none
Un dominio 2 operation master RRS feed

  • Domanda

  • Ciao a tutti, sono qui per mettervi a conoscenza di una situazione alquanto ambigua. premessa il dominio di cui vi sto parlando è figlio di una sciagurata gestione informatica a causa di superficialità dei vecchi sistemisti.

    scenario Dominio Padre su windows server 2008 (PDC) e 2 controller di dominio di backup, un 2003 ed un 2000. 2 domini Figli uno con un solo 2003 l'altro figlio con un 2003 e 2 2000.

    Quest'ultimo dominio figlio risulta avere dei seri problemi. Parto da quello più strano. Da active directory del server 2003 il master operation risulta lui, su entrambi i 2000 il master operation risulta essere uno dei 2000. Se dal dominio padre mi connetto al dominio figlio il master operation risulta essere sempre uno dei 2000. Suppongo quindi che sia un problema del 2003. Mi hanno confermato che il 2003 ha avuto un problema di elettricità e che da quel momento sono iniziati i problemi. la prima cosa che ho risolto è il server DNS sul 2000, fatto questo sono iniziati ed uscire ulteriori messaggi di errore sul 2003 che da siti e servizi da AD non replica le connessioni creando cosi dei seri problemi ai pc ed utenti in dominio (Policy non applicate, password non cambiate etc etc.) Risulta essere anche presente un errore KRB_AP_ERR_MODIFIED che andrebbe risolto con apposita procedura di reset password tramite netdom. Qui si torna al primo problema: andrebbe fatto dal PDC che come detto risulta essere "doppio".

    Avete idea di come procedere? Volevo provare a effettuare un de promozione da AD del 2003 ma essendo per lui un detentore dei 5 ruoli come procedo? AIUTOOOOO!!!!! 

    venerdì 4 gennaio 2013 13:33

Risposte

Tutte le risposte

  • per capire bene come stanno i ruoli fsmo del secondo dominio figlio esegui questo comando

    netdom query /domain:[tuodominiofiglio] fsmo

    su tutti tre i dc del dominio in questione e posta qui il risultato.

    http://www.petri.co.il/determining_fsmo_role_holders.htm

    per quanto riguarda il reset della password il comando non va eseguito verso il master operazioni ma lo puoi eseguire verso qualsiasi degli altri dc quindi tu lo devi eseguire sul dc 2003 verso uno dei due dc 2000.

    vedi qui per chiarirti le idee

    http://support.microsoft.com/kb/325850


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 4 gennaio 2013 14:35
    Moderatore
  • i ruoli in comune sono schema owner ->2003 dominio figlio (mi viene da piangere) e domain role 2008 dominio padre. ve lo posto :

    server 2003 dominio figlio:

    Schema owner                2003.dominiofiglio.it

    Domain role owner           PDC.dominiopadre.it

    PDC role                    2003.dominiofiglio.it

    RID pool manager            2003.dominiofiglio.it

    Infrastructure owner        2003.dominiofiglio.it

    The command completed successfully.

    server 2000 domino figlio entrambe

    Schema owner                2003.dominiofiglio.it

    Domain role owner           PDC.dominiopadre.it

    PDC role                    2000_1.dominiofiglio.it

    RID pool manager            2000_1.dominiofiglio.it

    Infrastructure owner        2000_1.dominiofiglio.it

    The command completed successfully.

    per 2000.dominiofiglio.it intendo il server 2000 

    Aggiungo che se disattivo il servizio KDC l'errore della replica si tramuta in errore lifetime dall'ultima replica (avvenuta a giugno 2011)


    • Modificato Celletti venerdì 4 gennaio 2013 15:04
    venerdì 4 gennaio 2013 15:03
  • trasferisci i ruoli

    PDC role                    2003.dominiofiglio.it

    RID pool manager            2003.dominiofiglio.it

    Infrastructure owner        2003.dominiofiglio.it

    a 2000_1.dominiofiglio.it

    seguendo qui

    http://support.microsoft.com/kb/324801

    e poi li sposterai tutti da 2000_1 a 2003 quando le repliche da 2003 riprenderanno a funzionare.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 4 gennaio 2013 15:21
    Moderatore
  • Non è possibile effettuare il passaggio dei ruoli, forse mi sono espresso male. sia il 2003 del dominio figlio sia il 2000 del dominio figlio "credono" di essere i detentori dei ruoli PDC,RID e Infrastucture owner. da mmc di user and computers i ruoli risultano assegnati a se stessi e se si preme il tasto cambio la risposta è "collegati al server che non ha i ruoli per fare questo"

    La situazione è pazzesca......

    venerdì 4 gennaio 2013 15:34
  • ti spiacerebbe riportare un po' di errori che certamente non mancheranno nel registro eventi del dc 2003 e del dc 2000_1 ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 4 gennaio 2013 16:11
    Moderatore
  • A te e grazie ma non so piu cosa fare credo che se faccio un bel dcpromo /forceremoval perdo le licenze terminal server al momento della ripromozione in dominio. e non deve succedere.

    server 2000_1:

    Event Type: Warning
    Event Source: NtFrs
    Event Category: None
    Event ID: 13508
    Date: 1/4/2013
    Time: 3:50:14
    User: N/A
    Computer: 2000_1
    Description:
    The File Replication Service is having trouble enabling replication from 2003 to 2000_1 for c:\winnt\sysvol\domain using the DNS name 2003.dominiofiglio.dominiopadre.it. FRS will keep retrying. 
     Following are some of the reasons you would see this warning. 
     
     [1] FRS can not correctly resolve the DNS name 2003.dominiofiglio.dominiopadre.it from this computer. 
     [2] FRS is not running on 2003.dominiofiglio.dominiopadre.it. 
     [3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers. 
     
     This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established. 
    Data:
    0000: 21 07 00 00               !...    

    server 2003

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1030
    Date: 04/01/2013
    Time: 17.07.25
    User: NT AUTHORITY\SYSTEM
    Computer: 2003
    Description:
    Windows cannot query for the list of Group Policy objects. Check the event log for possible messages previously logged by the policy engine that describes the reason for this.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Event Type: Error
    Event Source: Userenv
    Event Category: None
    Event ID: 1097
    Date: 04/01/2013
    Time: 17.07.25
    User: NT AUTHORITY\SYSTEM
    Computer: 2003
    Description:
    Windows cannot find the machine account, The logon attempt failed .

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Event Type: Error
    Event Source: NTDS Replication
    Event Category: Replication 
    Event ID: 2042
    Date: 04/01/2013
    Time: 16.54.11
    User: NT AUTHORITY\ANONYMOUS LOGON
    Computer: 2003
    Description:
    It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source. 
    The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted. 
    Time of last successful replication:
    2011-04-14 18:10:19 
    Invocation ID of source: 
    0385f6c8-f6b8-0385-0100-000000000000 
    Name of source: 
    7c5d04ae-add5-4e24-82f4-a82fa34f5c40._msdcs.dominiopadre.it 
    Tombstone lifetime (days): 
    60 
     
    The replication operation has failed.
     
    User Action:
     
    Determine which of the two machines was disconnected from the forest and is now out of date. You have three options: 
     
    1. Demote or reinstall the machine(s) that were disconnected. 
    2. Use the "repadmin /removelingeringobjects" tool to remove inconsistent deleted objects and then resume replication. 
    3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it is recommended that you remove the key to reinstate the protection. 
     Registry Key:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner


    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Event Type: Warning
    Event Source: NtFrs
    Event Category: None
    Event ID: 13508
    Date: 04/01/2013
    Time: 12.44.25
    User: N/A
    Computer: 2003
    Description:
    The File Replication Service is having trouble enabling replication from 2001_1 to 2003 for c:\windows\sysvol\domain using the DNS name 2001_1.dominiofiglio.dominiopadre.it. FRS will keep retrying. 
     Following are some of the reasons you would see this warning. 
     
     [1] FRS can not correctly resolve the DNS name 2001_1.dominiofiglio.dominiopadre.it from this computer. 
     [2] FRS is not running on 2001_1.dominiofiglio.dominiopadre.it. 
     [3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers. 
     
     This event log message will appear once per connection, After the problem is fixed you will see another event log message indicating that the connection has been established.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 21 07 00 00               !...    

    Attendo con ansia

    venerdì 4 gennaio 2013 16:31
  • A te e grazie ma non so piu cosa fare credo che se faccio un bel dcpromo /forceremoval perdo le licenze terminal server al momento della ripromozione in dominio. e non deve succedere.


    ma il server delle licenze terminal dov'è installato ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 4 gennaio 2013 16:37
    Moderatore
  • A te e grazie ma non so piu cosa fare credo che se faccio un bel dcpromo /forceremoval perdo le licenze terminal server al momento della ripromozione in dominio. e non deve succedere.


    ma il server delle licenze terminal dov'è installato ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Sul 2003, tra l'altro indagado ulteriormente, anche il server 2000_1 ha delle licenze terminal installate. Devo comunque preservare le licenze installate su entrambe dato che il gestionale che utilizzano ora passa tramite il connessioni rdp al 2003 e al 2000_1.... 

    ancora non mi capacito su come i vecchi IT siano arrivati ad avere 2 pdc......

    venerdì 4 gennaio 2013 19:16
  • a qaunto mi risulta il license server di licenze terminal non è connesso al fatto di essere o meno domain controller tanto che il license server potrebbe essere tranquillamente un server membro.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    domenica 6 gennaio 2013 12:34
    Moderatore
  • a qaunto mi risulta il license server di licenze terminal non è connesso al fatto di essere o meno domain controller tanto che il license server potrebbe essere tranquillamente un server membro.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Infatti in attesa di un vostro prezioso aiuto sto installando un server 2003 su un pc desktop e spero che la procedura di passaggio licenze vada a buon fine. Ho visto che non è più possibile passare un server di licenze sul 2000, su 2003 è possibile? In caso positivo il passare le licenze su un nuovo 2003 si porta dietro tutte le configurazioni relative agli user ? il server ovviamente è in user mode per l'accesso sul server in rdp. Infine. in caso di passaggio positivo a nuovo server di licenze, sarà poi possibile collegarsi al server 2000 direttamente visto che ora è possibile farlo solo tramite alcuni client?

    Grazie mille!!!!

    martedì 8 gennaio 2013 14:31
  • a qaunto mi risulta il license server di licenze terminal non è connesso al fatto di essere o meno domain controller tanto che il license server potrebbe essere tranquillamente un server membro.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Infatti in attesa di un vostro prezioso aiuto sto installando un server 2003 su un pc desktop e spero che la procedura di passaggio licenze vada a buon fine. Ho visto che non è più possibile passare un server di licenze sul 2000, su 2003 è possibile? In caso positivo il passare le licenze su un nuovo 2003 si porta dietro tutte le configurazioni relative agli user ? il server ovviamente è in user mode per l'accesso sul server in rdp. Infine. in caso di passaggio positivo a nuovo server di licenze, sarà poi possibile collegarsi al server 2000 direttamente visto che ora è possibile farlo solo tramite alcuni client?

    Grazie mille!!!!

    Nessuna novità? Come consigliate di procedere?
    mercoledì 9 gennaio 2013 13:11
  • io farei così:

    fai un backup completo del server win2k3 comprensivo del system state in modo che tu possa, in caso di problemi, ripristinarlo completamente riportandolo allo stato attuale.

    poi esegui un dcpromo per spromuoverlo da domain controller e verifica se continua tutto a funzionare come license server.

    io sono convinto che funzionerà ugualmente, ma se così non dovesse essere potrai sempre fare il restore del backup.

    fatta questa operazione tornerai a fare il dcpromo per ripromuoverlo correttamente verificando che replichi in maniera adeguata cn gli altri dc.

    a quel punto farai il trasferimento di tutti i ruoli fsmo sul win2k3.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 9 gennaio 2013 13:21
    Moderatore
  • io farei così:

    fai un backup completo del server win2k3 comprensivo del system state in modo che tu possa, in caso di problemi, ripristinarlo completamente riportandolo allo stato attuale.

    poi esegui un dcpromo per spromuoverlo da domain controller e verifica se continua tutto a funzionare come license server.

    io sono convinto che funzionerà ugualmente, ma se così non dovesse essere potrai sempre fare il restore del backup.

    fatta questa operazione tornerai a fare il dcpromo per ripromuoverlo correttamente verificando che replichi in maniera adeguata cn gli altri dc.

    a quel punto farai il trasferimento di tutti i ruoli fsmo sul win2k3.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    Il backup del system state non lo fa eseguire (avevo provato questo in previsione del demote ) questo è l'errore:

    Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x8007000e. 

    I servizi sono ok ed il comando "vssadmin list writers" torna al prompt senza errori.

    per il demote sarebbe stata la prima operazione che avrei fatto, ma dalla console user and computer di AD sul 2k3 risulta essere lo stesso 2k3 il pdc. Mentre se controllo i ruoli sul win2k il pdc risulta essere il win2k. Tecnicamente ho 2 domini con lo stesso nome nella stessa rete se spengo il win2k3 tutto tranne ovviamente l'rdp torna a funzionare. Il dominio che risiede su win2k3 avendo come pdc il win2k3 e se effettuo il demote vado incontro a problemi di natura sconosciuta. 

    senza dimenticare che il per entrambi i domini il master schema è il win2k3. Questo fa lavorare male anche il dominio padre che non applica correttamente le policy ai pc del dominio padre. Sta prendendo piede lo spostamento del server licenze su win2k3 di appoggio, rasare il win2k3 senza pietà e pulire ad delle traccie. 

    mercoledì 9 gennaio 2013 14:07
  • Nessuna nuova?
    giovedì 10 gennaio 2013 16:00
  • Il backup del system state non lo fa eseguire (avevo provato questo in previsione del demote ) questo è l'errore:

    Volume Shadow Copy Service error: Unexpected error querying for the IVssWriterCallback interface.  hr = 0x8007000e. 

    segui questo blogpost

    http://freetechanswers.blogspot.it/2010/04/how-to-reinstall-or-fix-volume-shadow.html


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Anca Popa lunedì 28 gennaio 2013 11:39
    sabato 12 gennaio 2013 18:47
    Moderatore
  • Scusa ExerviceSRL,

    Non abbiamo ricevuto alcun aggiornamento e mi chiedevo se possiamo aiutarti ulteriormente o se il problema è stato risolto.

    Se così fosse ti saremmo grati di condividere il tuo feedback in questo spazio ricordandoti che altri membri della community potrebbero riscontrare comportamenti simili.

    Grazie in anticipo,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    giovedì 24 gennaio 2013 10:03