none
Problém s přesunem GPO z Win. ser. 2003 na 208

    Dotaz

  • Dobrý den,

    mám starý Windows server 2003 a nový Windows server 2008. Zprovoznil jsem nový server, vyreplikoval jsem AD a převedl všechny funkce. Když jsem chtěl odebrat starý server z řadiče domény, tak jsem narazil na problém s GPO. Pokud vypnu starý server, tak se nemohu přihlásit, protože nemám dostatečná oprávnění. Nyní mi musí běžet oba dva. 

    Snažil jsem se na novém serveru nastavit GPO. Pokud v GPO nastavím jako řadič domény nový server, tak již nemohu GPO upravovat.

    Děkuji předem za rady.

    Pavel

    14. března 2014 8:53

Odpovědi

Všechny reakce

  • Dobry den, napada mne, zda jste prepnul Domain Master, katalog atd.. na novy server.

    R.

    14. března 2014 9:34
  • A proč myslíš, že je problém v GPO?

    1. FSMO role jsou převedeny?

    2. Co konfigurace DNS (jaká IP je v TCP/IP na novém serveru a stanicích, jaké SRV záznamy jsou registrovány)?

    3. Co to znamená, že nemáš dostatečná oprávnění? Jaké jsou chybové hlášky v eventlogu (stanice i server)?


    BB


    14. března 2014 9:40
  • FSMO role jsem převedl.

    Nyní mám puštěné oba dva servery.

    Pokud si na novém serveru zapnu Správa zásad skupiny, nastavím si změnit řadič domény na nový server, tak pokud chci editova zásadu skupiny,  tak tohodí hlášku Chyba zásad skupiny, nepodařilo se otevřít objekt zásad skupiny. Pravděpodobně nemáte příslušná práva. Síťový název nelze nalézt.

    Pokud vypnu oba dva servery, tak při zapnutí pouze nového serveru se na něj nejsem schopen přihlásit.

    Pavel


    14. března 2014 9:58
  • Chybí mi odpověď na otázku č.2.

    Chybí mi hlášky z eventlogu.


    BB

    14. března 2014 10:03
  • Opravdu vsechny FSMO? FSMO roli je 5.

    Je novy server i GC?

    Me to "zavani" neprenesenou PDC roli, nebo neexistenci GC.
    14. března 2014 10:06
  • IP adresa nového serveru: 10.0.0.2

    Nastavení TCP/IP stanice:

    IP: adresa stanice 10.0.0.12

    DNS: 10.0.0.2

    Eventlog najdu kde?

    14. března 2014 10:12
  • "Eventlog najdu kde?" . . . promiň, to myslíš vážně?

    Eventlog spustíš příkazem EVENTVWR.EXE nebo ho najdeš ve konzoli Computer (Server) management.

    K tomu DNS: jaký DNS server má nastaven nový server, sám sebe?


    BB

    14. března 2014 11:38
  • FSMO role jsem převedl dle tohoto článku

    http://support.microsoft.com/kb/255690/cs.

    14. března 2014 11:39
  • Prosim spustit na novem serveru v CMD prikaz: netdom query fsmo

    Vsechny role musi ukazovat na novy server.

    14. března 2014 11:55
  • Příkaz jsem provedl a všechny role odkazují na nový server.
    14. března 2014 12:04
  • Nový server má nastavené dns1: na bránu (10.0.0.137) a druhé dns2: na sám sebe
    14. března 2014 12:22
  • Tak to je klasicka CHYBA.

    DNS sitove karty serveru MUSI byt nastaveno JEN na domenove DNS servery. Tj mate-li jeden DC server, pak sam na sebe. Nejjednoduseji na 127.0.0.1



    14. března 2014 12:44
  • Změnil jsem tedy DNS na 127.0.0.1 a 10.0.0.137 (brána).

    V GP změním hlavní řadič na nový server a opět nemohu upravovat nastavení.

    Chyba zásad skupiny, nepodařilo se otevřít objekt zásad skupiny. Pravděpodobně nemáte příslušná práva. Síťový název nelze nalézt.

    14. března 2014 12:50
  • Asi mluvime kazdy jinou reci. Proto zesilim duraz:

    JENOM na 127.0.0.1   NESMI TAM BYT JINY DNS SERVER.

    Proc tam proboha mermomoci cpete tu branu? na DC bezi vlastni DNS server, ktery sam zprostredkuje komunikaci s internetovymi DNS servery. Dulezite je, aby v DNS serveru domeny byly spravne zaznamy, ktere si tam DC sam zavede. POkud se o to snazi u vaseho routeru, nepochodi. Router je jen DNS cache. NENI to plnohodnotny DNS server, natoz aby umel cokoliv, co domena potrebuje.

    14. března 2014 13:01
  • Nechal jsem tam pouze 127.0.0.1. Bohužel stále je to stejné.
    14. března 2014 13:10
  • Otazkou je, zda za soucasneho stavu (vzhledem k tomu, jak jste mel nastaveny DNS pred chvili) obsahuje vas DNS server na DC spravne zaznamy.

    Muzete zkontrolovat v konzoli DNS serveru = vetve _tcp musi obsahovat gc, ldap a kerberos zaznamy pro tento DC server. Vzhledem k tomu, ze jste se pred chvili ptal kde je Eventlog, tak to pravdepodobne pro vas neni to prave orechove. 

    Taky muzete na DC spustit prikaz DCDIAG. Vsechny podezrele vypisy hlasit.

    14. března 2014 13:19
  • 1. Nevidim zminku o adprep. Aplikoval jste adprep?

    http://support.microsoft.com/kb/255504/CS

    V clanku je uvedeny take prenos roli pomoci funkce ntdsutil.

    http://technet.microsoft.com/en-us/library/dd464018(v=ws.10).aspx

    2. Pred pripojenim noveho serveru 2008 jste mel nastavene ve vlastnostech TCP/IP sitove karty IP adresu serveru 2003. Po pripojeni do domeny a instalaci DNS na novem serveru jste mel nastavit prvni hodnotu IP DNS na sebe (tj IP 2008) a druhou IP na stary server. Predpokladam, ze na novem serveru je DNS "integrovane a bezpecne".

    3. Troubleshooting AD/DNS - postupujte podle

    http://technet.microsoft.com/en-us/library/bb727055.aspx

    4. Teprve az vse funguje jak ma, muzete "odmontovat" stary server.

    5. Odkaz http://support.microsoft.com/kb/255690/cs se tyka Windows 2000. To neni vas pripad. Prenos jste mel udelat z grafickeho rozhrani serveru 2008.

    6. Je nutne se presvedcit, ze probehla spravne replikace

    http://support.microsoft.com/kb/255504/CS

    M.



    14. března 2014 13:31
    Moderátor
  • pustil jsem příkaz DCDIAG a vše proběhlo dobře kromě LocatorCheck, který nahlásil chybu 1335, nebylo možné najít server globálního katalogu.
    14. března 2014 13:31
  • 1.  http://support.microsoft.com/kb/958804

    2. Mozna budete udelat restore sysvol ze zalohy.

    3. Mozna pomuze nltest.exe /dsregdns

    M.

    14. března 2014 14:21
    Moderátor
  • Adrep jsem neaplikoval.

    Všechny role jsem přenesl. Dle předchozích rad jsem změnil nastavení DNS, tak že nový server odkazuje sám na sebe (127.0.0.1) a starý odkazuje na nový (10.0.0.2)


    14. března 2014 14:22
  • Tak jsem se díval do složky sysvol na novém serveru (w2008) a ta složka je k moji doméně prázdná.

    Žádnou zálohy složky sysvol nemám.

    14. března 2014 14:45
  • Žádnou zálohy složky sysvol nemám.

    Nejlepší by bylo odebrat tomu serveru roli DC a začít znova, ale nejsem si jistý zda to za tohoto stavu půjde. Zkuste pogooglit s hesly "2008 DC missing SYSVOL" ev netlogon a prostudovat články na toto téma např. tenhle

    Eventlog najdu kde?

    Dobrý joke, takhle při pátku. Ale lepší by to bylo o dva týdny později (1.4.) To jste s tím nemohl chvíli počkat? :-)



    14. března 2014 15:08
  • Ja bych nechal prvni nastaveni DNS na sebe a druhe na "protejsi" server. U 2003 jsem pouzival "skutecnou" adresu, u 2008 R2 loopback adresu. Pokud je nastaveni spatne, objevuje se v  protokolu udalosti chyba 1058 a 1030. Je to proto, ze startujici server nevidi na AD. Pred 10 lety jsem to resil s 2003.

    Pro pripad 2003

    IP adresy serveru

    DC1    10.0.0.1

    DC2    10.0.0.2

    Nastaveni DNS:

    DC1    10.0.0.1    10.0.0.2

    DC2    10.0.0.2    10.0.0.1

    Kdyby tyto servery byly 2008 R2, bylo by nastaveni DNS nasledujici:

    DC1   127.0.0.1   10.0.0.2

    DC2   127.0.0.1   10.0.0.1

    Druhou hodnotu nastaveni DNS noveho serveru odstranite az po odinstalovani stareho serveru a na serveru je hodnota IP(DNS1)=127.0.0.1 IP(DNS2)=NEUVEDENA

    Na zadnem pocitaci v siti neni v nastaveni sitove karty v kolonce DNS 1 a DNS 2 hodnota jina nez IP(DC), ktera odpovida zaznamu A pro tento server.

    Tipoval bych, ze problem je v sysvol. Z absence obsahu sysvol, nebo jeho casti vyplyvaji problemy s GPO.

    A jeste oblibeny dodatek: Je lepe mit vzdy dva DC pro pripad havarie DC.

    M.




    14. března 2014 15:11
    Moderátor
  • Ja bych nechal prvni nastaveni DNS na sebe a druhe na "protejsi"

    Já si matně pamatuji, že kdysi jsem dokonce viděl doporučení to dát obráceně (napřed "protější"). To když někdo řešil pomalý start DC. Ale asi to bylo na starších systémech, nevím zda tomu u 2008+ to není jinak.
    14. března 2014 15:32
  • Formalne to je jedno, protoze se servery "chyti", ale cervenych hlasek se nezbavite. Prvni hlaska smeruje k problemu a vsechny dalsi jsou upozorneni, ze v "minulosti" nastala chyba.  Ja opravdu nevim, k cemu bych plnil protokol udalosti zbytecnymi hlaskami.

    ... je to deset let, ale pamatuji si to velmi ostre. Mel jsem z toho tehda malem osypky :-)

    U 2008 R2 jsem to uz neresil (... ani jsem nemusel upravovat suffix u jmena jako u 2003). 2008 R2 davaji jako prvni defaultne loopbackovou adresu.

    M.



    14. března 2014 16:22
    Moderátor
  • pustil jsem příkaz DCDIAG a vše proběhlo dobře kromě LocatorCheck, který nahlásil chybu 1335, nebylo možné najít server globálního katalogu.

    Jako jednu z prvnich veci jsem se ptal, jestli je novy DC server i GC. Evidentne neni. Napravit.

    Viz moje veta ze 14.3.: Me to "zavani" neprenesenou PDC roli, nebo neexistenci GC.

    http://technet.microsoft.com/en-us/library/cc728188%28v=ws.10%29.aspx

    Zde se jasne pise, ze na existenci GC je primo zavisly User logon.

    A pokud nemate nic v Sysvolu a stary DC jeste funguje, pak ho zase zapnete. Velice pravdepodobne jste nemel spravne zaznamy v DNS = sysvol se nereplikoval.

    A az bude vsechno fungovat, tak stary DC odeberte z domeny korektne, ne ze ho jen vypnete.


    16. března 2014 22:25