none
GPO - migrace AD 2003 to 2008R2

    Dotaz

  • Dobry den,

    resim problem v jedne firme: meli multihomeAD 3 sitovky 2003 WIN AD SRV(2 sitovky se zakazaly). Novy server 2008 R2 zaclenen do domeny, nainstalovan DC a prevedeny role na novy SERVER(2008 R2). 

    Narazil jsem ovsem na problem s GPO. Kdyz se GPO konzole pripoji na stary DC server(2003) tak muzu GPO politiky zobrazovat upravovat atd. Ovsem pri prepnuti zobrazeni na novy DC server(2008 R2) tak se mi sice nazvy politik zobrazi,ale uz se mi nezobrazi vypis nastavenych paramtru a kdyz chci politiku editovat tak mi napise pristup odepren. Prihlasuji se pod stejnym admin uctem. V logu ohledne tohodle zadny zaznam podle ceho hledat.

    prikladam vypis z diag. pokud by mohl pomoct.

    https://skydrive.live.com/redir?resid=F5F5AB02718950DE!355&authkey=!ALe8bZiFoT7m220

    https://skydrive.live.com/redir?resid=F5F5AB02718950DE!354&authkey=!APR2UHXHD33MiA4

    jestli nekdo nejaky napad. velmi by moholo.

    diky.

    2. dubna 2013 14:00

Odpovědi

Všechny reakce

  • GC bezi na obou DCs? V DNS nejsou zaznamy od zakazanych sitovek? Soubory s politikami v sysvolu jde otevrit? Diagnostiku mas JENOM V CESTINE (kdo se v tom ma vyznat :( )? Co rika nslookup na SERVER a/nebo SRVTS1 ? Co se stane po otevreni (v Exploreru a pod) \\SERVER a/nebo \\SRVTS1 ? Co rika "net share" na obou serverech?

    Tipoval bych, ze ti na novem serveru nebezi sdileni (SYSVOL/NETLOGON) a nebo je problem v DNS

    MP




    2. dubna 2013 20:44
    Moderátor
  • Ako pise Miro.

    Mas problem s replikaciou SYSVOL. Treba poriesi replikaciu.

    Mas to aj v logoch napisane:

          Spouštení testu: FrsEvent

             * Test protokolu událostí Služby replikace souboru
             Za posledních 24 hodin po nastavení sdílení svazku SYSVOL se objevily

             události spojené s varováním nebo chybou. Potíže s neúspešnou

             replikací svazku SYSVOL mohou zpusobit potíže se zásadami skupin.
             Došlo k upozornovací události. ID události: 0x800034C4

                Cas vygenerování: 04/02/2013   08:39:43

                Retezec událostí:

                Služba replikace souboru (FRS) má potíže pri povolování replikace z SERVER.ZSNapajedla.local do SRVTS1 pro c:\windows\sysvol\domain s použitím názvu DNS SERVER.ZSNapajedla.local. Služba bude akci zkoušet znovu.

                 Toto upozornení mohlo být zobrazeno z jednoho z následujících duvodu.

                

                 [1] Služba FRS nemuže z tohoto pocítace správne preložit název DNS SERVER.ZSNapajedla.local.

                 [2] Služba FRS není na serveru SERVER.ZSNapajedla.local spuštena.

                 [3] Informace o topologii ve službe AD DS (Active Directory Domain Services) pro tuto repliku nebyly dosud replikovány do všech radicu domény.

                


    ---------- Ondrej Zilinec - Cievo ----------

    3. dubna 2013 8:38
  • GC bezi na obou DCs? 
    Ano.

    V DNS nejsou zaznamy od zakazanych sitovek?
    v DNS servru nejsou zaznami od zakazanych sitovek

    Soubory s politikami v sysvolu jde otevrit? 
    na starem ano, na novem tuto slozku nemam

    Diagnostiku mas JENOM V CESTINE (kdo se v tom ma vyznat :( )? 

    Co rika nslookup na SERVER a/nebo SRVTS1 ? 
    nslookup server
    ze servru SERVER
    *** Nelze najit nazev serveru pro adresu 10.33.98.254: Non-existent domain
    Server:  UnKnown
    Address:  10.33.98.254
    Nazev:   srvts1.ZSNapajedla.local
    Addresses:  10.33.98.250, 192.168.56.1

    nslookup srvts1
    ze servru SERVER
    *** Nelze najit nazev serveru pro adresu 10.33.98.254: Non-existent domain
    Server:  UnKnown
    Address:  10.33.98.254
    Nazev:   server.ZSNapajedla.local
    Address:  10.33.98.254
    -----------------------------------------------------------------------------------
    nslookup server
    ze servru SRVTS1
    Server:  UnKnown
    Address:  10.33.98.250
    Nazev:   server.ZSNapajedla.local
    Address:  10.33.98.254

    nslookup srvts1
    ze servru SRVTS1
    Server:  UnKnown
    Address:  10.33.98.250
    Nazev:   srvts1.ZSNapajedla.local
    Addresses:  10.33.98.250
     192.168.56.1


    Co se stane po otevreni (v Exploreru a pod) \\SERVER a/nebo \\SRVTS1 ? 

    pri otevreni//(NAZEV SERVRU)se otevre sdileni

    ted jsem si vsiml ze na novem SRVTS1 chybi sdilene slozky SYSVOL A NETLOGON

    takze to bude asi ten problem.

    Co rika "net share" na obou serverech?
    v net share mi u noveho chybi sdileni SYSVOL a NETLOGON

    Je mozne sdileni SYSVOL a NETLOGON nejak nahodit?

    3. dubna 2013 10:50
  • Problem neni v REPLIKACI sysvol ale v jeho NEEXISTENCI.

    Zacni ale tim, ze opravis problem s neexistujicimi PTR zaznamy pro DNS:

    nslookup srvts1
    *** Nelze najit nazev serveru pro adresu 10.33.98.254: Non-existent domain
     Server:  UnKnown

    Tzn. 10.33.98.254 nema PTR a to je chucpe.

    Dale: neexistujici sysvol jsem uz parkrat videl na Win2008xx s PODELANYM firewallem (zejmena u OEM instalacek Windows). VYRESETUJ firewall a NASTAV jej spravne. Tomu davam tak 49% sanci na uspech. Jinak ale nejdrive zkus samozrejem viz http://support.microsoft.com/kb/947022 pokud jsi tak jeste neucinil.

    Eventvwr.exe neni plny chyb od NETLOGON sluzby?

    MP




    3. dubna 2013 10:59
    Moderátor
  • Adprep probehl normalne? Vcetne GPO?

    M.

    3. dubna 2013 13:01
    Moderátor
  • Po precetni logu to na me to pusobi jako "oblibeny" problem spatne nastaveneho DNS v TCP/IP obou serveru. Tj. neexistence dynamicky registrovanych zaznamu do DNS pro domenu a DC.

    Kdo dela domenove DNS? Kam ukazuje DNS v TCP/IP obou serveru?

    A jak pise MPr - Zkontrolovat Eventlog na Netlogon problemy. Urcite jich tam musi byt more.


    3. dubna 2013 13:37
  • IP nastavene na sitovkach:

    srvts1:
    IP:10.33.98.250
    DNS1:10.33.98.250
    DNS2:10.33.98.254

    server
    IP:10.33.98.254
    DNS1:10.33.98.254
    DNS2:10.33.98.250

    po pouziti: http://support.microsoft.com/kb/947022 uz se mi ve sdilenych slozkach na novem servru(srvts1) zobrazuje SYSVOL\ZSNapajedla.local ale uvnitr oproti staremu servru nic neni.(chybeji policies a script)

    jeste jsem nenasel navod jak si opravit chybejici NETLOGON slozku.

    prave ze v eventlogu zadne chyby s netlogonem nejsou ani na jednom servru.

    DNS jsem opravil, uz se mi pomoci nslookup preklada vse spravne.

    Addprep i GPO pry probehly v poradku.

    firewall jsem zatim jen shodil, delam to na dalku a kdyz ho vyresetim tak se pravdepodobne odriznu a jejich spravce je momentalne pryc.

    4. dubna 2013 5:42
  • Pre opravu SYSVOL skus http://support.microsoft.com/kb/315457


    ---------- Ondrej Zilinec - Cievo ----------

    4. dubna 2013 6:06
  • http://support.microsoft.com/kb/315457 - tohle pomohlo vyresit muj problem s GPO. Jen v tom navodu nepisou jestli se maji hodnoty v registrech vracet zpet nebo maji zustat nastavene na D2 a D4.?

    politiky uz  se replikujou a zobrazuji. parada. ted jeste NETLOGON. nejake navody jsem nasel tak snad bude uz vse ok.

    7. dubna 2013 17:00