none
Převod domény ze serveru 2003R2 na 2008R2, problém s globálním katalogem(?)

    Dotaz

  • Dobrý den, pokouším se převést ze starého (2003R2, název XYZZY) na nový server (2008R2, název XYZZYNIL, úroveň 2003) všechny role a služby, původní server pak zrušit.
    Postupoval jsem dle tohoto návodu http://www.samuraj-cz.com/clanek/prevod-domeny-zwindows-server-2003-na-windows-server-2008-r2/ . Nyní jsem v situaci, kdy by mělo být vše převedeno, ovšem po odpojení nového HW od sítě nemám k dispozici uživatele z domény - například při přidávání sdílení - ale pouze lokální. Myslím si, že v tom případě není k dispozici Globální katalog.
    v progamu MMC mám tyto snap-in moduly a tam
    * Domény a vztahy důvěryhodnosti AD: XYZZYNIL.domena
    * Lokality a služby AD: XYZZYNIL.domena;  NTDS settings u XYZZY vypnuto, u XYZZYNIL zapnuto Globální katalog
    * Uživatelé a počítače AD: XYZZYNIL.domena (obě tyto skupiny jsou správně překopírovány)
    * Schéma služby AD: XYZZYNIL.domena
    * DNS ... pouze podsložka XYZZYNIL

    Kde hledat, co zkontrolovat? Děkuji...

    5. listopadu 2014 13:26

Odpovědi

  • Dnes jsem venoval nekolik hodin prenosu funkce domenoveho radice v temer stejne konfiguraci, s jakou pracujete vy. Misto W2K3 R2 mam W2K3 SP2, ale to by nemelo mit vliv. V prubehu prevodu se ukazalo, ze to neni zcela hladky proces.

    Jenomze... Pokud byste si dal rici a sledoval protokol udalosti, tak tam je i rada, co mate udelat. Pri demontovani (dcpromo) puvodniho serveru nejde zastavit sluzba netlogon a musi se smazat jeden RR zaznam v DNS a odskrtnou GC na puvodnim serveru - odstraneni v GUI  ADSS v novem serveru. Po smazani zaznamu uz demontovani stareho serveru probehlo dobre.

    Dalsi "problem" je v tom, ze v ADSS zustava puvodni server. Ten jsem smazal prostym vymazanim (oznacit a smazat).

    Po odstraneni DNS serveru v puvodnim serveru uz novy server (DC) pracoval dobre. V novem domenovem radici, presneji v jeho DNS, neni v RR zaznamech ani stopa po puvodnim domenovem radici.

    Pokud operaci

    'nltest /server:NOVY /dsgetdc:domena'

    provadite na novem serveru, je parametr /server: zbytecny. nltest bez udani serveru (coz se pouziva pri remotingu) bere data z lokalniho DNS. Takze pokud po prevodu FSMO na novy server, odstraneni role DC na starem serveru a odstraneni role DNS na starem serveru neni mozne, aby po provedeni demontaze stareho serveru byl nekde odkaz na stary domenovy radic.

    Instalovat dva DC do VM na stejnem serveru nema moc smysl. Pri selhani fyzickeho serveru uz nemate nic k dispozici.

    Jeste k prenosu roli FSMO z jednoho radice na druhy: Akci musite provest s uctem administratora, ktery ma nejvyssi prava. S touto funkcionalitou jsem nemel nikdy problem.

    M.


    9. listopadu 2014 19:24
    Moderátor

Všechny reakce

  • Dobry den,

    nerozumim tehle vete "po odpojení nového HW od sítě......"

    jinak test, zda je server globalnim katalogem provedete z prikazoveho radku DC nebo jakehokoli jineho PC v domene:

    nltest /server:XYZZYNIL /dsgetdc:domena.neco

    5. listopadu 2014 14:01
  • A máš nějaký důvod, proč vytvářet novou doménu? Standardní postup je, že se do stávající domény přidá nový DC, počká se na replikaci, převedou se role, nastaví se DNS servery ve vlastnostech TCP/IP na klientech a pak se KOREKTNĚ odebere starý DC.

    A mimochodem mít v produkčním prostředí doménu jen na jednom DC není nejlepší nápad . . .


    BB

    5. listopadu 2014 14:01
  • "po odpojení nového HW od sítě" znamená, že vytáhnu kabel z PC, na němž je nový server nainstalován, takže se nemůže spojit s původním serverem.
    Nj, takže tento příkaz při odpojené síti nefunguje (nelze se spojit) a při připojené mi napíše Řadič domény: \\xyzzy.domena = starý server. Takže ten řadič domény pořád není převeden...

    5. listopadu 2014 14:17
  • Se snažím převést tu starou na nový server (HW i SW), nechci vytvářet novou...
    5. listopadu 2014 14:20
  • Aha, já to špatně pochopil. Myslel jsem, že ty Tvoje XYZ názvy jsou jména domén a ono to jsou jména serverů.

    1. Co říkají eventlogy na novém i starém serveru.

    2. Co říká DCDIAG na novém serveru?

    3. Ty na novém serveru vidíš nějaké lokální uživatele? Na DC nejsou žádní lokální uživatelé!

    4. Běží na novém severu DNS server?

    5. Jaké DNS servery máš ve vlastnostech TCP/IP na serverech i klientech?


    BB

    5. listopadu 2014 14:25
  • takze jeste jednou, proc odpojovat novy HW? prece je cilem prevest vse na nej...pokud je GC jen na novem HW, pak se to chova korektne ne?

    necetl jsem cely clanek na samuraji, ale jak pise BB, je lepsi pridat novy server, udelat z nej druhy DC, prevest vsechny role na nej a pak ten stary odebrat...

    5. listopadu 2014 14:29
  • 1. eventlogy čeho konkrétně? každopádně když rozpojím síť, tak začnou vyskakovat chyby třeba u služby AD DS (nelze navázat spojení s globálním katalogem), přitom podle NTDS settings mám globální katalog na novém... ovšem podle nltest /server:XYZZYNIL /dsgetdc:domena je řadič domény pořád na starém...

    DCdiag toho říká hodně :-) domovský server:XYZZYNIL(nový), ale DsGetDcName vrátila informace pro XYZZY(starý) a pak SERVER NEREAGUJE...

    Tohle asi nemá cenu, někde je závažná chyba, možná proto, že jsem se snažil převod provést z příkazové řádky, když kvůli vypnutému IPV6(!) nebyl ten nový dostupný. Vrátím všechny možné role a služby na starý, odinstaluju AD a začnu znova...

    5. listopadu 2014 14:41
  • Jak už jsem psal, jdu na to znova, protože někde je něco při těch převodech zmršeného... Nový HW odpojuju, abych jednoduše zjistil, jestli už funguje samostatně.

    Potom se případně ještě ozvu... Jinak díky za ten nltest.

    5. listopadu 2014 14:52
  • 1. Pri vsi ucte k "Samurajum" doporucuji si precist ty casti Technetu, ktere se migrace tykaji. Clanek jsem precetl a nektere veci tam chybi.

    2. Z vaseho popisu lze tezko rici, kde nastala chyba. Predevsim prevod databaze nejakou chvili trva a mel byste se presvedcit, ze replikace probehla v poradku. Po prevedeni roli z puvodniho DC na novy a replikaci GC bych zrusil GC na puvodnim serveru a nasledne provedl prikaz, dcpromo, pricemz nesmite potvrdit, ze jde o posledni server. Tim se stava puvodni server pouze clenem domeny. RR v novem server (DNS) ukazuji na spravny DC. Po zruseni DNS na starem serveru, pokud jste to jiz neudelal zkontrolujete, zda neni po starem DNS stopa na novem DNS (A, PTR)

    3. Krome diagnostickych nastroju pouzivate protokol udalosti (Event log) jako jeden ze zakladnich analytickych nastroju nejen pri prevodu domeny.

    4. Fyzicke odpojeni noveho DC od site postrada jakykoliv smysl

    5. Jak na to chcete jit znova, kdyz mate z puvodniho DC asi jen clen domeny? To muzete udelat po uplnem obnoveni puvodniho DC ze zalohy, kterou jste dozajiste udelal pred pokusem o prevod domenoveho radice.

    6. Na stanicich a starem serveru budete muset vypraznit DNS cache, na stanicich, pokud mate dynamicke pridelovani IP, GW,DNS,... budete muset obnovit tyto hodnoty (release -> renew)

    7. Ozvat byste se mel, ne jen "pripadne", protoze bychom meli pripad nejakym zpusobem uzavrit. Reseni by mohlo pomoci dalsim administratorum.

    M.

    PS: Mozna jste mel otestovat nejdrive postup ve virtualnim prostredi, pripadne v ostrejsi verzi s prevedenym DC na VHD (viz Sysinternals).


    6. listopadu 2014 5:21
    Moderátor
  • Osobne preferuji mit GC na VSECH DCs

    MP

    6. listopadu 2014 7:47
    Moderátor
  • Ja take, ale... : Puvodni server se rusi a pokud to chapu dobre, pocita se s jednim DC. Takze osobni doporuceni je bezpredmetne. Cituji: " ...původní server pak zrušit "

    M.


    6. listopadu 2014 11:00
    Moderátor
  • Děkuji za příspěvek.

    Sepíšu to znova a pokud možno přehledněji. Problém je možná i v tom, že se bojím zrušit cokoliv na starém serveru, protože prostě potřebuju mít v síti funkční server (s mnoha dalšími programy pro celou síť)... Provedl jsem toto:
    a) nový server jsem připojil do původní sítě, dal mu název NOVY a připojil jej do domény na STAREM
    b) pomocí příkazu DCPROMO jsem na novém serveru nainstaloval záložní řadič domény, na který se tak automaticky překopírovala databáze Active directory se všemi uživatelskými účty a počítači atd.
    c) provedl jsem _převod_ rolí podle http://support.microsoft.com/kb/255504/cs, tj. všechny varianty "transfer"; nyní mám na novém serveru v MMC všude NOVY.domena u těchto položek:
    1) domény a vztahy důvěryhodnosti služby AD 2) lokality a služby AD 3) uživatelé a služby AD 4) schéma služby AD;
    zároveň je u DNS pouze podskupina NOVY a u serverů v Lokality a služby odškrtnuto ve vlastnostech NTDS settings [ ] Globální katalog u STARY a toto zaškrtnuto [v] u NOVY

    Ovšem při zadání příkazu 'nltest /server:NOVY /dsgetdc:domena' mi stále vypisuje řadič domény: STARY.domena a jeho IP adresu.

    Takže mám dotaz, jak převést tento Řadič domény na NOVY? Lze to udělat bez jeho odebrání pomocí dcpromo na STAREM? Respektive, lze to případně bezpečně vrátit na ten STARY v případě, že neuspěju?

    8. listopadu 2014 12:11
  • Je mi lito, ale z vaseho popisu NENI JASNE, co jste provadel. A jeste horsi je, ze si nenechate poradit. Prevedeni FSMO jste mohl provest na cilovem (novem) DC v GUI.

    Pokud chcete, aby bezel i nadale stary server, tak na nem nechte GC a nespoustejte dcpromo. Take nemente uroven domeny a lesu.

    Tohle bude bohuzel nejaky nesmysl:"Takže mám dotaz, jak převést tento Řadič domény na NOVY?" Radic je fyzicky stroj a prevadite jen role ze stareho serveru na novy pote co vytvorite novy radic domeny s DNS serverem. (Oba fyzicke servery maji rozdílné IP adresy a rozdilna jmena.)

    "Lze to udělat bez jeho odebrání pomocí dcpromo na STAREM?" Pokud vytvorite novy radic domeny, mužete odebrat stary radic domeny pomoci dcpromo. Nesmite zaskrtnout pri teto operaci, ze jde o posledni radic domeny. Pokud k tomu nemate nejaky zvlastni duvod pro odstraneni stareho serveru, je dobre nechat stary radic bezet. Plati pravidlo, ze pro vetsi spolehlivost systemu je dobre provozovat DVA radice domeny.

    M




    8. listopadu 2014 19:47
    Moderátor
  • Nenapadá mě, jak to lépe popsat... Prostě jsem se po zkopírování databáze AD a DNS snažil převést všechny role FSMO. Pomocí GUI to přes opakované pokusy nešlo, konkrétně přes Změnit řadič domény v popsaných 4 položkách v MMC se jakoby řadič změnil, ale po restartu bylo zas u většiny STARY.domena...
    Teď už je všude NOVY.domena (u popsaných položek v MMC), ALE

    ... ten dotaz, jak převést Řadič domény na NOVY jsem položil proto, že mě mate výsledek příkazu 'nltest /server:NOVY /dsgetdc:domena', který ukazuje stále na původní STARY počítač.

    Starý server chci odstranit, protože na novém počítám s virtuálními PC pod HyperV, kde by případně byla další kopie AD (a na tom PC by šlo dobře zálohovat celý systémový disk). Aby tu běžel celý fyzický server 7/24 jen kvůli kopii řadiče domény se mi zdálo zbytečné.

    Asi to teda risknu a na STAREM odeberu pomocí dcpromo starý řadič :-/

    9. listopadu 2014 11:15
  • Dnes jsem venoval nekolik hodin prenosu funkce domenoveho radice v temer stejne konfiguraci, s jakou pracujete vy. Misto W2K3 R2 mam W2K3 SP2, ale to by nemelo mit vliv. V prubehu prevodu se ukazalo, ze to neni zcela hladky proces.

    Jenomze... Pokud byste si dal rici a sledoval protokol udalosti, tak tam je i rada, co mate udelat. Pri demontovani (dcpromo) puvodniho serveru nejde zastavit sluzba netlogon a musi se smazat jeden RR zaznam v DNS a odskrtnou GC na puvodnim serveru - odstraneni v GUI  ADSS v novem serveru. Po smazani zaznamu uz demontovani stareho serveru probehlo dobre.

    Dalsi "problem" je v tom, ze v ADSS zustava puvodni server. Ten jsem smazal prostym vymazanim (oznacit a smazat).

    Po odstraneni DNS serveru v puvodnim serveru uz novy server (DC) pracoval dobre. V novem domenovem radici, presneji v jeho DNS, neni v RR zaznamech ani stopa po puvodnim domenovem radici.

    Pokud operaci

    'nltest /server:NOVY /dsgetdc:domena'

    provadite na novem serveru, je parametr /server: zbytecny. nltest bez udani serveru (coz se pouziva pri remotingu) bere data z lokalniho DNS. Takze pokud po prevodu FSMO na novy server, odstraneni role DC na starem serveru a odstraneni role DNS na starem serveru neni mozne, aby po provedeni demontaze stareho serveru byl nekde odkaz na stary domenovy radic.

    Instalovat dva DC do VM na stejnem serveru nema moc smysl. Pri selhani fyzickeho serveru uz nemate nic k dispozici.

    Jeste k prenosu roli FSMO z jednoho radice na druhy: Akci musite provest s uctem administratora, ktery ma nejvyssi prava. S touto funkcionalitou jsem nemel nikdy problem.

    M.


    9. listopadu 2014 19:24
    Moderátor