locked
Problém s přesunem/replikací AD,FSMO na nový server (W2K3 -> W2K8R2)

    Dotaz

  • Dobrý den,

    prosím o radu s přesunem AD a veškerých funkcí s ní související na nový server.
    Rozhodl jsem se vyměnit starý server (Windows Server 2003) za nový (Windows Server 2008 R2). Nový server běží na novém železe a tak jsem se rozhodl jej jednoduše připojit jako další řadič domény do stávající, vyreplikovat AD, přenést FSMO a postupně na starém serveru odebrat roli AD, DNS a celý ho časem úplně odstranit. Z počátku vše probíhalo bez problémů, na původním serveru jsem provedl /forestprep, /domainprep, přidal nový doménový řadič do existující domény, přesunul FSMO role, zkontroloval pomocí příkazu netdom zda se role přenesly, replikace AD proběhla, přesunul DHCP,vše se zdálo být ok až do doby, kdy jsem začal nastavovat GPO na novém serveru a zjistil jsem, že se mi politiky na klientských stanicích neprojevují, začal jsem pátrat kde je chyba, až jsem zjistil, že klienti stále používají pro ověření starý server (na kterém nejsou všechny možnosti GPO jako na W2K8R2), který pokud odpojím a nechám dostupný pouze nový server, tak nejsem schopen se přihlásit ani přidat nový počítač do domény s chybovou hláškou, že doména není k dispozici (samozřejmě jako první DNS server jsem nastavil nový server) a co mě zaskočilo nejvíce byla chybová hláška, kdy jsem chtěl na starém serveru odebrat AD pomocí dcpromo (DNS jsem nastaveny měl, tak jak by měly být na nový server). Nechal jsem nezaškrtnutu volbu, že se jedná o poslední doménový řadič (tím měl být nový server) a v dalším kroku se objevilo varování, že nebyl nalezen žádný jiný doménový řadič a žádný řadič s účtem tohoto serveru. Nemůžu se dopátrat, kde by mohla být chyba, že by něco špatně s FSMO, DNS?
    Děkuji za rady

    středa 29. prosince 2010 16:58

Všechny reakce

  • Neni stary server stale videt v DNS a/nebo dsa.msc jako radic domeny?

    MP

    středa 29. prosince 2010 20:20
    Vlastník
  • čtvrtek 30. prosince 2010 7:32
  • Tam vidět je (DNS i dsa.msc), ale tam by měli být vidět oba, pokud jeden z nich neodeberu ne?
    čtvrtek 30. prosince 2010 9:16
  • Děkuji, dokumenty ještě projdu, DCDiag ani NETDiag neříkají nic z čeho bych já byl nejmoudřejší (mohu sem kdyžtak přiložit), kromě tedy jedné věci, při testu DC discovery test vypisuje netdiag, že našel pouze jeden DC a to ten starý
    čtvrtek 30. prosince 2010 9:27
  • Hmm

    to je TEN PROBLEM. Toto ROZHODNE NIE JE OK. Porozmyslam, napisem ...

    Vydrzte prosim ... :) je uz vecer, nemysli mi to tak. Ale napisem .. ;) :):):):)

     

    Boris

     

    čtvrtek 30. prosince 2010 18:05
  • Prva vec - skuste netdiag /fix. Ak nepomoze, skuste nasledujuci postup.

    Predpokladam, ze kym ste Win2k8 pridali ako domenovy radic, mal tento stroj nastaveny primarny DNS server IP adresu povodneho DC ( ved ako inak, ze ... ). Podivajte sa, aku IP adresu primarneho DNS servra pouziva novy, Win2k8 domenovy radic teraz, ako domenovy radic. Best Practice hovori, ze ked mame dva domenove radice, primarny DNS server DC1 by mal ukazovat na DC2 a az potom, ako sekundarny server, moze byt IP adresa 127.0.0.1. A naopak - DC2 ma mat svoj primarny DNS server IP adresu DC1 a az ako sekundarny DNS server pouziva seba sameho (127.0.0.1).

    Predpokladam, ze DNS zona pre domenu je integrovana do AD.

    Pozrite sa do DNS na oboch DC, ci okrem Host A zaznamu pre oba DC existuju aj SRV zaznamy pre oba servre - myslim si, ze tu je problem, a preto NETDiag hlasi, ze nachadza len povodny DC ( Win2k3 ). Su to prave SRV rekrody, ktore identifikuju server ako domeny radic, A zaznam uz potom len doplna, na akej IP adrese sa nachadza. Myslim si tiez, ze preto zlyhalo i DCPromo pri pokuse odobrat Win2k3 ako domeny radic - Vy ste nezaskrtli prepinac, ze je to posledny domenovy radic, ale DCPromo ziadny iny domenovy radic nenaslo. A preto aj tie problemy s klientami a GPO.

    Skuste preto, prosim, nastavit IP adresu Win2k3 servra ako primarny DNS server na Win2k8 domenovom radici. Na Win2k8 servri skontolujte subor netlogon.dns ( myslim, ze c:\Windows\System32\dns - neviem z hlavy presne cestu a nemam momentalne k dispozicii ziadny DC ). Mal by obsahovat SRV zaznamy zapisovane do DNS - len mrknite, ci existuje a ci nie je napriklad prazdny, pripadne ho porovnajte s netlogon.dns suborom, ktory sa nachadza na Win2k3 domenovom radici. Restartujte sluzbu NETLOGON na Win2k8 DC a nasledne zadajte este prikaz ipconfig /registerdns ( pripadne ten server restartujte cely ). Potom zase mrknite do DNS na oboch strojoch, ci su tam uz SRV zaznamy pre oba stroje.

    Pokial tam uz budu zaznamy pre oba servre, NETDiag aj DCDiag by uz nemali reportovat ziaden problem.. A vsetko by mohlo fungovat ...

     

    Zdravim,

    Boris.

    pátek 31. prosince 2010 9:53
  • Nepiste do stareho, navic "vyreseneho" vlakna. Zalozte si vlastni.

    Nebudte liny a hezky popiste, co vam nejde :) 

    pátek 14. března 2014 8:32