "состояние системы" этого контроллера из архива (с помощью Backup или другой программы архивирования-восстановления) и сделайте его неавторизованным.

Если нет других контроллеров в этом домене, то восстановите "состояние системы" этого контроллера из архива (с помощью Backup или другой программы архивирования-восстановления) и выберите дополнительный параметр, помечающий системные тома как основные.

Если имеются другие контроллеры домена, но ВСЕ они имеют в журнале событий такое же сообщение, то восстановите один из них как основной (файлы данных с основного контроллера будут реплицированы на все остальные), а остальные контроллеры как неавторизованные.


[3] Для контроллеров домена Active Directory, несущего дубли DFS или другие наборы репликации с включенной репликацией:

(3-a) Если дубли DFS на этом контроллере домена не имеют других партнеров репликации, то скопируйте данные внутри этого DFS в безопасное место.
(3-b) Если этот сервер является единственным контроллером домена Active Directory для этого домена, то, перед тем, как выполнять шаг (3-c), убедитесь, что этот сервер не имеет никаких входящих или исходящих подключений к другим серверам, которые были раньше контроллерами домена для этого домена, но теперь отсутствуют в сети (и никогда больше не будут работать), или были недавно установлены, но не были понижены в роли. Чтобы удалить подключения, воспользуйтесь оснасткой "Сайты и службы", найдите
Сайты->ИМЯ_САЙТА->Серверы->ИМЯ_СЕРВЕРА ->Параметры NTDS ->ПОДКЛЮЧЕНИЯ.
(3-c) Восстановите "состояние системы" этого контроллера из архива (с помощью Backup или другой программы архивирования-восстановления) и сделайте его неполномочным.
(3-d) Скопируйте данные шага (3-a) в исходное место после того, как общий ресурс SYSVOL будет опубликован.


[4] Для других серверов Windows:

(4-a) Если какие-либо дубликаты DFS или иные наборы репликации, несомые этим сервером, не имеют других партнеров репликации, то скопируйте данные из этого общего ресурса или набора репликации в безопасное место.
(4-b) net stop ntfrs
(4-c) rd /s /q c:\windows\ntfrs\jet
(4-d) net start ntfrs
(4-e) Скопируйте данные шага (4-a) в исходное место после того, как служба будет инициализирована (достаточно подождать 5 минут).

Примечание: если это сообщение находится в журналах событий всех членов конкретного набора репликации, то выполните шаги (4-a)и (4-e) только на одном из компьютеров, являющихся партнерами репликации.

dcdiag для сервера 1 выдает тока 1 ошибку

C:\Documents and Settings\Administrator>dcdiag /q
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... NTSERVER failed test frsevent


на сервере 2 имею

Event ID : 13508


he File Replication Service is having trouble enabling replication from NTSERVER to PDC for c:\windows\sysvol\domain using the DNS name ntserver.sres.local. FRS will keep retrying.
Following are some of the reasons you would see this warning.

[1] FRS can not correctly resolve the DNS name ntserver.sres.local from this computer.
[2] FRS is not running on ntserver.sres.local.
[3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers.



C:\Documents and Settings\Administrator>dcdiag /q
Warning: DsGetDcName returned information for \\ntserver.sres.local, w
en we were trying to reach PDC.
Server is not responding or is not considered suitable.
......................... PDC failed test Advertising
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... PDC failed test frsevent
An Error Event occured. EventID: 0x00000457
Time Generated: 10/16/2006 12:34:21
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 10/16/2006 12:34:22
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000457
Time Generated: 10/16/2006 12:34:22
(Event String could not be retrieved)
......................... PDC failed test systemlog

оба сервера пингуются и друг друга замечательно видят

C:\Documents and Settings\Administrator>repadmin /showconn

repadmin running command /showconn against server localhost

Base DN: CN=Default-First-Site,CN=Sites,CN=Configuration,DC=sres,DC=local
==== KCC CONNECTION OBJECTS ============================================
Connection --
Connection name : 1beb5b8f-4023-433d-b9c7-90288b63fdfb
Server DNS name : pdc.sres.local
Server DN name : CN=NTDS Settings,CN=PDC,CN=Servers,CN=Default-First-Site,C
N=Sites,CN=Configuration,DC=sres,DC=local
Source: Default-First-Site\NTSERVER
No Failures.
TransportType: intrasite RPC
ReplicatesNC: DC=DomainDnsZones,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: CN=Configuration,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: DC=ForestDnsZones,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: CN=Schema,CN=Configuration,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
Connection --
Connection name : eac18aa0-531a-4e53-be76-6b61d43395a0
Server DNS name : ntserver.sres.local
Server DN name : CN=NTDS Settings,CN=NTSERVER,CN=Servers,CN=Default-First-S
ite,CN=Sites,CN=Configuration,DC=sres,DC=local
Source: Default-First-Site\PDC
No Failures.
TransportType: intrasite RPC
ReplicatesNC: DC=DomainDnsZones,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: CN=Configuration,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: DC=ForestDnsZones,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
ReplicatesNC: CN=Schema,CN=Configuration,DC=sres,DC=local
Reason: RingTopology
Replica link has been added.
2 connections found.


Но ! запускаю dcpromo на сервере 1 и делаю удалить роль контроллера домена, а он мне в ответ типа я последний сервер глобального каталога в этой сети и если ты меня убьешь то ничего не будет работать....disable на подключении сети действительно ставит всю сеть раком.

Support Microsoft говорит типа что у меня нет места на диске и т.д. всякая фигня короче.

Еще замечен один баг, сервер 2 не расшаривает папку SYSVOL я ее расшаривал сам но при перезагрузке он ее прибивает опять ....но даже при расшареной папке ничего не меняется....все как было так и есть нифига репликации не работают.

в общем ничего хорошего я не нанешл нигде, так как все роли были переданы на новый сервер я тупо выключил старый контроллер из сетки, на новом сделал все как описано тута http://support.microsoft.com/default.aspx?scid=kb%3Bru%3B216498
перегрузил сервак, ничего не работало почитал http://www.microsoft.com/windows2000/docs/disaster.doc, остановил FRS удалил все из папки c:\windows\ntfrs\jet запустил заново службу FRS и все понеслось

да, и галочку global catalog в Active directory Sites And Domans переключил но новый сервер.

помогите пожалуйста новичку!
есть сервак,который обслуживает 40 компов, собрали новое железо, надо старый заменить новым. менее безболезненно...дайте ссылки или расскажите как перебросить весь AD с первого на второй...миграцию пробовал...че то не получается, какой еще есть способ?

TeHNoSaL
тебе только миграцию разбирать,
рекомендую книгу: Windows server 2003 справочник администратора

TeHNoSaL
какая на... миграция? AD - распределённый сервис. Почти все сложности скрыты от горе-одмина мастером dcpromo.

Ставишь на новый сервер роль DNS, присоединяешь его к домену, запускаешь на нём dcpromo (повышаешь до дополнительного контроллера в существующем домене). Перезагружаешься, затем запускаешь dcpromo на старом - и удаляешь со старого AD.

В процессе могут быть ошибки с руганью(связанные с DNS, скорее всего) - вот с ними уже в студию.

rdiablo СПАСИБО!

Здравствуйте! Не стал создавать новую тему. У нас тоже возникла такая ситуация.
Имеется 2 сервера:
1. windows server 2003 - в настоящий момент мы работаем на нем. Там у нас и пользователи и домен, групповые политики, актив директори. В кратце все держится на этом.
2. Новый сервер Windows server 2008 - по характеристикам намного мощнее того и нужно перенести пользователей, групповые политики, домен, актив директори, настройки на новый сервер.

На новом сервере домен еще не поднят. Погуглил и понял что нужно переносить все это с помощью ADMT (Active Directory Migration Tool). На 2003 установил ADMT v2 и при переносе требует выбрат начальный и конечный домены. Начальный у меня будет на 2003, а конечный 2008, на который и требуется все перенести. Получается мне надо поднять новый домен на 2008 "В" (а на 2003 "А"), перенести с А на В и потом уже В переименовать на А. Правильно я мыслю?

Jollier
какой-то у многих извращенный ум.

ADTL не для этого

чтобы перенести Роль AD на другой компьютер без лишних проблем я бы делал как написал LevT
1 поднять роли AD (dcpromo) и DNS на новом сервере (я бы делал в AD, потом DNS - хотя многие делают наоборот, но это не главное)
2 как роли установились, все прореплицировалось (AD и DNS).
3 ошибки DNS поправлены
4 у юзверей прописан старый и новый DNS (лучше если у Вас DHCP, если нет, то подымите)
5 для проверочки можно выключить старый DC и посмотреть как все работает
если нормально, на старом удалить роль AD (dcpromo) Windows все сделает сам: сделает его хозяином ролей, глобальным каталогом и т.д.
потом лучше старый сервер вообще удалить из домена, переставить ОС

НО ГЛАВНОЕ, перед всем этим сделать бэкапы

Люди Добрый День!

Возникла проблема с переносом!

Есть два контроллера DC1(Win serv 2003 EE SP2 (Eng)) и DC2(Win serv 2003 EE SP2(Rus)), требуется перенести с DC1 на DC2 все роли, DNS, AD!
Пять ролей и DNS были перенесены на DC2, дождались репликации. DC1 не опускали но перед уходом с работы был физически отключен.
На утро зарегестрироваться в сети не возможно было, выдавало сообшение о том что не может найти контроллер домена, обратитесь к системному администратору. DNS на DC2 благополучно работал.
При попытке зайти на DC2 по RDP опять выдавал сообщение о том что не может найти AD!
Пришлось включить DC1!!и все заработало!
Подскажите в чем может быть проблема? как я знаю DC2 с перенесенными ролями должен был работать и при отключенном DC1, или чего то не доделали?

demon7272

Проблема в том что скорее всего забыли опубликовать роль глабального каталога.

attaattaatta
не подскажете как это сделать?

attaattaatta

Так и было сделано!


Добавлено:
Что кто еще подскажет что может быть почему не в ступает в силу новый DC?

demon7272
Похоже что на компьютерах сети прописан старый адрес DNS

kermit
есть ряд серверов со статическими апи адресами, в настройках указан в качестве основного DC1, а альтернативного DC2.

Вот отключение сетевого кабедя у DC1 приводит к стопору. на DC2 по RDP не конектит.

Может проблема с ДНС-ом?

Люди прошу помоши!!!!!

Цитата:

Похоже что на компьютерах сети прописан старый адрес DNS

demon7272 а это что не подсказка?
Естественно у всех, в том числе и у DC2 в сетевых настройках ДНС должен быть указан адрес DC2

Valery12
у всех машин у кого статика в качестве альтернативного ДНС стоит айпи DC2, и так же распростраяется через DHCP.

up

проблема в том, что ГПО раздаются не коректно, начал копать:
имеем три сервера:
1. Win2k3 [more=ipconfig]ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : emerald
Основной DNS-суффикс . . . . . . : city.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : city.local

LAN01 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-30-48-8B-66-9B
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.14
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.200
DNS-серверы . . . . . . . . . . . : 127.0.0.1
192.168.0.2
Основной WINS-сервер . . . . . . : 192.168.0.40[/more] Он же контроллер домена.
2. Win2k3 [more=ipconfig]ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : acc
Основной DNS-суффикс . . . . . . : city.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : city.local

LAN02 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-30-48-31-85-05
DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . : 0.0.0.0
Основной шлюз . . . . . . . . . . :
DHCP-сервер . . . . . . . . . . . : 0.0.0.0

LAN01 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
Физический адрес. . . . . . . . . : 00-30-48-31-85-04
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.200
DNS-серверы . . . . . . . . . . . : 127.0.0.1
192.168.0.14[/more] так же контроллер
3. Win2k8 [more=ipconfig]C:\Users\re>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : S1DC
Основной DNS-суффикс . . . . . . : city.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : city.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер магистральной сети виртуальной ма
шины (Майкрософт)
Физический адрес. . . . . . . . . : 00-15-5D-00-05-00
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.40(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.200
DNS-серверы. . . . . . . . . . . : 192.168.0.40
192.168.0.14
Основной WINS-сервер. . . . . . . : 127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{00A6BBFE-ADD7-4C99-82AF-F83318F4A92D}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
[/more]

методом простого создания директорий вижу что сервер1 не реплицируется с другими серверами. Сервер2 и сервер3 успешно реплицируется между собой.
смотрю dcdiag /q на всех серверах:
сервер1

Код: C:\>dcdiag /q
An Error Event occured. EventID: 0xC0002719
Time Generated: 11/11/2010 15:39:03
Event String: DCOM was unable to communicate with the computer
An Error Event occured. EventID: 0xC0002719
Time Generated: 11/11/2010 15:39:38
Event String: DCOM was unable to communicate with the computer
......................... EMERALD failed test systemlog

сервер1 [more=frsdiag]------------------------------------------------------------
FRSDiag v1.7 on 12.11.10 10:58:16
.\EMERALD on 2010-11-12 at 10.58.16
------------------------------------------------------------

Checking for errors/warnings in FRS Event Log .... passed
Checking for errors in Directory Service Event Log .... passed
Checking for minimum FRS version requirement ... passed
Checking for errors/warnings in ntfrsutl ds ... passed
Checking for Replica Set configuration triggers... passed
Checking for suspicious file Backlog size... passed
Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
Checking for suspicious inlog entries ... passed
Checking for suspicious outlog entries ... passed
Checking for appropriate staging area size ... passed
Checking for errors in debug logs ... passed
Checking NtFrs Service (and dependent services) state...passed
Checking NtFrs related Registry Keys for possible problems...passed
Checking Repadmin Showreps for errors...passed


Final Result = passed
[/more]
сервер2 [more=frsdiag]------------------------------------------------------------
FRSDiag v1.7 on 12.11.10 10:52:33
.\ACC on 2010-11-12 at 10.52.33
------------------------------------------------------------

Checking for errors/warnings in FRS Event Log ....     
NtFrs    11.11.10 15:18:53    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "ACC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.    
NtFrs    11.11.10 10:30:08    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "ACC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.    
NtFrs    10.11.10 10:30:07    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "ACC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.
    WARNING: Found Event ID 13508 errors without trailing 13509 ... see above for (up to) the 3 latest entries!

......... failed 1
Checking for errors in Directory Service Event Log .... passed
Checking for minimum FRS version requirement ... passed
Checking for errors/warnings in ntfrsutl ds ... passed
Checking for Replica Set configuration triggers... passed
Checking for suspicious file Backlog size...
    ERROR : File Backlog TO server "CITY\EMERALD$" is : 649 :: Unless this is due to your schedule, this is a problem!
failed with 1 error(s) and 0 warning(s)

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
Checking for suspicious inlog entries ... passed
Checking for suspicious outlog entries ...
    ERROR: 88.14% (312 out of 354) of your outlog contains Security ACL events.
    See KB articles below for further information:
        279156 - The Effects of Setting the File System Policy on a Disk Drive or Folder
        284947 - Antivirus Programs May Modify Security Descriptors and Cause Excessive Replication of FRS Data in Sysvol and DFS
......... failed
Checking for appropriate staging area size ... passed
Checking for errors in debug logs ...
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 4500: 889: S0: 10:47:16> :SR: Cmd 01335918, CxtG 7badb82b, WS ERROR_ACCESS_DENIED, To emerald.city.local Len: (360) [SndFail - Send Penalty]
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 4500: 867: S0: 10:52:15> :SR: Cmd 0133f180, CxtG 7badb82b, WS ERROR_ACCESS_DENIED, To emerald.city.local Len: (360) [SndFail - rpc call]
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 4500: 889: S0: 10:52:15> :SR: Cmd 0133f180, CxtG 7badb82b, WS ERROR_ACCESS_DENIED, To emerald.city.local Len: (360) [SndFail - Send Penalty]

    Found 9420 ERROR_ACCESS_DENIED error(s)! Latest ones (up to 3) listed above

......... failed with 9420 error entries
Checking NtFrs Service (and dependent services) state...passed
Checking NtFrs related Registry Keys for possible problems...passed
Checking Repadmin Showreps for errors...passed


Final Result = failed with 9423 error(s)
[/more]

сервер3 [more=frsdiag]------------------------------------------------------------
FRSDiag v1.7 on 12.11.10 11:03:24
.\s1dc on 2010-11-12 at 11.03.24
------------------------------------------------------------

Checking for errors/warnings in FRS Event Log ....     
NtFrs    12.11.10 11:01:00    Warning    13518    Служба репликации файлов не предоставит пользователю "re" доступ к API "Get Internal Information". Разрешения для "Get Internal Information" могут быть изменены с помощью regedit. Раскройте меню "Пуск", выберите команду "Выполнить" и введите regedit. Раскройте HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, NtFrs, Parameters, Access Checks, а затем выделите "Get Internal Information". Выберите в меню "Безопасность" команду "Разрешения..." Проверка доступа для "Get Internal Information" может быть отключена. Сделайте двойной щелчок на "Access checks are [Enabled or Disabled]" и измените значение на "Disabled".    
NtFrs    11.11.10 17:52:18    Warning    13518    Служба репликации файлов не предоставит пользователю "re" доступ к API "Start Ds Polling". Разрешения для "Start Ds Polling" могут быть изменены с помощью regedit. Раскройте меню "Пуск", выберите команду "Выполнить" и введите regedit. Раскройте HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, NtFrs, Parameters, Access Checks, а затем выделите "Start Ds Polling". Выберите в меню "Безопасность" команду "Разрешения..." Проверка доступа для "Start Ds Polling" может быть отключена. Сделайте двойной щелчок на "Access checks are [Enabled or Disabled]" и измените значение на "Disabled".    
NtFrs    11.11.10 12:05:30    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "S1DC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.    
NtFrs    10.11.10 23:53:26    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "S1DC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.    
NtFrs    09.11.10 23:51:27    Warning    13508    Служба репликации файлов столкнулась с проблемами при включении репликации с "EMERALD" на "S1DC" для "c:\windows\sysvol\domain", использующего DNS-имя "emerald.city.local". Служба репликации файлов (FRS) продолжит повторные попытки. Ниже указаны причины, по которым может выдаваться это предупреждение. [1] FRS не может разрешить DNS-имя "emerald.city.local" с этого компьютера. [2] FRS не запущена на "emerald.city.local". [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена. Это сообщение об ошибке записывается в журнал для каждого подключения один раз. После исправления ошибки в журнал будет записано другое сообщение, означающее, что соединение установлено.
    WARNING: Found Event ID 13508 errors without trailing 13509 ... see above for (up to) the 3 latest entries!

......... failed 3
Checking for errors in Directory Service Event Log .... passed
Checking for minimum FRS version requirement ... passed
Checking for errors/warnings in ntfrsutl ds ... passed
Checking for Replica Set configuration triggers... passed
Checking for suspicious file Backlog size...
    ERROR : File Backlog TO server "CITY\EMERALD$" is : 648 :: Unless this is due to your schedule, this is a problem!
failed with 1 error(s) and 0 warning(s)

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)... passed
Checking for suspicious inlog entries ... passed
Checking for suspicious outlog entries ...
    ERROR: 93.13% (312 out of 335) of your outlog contains Security ACL events.
    See KB articles below for further information:
        279156 - The Effects of Setting the File System Policy on a Disk Drive or Folder
        284947 - Antivirus Programs May Modify Security Descriptors and Cause Excessive Replication of FRS Data in Sysvol and DFS
......... failed
Checking for appropriate staging area size ... passed
Checking for errors in debug logs ...
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <FrsRpcAccessChecks: 4736: 845: S0: 11:01:01> ++ ERROR - API Access check failed for API (Get Internal Information) efault (Full Control) WStatus: ERROR_ACCESS_DENIED
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <FrsRegOpenKey: 1788: 2352: S0: 11:01:01> :FK: ERROR - Access Check failed on System\CurrentControlSet\Services\NtFrs\Parameters\Access Checks\Get Internal Information; WStatus: ERROR_ACCESS_DENIED
    ERROR on NtFrs_0005.log : "ERROR_ACCESS_DENIED" : <FrsRpcAccessChecks: 1788: 845: S0: 11:01:01> ++ ERROR - API Access check failed for API (Get Internal Information) efault (Full Control) WStatus: ERROR_ACCESS_DENIED

    Found 2046 ERROR_ACCESS_DENIED error(s)! Latest ones (up to 3) listed above

......... failed with 2046 error entries
Checking NtFrs Service (and dependent services) state...passed
Checking NtFrs related Registry Keys for possible problems...passed
Checking Repadmin Showreps for errors...passed


Final Result = failed with 2051 error(s)
[/more]

Ситуация. Имеем:
домен 2000 (работает года четыре на 150 юзверях) + exchange 2000 на одном сервере (
нужно
домен 2008 + exchange 2010 на двух серверах

Маршрут EXCH 2000-2003; DC 2000-2003 и т.п. заваливается из-за кривой певоначальной настройки и конфигурации домена (проходили раза три, не удаётся фиксить проблемы - приходилось откатываться).

Хочется с наименьшим гемором поставить новый домен, перекинуть туда пользователей из этого, перелить почту. Это реально? К геморрою готов, ибо старый домен уже наладом дышит.

На DC2 есть все, конфиги, список юзеров и все такое реплицированное с DC1 но при отключении DC1 DC2 не заменяет его. Может ли быть проблема в том что галочка global catalog стоит на обоих?