none
migrazione AD win2000 win2008 RRS feed

  • Domanda

  • Ciao, per sostituire un server win2000 gli ho affiancato un server2008 con l'intento successivo di spegnere definitivamente win 2000 e lasciare solo il controller AD win2008.

    Prima di passare al lavoro vero e proprio sui server di produzione, ho voluto testare la configurazione con macchine virtuali, la situazione è però la stessa.

    Attualmente la rete si compone di un AD controller win2000 (da eliminare), un AD controller win2008 e una decina di pc xp.

    Premetto che aggiungendo il server 2008 ho innalzato il livello di funzionalità del controller win2000 a native mode.
    Ho esteso lo schema AD su win2000 col dvd di 2008, + ho esteso lo schema della foresta AD.

    Ho trasferito correttamente i ruoli sul nuovo controller AD win 2008, ho verificato tramite netdom query fsmo che fossero tutti a posto, ed è così.  Alla fine ho impostato il global catalog solo sulla macchina win2008 tramite dssite.msc.

    Sembrerebbe tutto ok, le modifiche fatte in AD si replicano sui due controller, sia che le faccia su uno che sull'altro.

    Prima però di eliminare il vecchio server (con dcpromo su win200) ho voluto verificare che i client si loggassero anche con win2000 spento. Pensavo che impostando il GlobalCatalog solo su 2008 la cosa fosse possibile. Invece no, con win 2000 spento i client non si loggano. al login esce il messaggio: 'impossibile accedere adesso, il dominio xxx non è disponibile'

    Cosa posso controllare per trovare il problema?

    Grazie.

    marco

     

    lunedì 14 marzo 2011 15:59

Risposte

  • Ciao Edoardo, i problemi sono diventati irrisolvibili con i vari tentativi effettuati. Mea culpa!
    Ho provato a fare anche un ripristino di AD da un backup sul vecchio server, ma la situazione non migliora.
    Con quest'ultima operazione mi sono giocato la possibilità di replica di AD sul nuovo 2008 (perchè al momento del backup di AD -qualche mese fa- non esisteva ancora il nuovo server 2008).
    Ripeto, fortuntamente sono in ambiente di test per provare una migrazione vera e propria successivamente.
    A questo punto gli errori dei DC sono altri e esulano dalla mia domanda iniziale.
    Vi rigrazio per i suggerimenti che sono stati comunque utilissimi per tentare di diagnosticare i problemi. riprovo ripartendo da zero per stabilire una procedura corretta utile in produzione.
    Grazie.

    Marco

    • Contrassegnato come risposta mrcmobile mercoledì 23 marzo 2011 17:42
    mercoledì 23 marzo 2011 17:40

Tutte le risposte

  • qual'è il dns primario impostato sui clients ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 15 marzo 2011 09:17
    Moderatore
  • ciao Edoardo, è una della prime verifiche che ho fatto. Ho provato sia impostandolo con l'ip del vecchio pdc che il con il nuovo. Il problema rimane. Attualmente ho impostato quello del nuovo controller.

    marco
    martedì 15 marzo 2011 16:37
  • puoi postare l'ipconfig /all sia del nuovo server, sia del vecchio server ed anche di uno dei clients ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 16 marzo 2011 12:43
    Moderatore
  • Ciao Edoardo, ecco le tre configurazioni: 2008nuovo, 2000vecchio, client xp.

    ****************Server 2008 nuovo

    Configurazione IP di Windows

       Nome host . . . . . . . . . . . . . . : SRV-0001
       Suffisso DNS primario . . . . . . . . : xxxxx.locale
       Tipo nodo . . . . . . . . . . . . . . : Ibrido
       Routing IP abilitato. . . . . . . . . : No
       Proxy WINS abilitato . . . . . . . .  : No
       Elenco di ricerca suffissi DNS. . . . : xxxxx.locale

    Scheda Ethernet Connessione alla rete locale (LAN):

       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : Connessione di rete Intel(R) PRO/1000
     MT
       Indirizzo fisico. . . . . . . . . . . : 00-0C-29-BE-23-5A
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv4. . . . . . . . . . . . : 10.30.190.2(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.128
       Gateway predefinito . . . . . . . . . : 10.30.190.125
       Server DNS . . . . . . . . . . . . .  : 10.30.190.2
                                               10.30.190.11
                                               127.0.0.1
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato

    Scheda Tunnel Connessione alla rete locale (LAN)*:

       Stato supporto. . . . . . . . . . . . : Supporto disconnesso
       Suffisso DNS specifico per connessione:
       Descrizione . . . . . . . . . . . . . : isatap.{A0EECB46-CA7C-40A8-8715-EA94C
    544C6F9}
       Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP abilitato. . . . . . . . . . . . : No
       Configurazione automatica abilitata   : Sì


    ****************Server 2000 vecchio
    Configurazione IP di Windows 2000

            Nome host . . . . . . . . . . .   : xxxxxdwh
            Suffisso DNS primario  . . . . .  : xxxxx.locale
            Tipo nodo . . . . . . . . . . .   : Ibrido
            IP Routing abilitato. . . . . .   : No
            WINS Proxy abilitato. . . . . .   : No
            Elenco di ricerca suffisso DNS .  : xxxxx.locale

    - Scheda Ethernet Connessione alla rete locale (LAN) 2:

            Suffisso DNS specifico connessione:
            Descrizione . . . . . . . . . .   : VMware Accelerated AMD PCNet Adapter

            Indirizzo fisico. . . . . . . .   : 00-0C-29-75-CC-F0
            DHCP abilitato . . . . . . . . .  : No
            Indirizzo IP. . . . . . . . . . . : 10.30.190.11
            Subnet Mask . . . . . . . . . . . : 255.255.255.128
            Gateway predefinito . . . . . . . : 10.30.190.125
            Server DNS. . . . . . . . . . .   : 10.30.190.2
                                                10.30.190.11


    ****************client xp
    Configurazione IP di Windows

            Nome host . . . . . . . . . . . . . . : wks001
            Suffisso DNS primario  . . . . . . .  : xxxxx.locale
            Tipo nodo . . . . . . . . .  : Sconosciuto
            Routing IP abilitato. . . . . . . . . : No
            Proxy WINS abilitato . . . . . . . .  : No
            Elenco di ricerca suffissi DNS. . . . : xxxxx.locale

    Scheda Ethernet Connessione alla rete locale (LAN):

            Suffisso DNS specifico per connessione:
            Descrizione . . . . . . . . . . . . . : Scheda server Intel(R) PRO/1000
    Gigabit
            Indirizzo fisico. . . . . . . . . . . : 08-00-27-38-85-8C
            DHCP abilitato. . . . . . . . . . . . : No
            Indirizzo IP. . . . . . . . . . . . . : 10.30.190.12
            Subnet mask . . . . . . . . . . . . . : 255.255.255.128
            Gateway predefinito . . . . . . . . . : 10.30.190.125
            Server DNS . . . . . . . . . . . . .  : 10.30.190.2
                                                10.30.190.11

    mercoledì 16 marzo 2011 16:38
  • Prova a lasciare sul server e sul client come unico dns quello del server nuovo (10.30.190.2)
    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    mercoledì 16 marzo 2011 16:54
  • Sottoscrivo il suggerimento di Adriano.

    Verificherei anche che il Global Catalog si sia registrato correttamente

    http://technet.microsoft.com/en-us/library/cc753187.aspx

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe mercoledì 16 marzo 2011 20:54
    • Proposta come risposta annullata Fabrizio Volpe giovedì 17 marzo 2011 07:13
    mercoledì 16 marzo 2011 20:24
  • Ciao, ho provato il suggerimento di Mariolini (un solo dns sul client, quello del nuovo dc) ma il client continua a non loggarsi se il vecchio dc è spento.
    Ho provato allora il suggerimento di Fabrizio per la verifica della corretta registrazione del GC. In effetti mi sembra a posto. Vedi screenshot.
    Appare il nome del nuovo server 2008 srv-0001
    http://img593.imageshack.us/i/globalcat2008.png/

     

    marco

    mercoledì 16 marzo 2011 22:27
  • A questo punto, se il server vecchio è spento, segui la procedura per verificare che non ci siano ancora riferimenti su Active Directory

    http://www.petri.co.il/delete_failed_dcs_from_ad.htm


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Contrassegnato come risposta Fabrizio Volpe giovedì 17 marzo 2011 07:13
    • Contrassegno come risposta annullato Fabrizio Volpe giovedì 17 marzo 2011 07:13
    • Proposto come risposta Fabrizio Volpe giovedì 17 marzo 2011 07:14
    • Proposta come risposta annullata Anca Popa lunedì 21 marzo 2011 10:50
    giovedì 17 marzo 2011 07:13
  • Ciao Fabrizio, ho seguito la procedura di Petri per ripulire i riferimenti al vecchio server. E' andata a buon fine.
    Però il client continua a dirmi in fase di logon: impossibile accedere adesso. Il dominio xxxxx non è disponibile.

    A questo punto ho provato a installare il ruolo dhcp sul nuovo 2008 e ho rimosso l'ip fisso dal client, lasciando che venisse assegnato dal server DC 2008. Nessun miglioramento.

    Se può essere utile:

    - Il server 2008 pinga regolarmente il client e viceversa.
    - Se mi loggo localmente sul client e poi tento di accedere al server tramite start esegui \\nomeserver, mi chiede le credenziali, le inserisco (nomedominio\Administrator e rel. password), e riesco a vedere regolarmente le condivisioni sul server.

    Non può essere un problema di firewall di win2008 che blocca i servizi AD o qualt'altro? Tutti i servizi di AD sono in esecuzone regolarmente.
    Ho provato anche con una nuova macchina xp virtuale (denver) ma comunque non si logga al dominio

    Nel registro eventi xp trovo:

    Impossibile ottenere il nome del controller di dominio della rete. (Il dominio specificato non esiste o è impossibile contattarlo. ). Elaborazione Criteri di gruppo interrotta.


    La registrazione automatica certificati per Sistema locale non è riuscita a contattare un server di elenchi (0x8007054b) Il dominio specificato non esiste o è impossibile contattarlo.
    . Impossibile eseguire la registrazione.
    Tipo evento: Avviso
    Origine evento: LSASRV
    Categoria evento: SPNEGO (Negoziatore)
    ID evento: 40960
    Data:  18/03/2011
    Ora:  10.20.48
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    Il sistema di protezione ha rilevato un tentativo di attacco downgrade sul server cifs/SRV-0001. Il codice di errore del protocollo di autenticazione Kerberos è "Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso.
     (0xc000005e)".

    Tipo evento: Avviso
    Origine evento: LSASRV
    Categoria evento: SPNEGO (Negoziatore)
    ID evento: 40961
    Data:  18/03/2011
    Ora:  10.20.48
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    Il sistema di protezione non ha potuto stabilire una connessione protetta con  il server cifs/SRV-0001. Nessun protocollo di autenticazione era disponibile.

    Tipo evento: Avviso
    Origine evento: LSASRV
    Categoria evento: SPNEGO (Negoziatore)
    ID evento: 40960
    Data:  18/03/2011
    Ora:  10.20.48
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    Il sistema di protezione ha rilevato un tentativo di attacco downgrade sul server cifs/SRV-0001.xxxxx.locale. Il codice di errore del protocollo di autenticazione Kerberos è "Nessun server di accesso è attualmente disponibile per soddisfare la richiesta di accesso.
     (0xc000005e)".

    Tipo evento: Avviso
    Origine evento: LSASRV
    Categoria evento: SPNEGO (Negoziatore)
    ID evento: 40961
    Data:  18/03/2011
    Ora:  10.20.48
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    Il sistema di protezione non ha potuto stabilire una connessione protetta con  il server cifs/SRV-0001.xxxxx.locale. Nessun protocollo di autenticazione era disponibile.


    Tipo evento: Errore
    Origine evento: AutoEnrollment
    Categoria evento: Nessuno
    ID evento: 15
    Data:  18/03/2011
    Ora:  10.20.08
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    La registrazione automatica certificati per Sistema locale non è riuscita a contattare un server di elenchi (0x8007054b) Il dominio specificato non esiste o è impossibile contattarlo.
    . Impossibile eseguire la registrazione.

    Tipo evento: Errore
    Origine evento: AutoEnrollment
    Categoria evento: Nessuno
    ID evento: 15
    Data:  18/03/2011
    Ora:  9.59.55
    Utente:  N/D
    Computer: DENVER
    Descrizione:
    La registrazione automatica certificati per Sistema locale non è riuscita a contattare un server di elenchi (0x8007054b) Il dominio specificato non esiste o è impossibile contattarlo.
    . Impossibile eseguire la registrazione.

     

    venerdì 18 marzo 2011 09:52
  • A livello di DHCP ricordati di definire l'opzione 15 (domain name) che sarà tuodominio.qualcosa

    Un tentativo che farei è rimuovere un client dal dominio (inserendolo in workgroup) e dopo il riavvio reinserirlo nel dominio.

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 18 marzo 2011 10:37
  • Ciao Fabrizio, l'opzione 15 è abilitata.

    Ho provato il suggerimento della rimozione del client dal dominio e il successivo re-join, ma non funziona perchè non è più possibile contattare il dominio in oggetto.

    Ho notato che nel registro eventi di 2008 c'è questo avviso (vedi sotto) come se non fosse stata effettuata completamente la sincronizzazione di AD col vecchio DC. Mi sembra strano perchè siamo in ambiente di test con 2 server e 2 client, quindi non c'è chissà che cosa da sincronizzare. E poi come dicevo all'inizio: le variazioni in AD fatte sul nuovo o sul vecchio server si replicavano regolarmente.
    Provo a riaccendere il vecchio server? Esiste un modo per verificare se AD sia sincronizzata correttamente o per forzare questa sincronia?


    Avviso su registro eventi 2008

    Tipo evento: Avviso
    Origine evento: DNS
    Categoria evento: Nessuno
    ID evento: 4013
    Data:  18/03/2011
    Ora:  12.24.22
    Utente:  N/D
    Computer: SRV-0001.xxxxx.locale
    Descrizione:
    Il server DNS è in attesa della conferma del completamento della sincronizzazione iniziale della directory da parte di Servizi di dominio Active Directory. Impossibile avviare il servizio Server DNS prima del completamento della sincronizzazione iniziale: è possibile che dati DNS importanti non siano ancora replicati sul controller di dominio in uso. Se il registro eventi di Servizi di dominio Active Directory indica che si è verificato un problema nella risoluzione dei nomi DNS, è possibile aggiungere all'elenco dei server DNS nelle proprietà del protocollo IP per il computer in uso l'indirizzo IP di un altro server DNS per il dominio. L'evento sarà registrato ogni due minuti fino a quando sarà ricevuta la conferma di completamento della sincronizzazione iniziale da parte di Servizi di dominio Active Directory.

     

     

    marco

     

    venerdì 18 marzo 2011 11:50
  • Dovresti risolvere eventuali problemi su A.D. per risolvere il problema sul DNS

    http://technet.microsoft.com/en-us/library/cc737561(WS.10).aspx

     http://technet.microsoft.com/en-us/library/cc735842(WS.10).aspx


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 18 marzo 2011 12:28
  • proviamo a verificare anche questo: disabilita sul nuovo server l'smb signing seguendo questo articolo

    http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 18 marzo 2011 12:40
    Moderatore
  • proviamo a verificare anche questo: disabilita sul nuovo server l'smb signing seguendo questo articolo

    http://www.petri.co.il/how-to-disable-smb-2-on-windows-vista-or-server-2008.htm

    Ciao Edoardo, anche questo non è servito...
    E' rimasto in giro qualcosa del vecchio controller che crea problemi. Ho provato a riaccenderlo e il client si logga.
    Però adesso avendo eliminato il vecchio controller da AD, anche sul nuovo non si replicano le impostazioni.

    marco

    venerdì 18 marzo 2011 15:24
  • "Ciao, ho provato il suggerimento di Mariolini (un solo dns sul client, quello del nuovo dc) ma il client continua a non loggarsi se il vecchio dc è spento."... in realtà devi fare lo stesso anche sul server: un solo dns, se stesso 10.30.190.2

    Inoltre: (presi da http://www.sysadmin.it/News/Italiane/tabid/77/articleType/ArticleView/articleId/2040/language/it-IT/Migrazione-da-Windows-Server-2003-a-Windows-Server-2008.aspx)

     

    Passo 5: Attesa replica
    Attendere la replica di Active Directory e delle zone DNS verificando chevenga registrato un record NS sulle due zone per SRV2008 (attendere da 5 a 10 minuti e per essere certi che la visualizzazione nella console del DNS sia aggiornata chiudere e riaprire la console).

    Per controllare la riuscita della replica Active Directory utilizzare il comando su SRV2008:

     

    repadmin /showreps > d:\service\controllorep\showreps.txt

    Passo 13: Controllo che i ruoli fsmo siamo su SRV2008
    Utilizzare il comando netdom /query fsmo (nei Supports Tools)

    e

    Passo 16: Pulizia record DNS relativi a SRV2003 dal DNS su SRV2008



    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    venerdì 18 marzo 2011 16:00
  • Attualmente la situazione si è ulteriormente complicata. Per fortuna è un ambiente di test con VM prima di provare la migrazione vera e propria dal cliente.
    Riaccendendo il vecchio server mi trovo con AD in funzione ma senza se stesso come GC. L'AD del nuovo server invece non funziona più perchè mi dice che non è possibile contattare il controller di dominio (si comporta come il cliente che non accedeva al dominio).
    Su entrambe i DC ho rimesso due dns: l'ip locale di ognuno + l'ip dell'altro DC

    Ora provo un po' a lavorare sui due link che mi hai indicato ma la vedo la situazione un po' grigia....

    Grazie per la pazienza

    marco

    venerdì 18 marzo 2011 17:57
  • Ciao Adriano, sono tutti controlli che avevo già fatto con esiti positivi. Il trasferimento dei ruoli era andato a buon fine. Anche la pulizia dei record dns è stata fatta.

    marco

    venerdì 18 marzo 2011 18:00
  •  Mi viene un'idea forse stupida... Il firewall del DC Windows 2008 è configurato bene?

     Il servizio di gestione chiavi Kerberos è in esecuzione sul DC Windows 2008?

    sabato 19 marzo 2011 13:18
  •  Mi viene un'idea forse stupida... Il firewall del DC Windows 2008 è configurato bene?

     Il servizio di gestione chiavi Kerberos è in esecuzione sul DC Windows 2008?

    ciao il 'centro distribuzione chiavi kerberos' era attivo, per quanto riguarda il firewall era ok, avevo provato anche a disabilitarlo ma non cambiava niente.
    comunque ora sono in una condizione di non ritorno. Non ci si logga più nè sul vecchio server (che cerca il nuovo) nè sul nuovo (che cerca il vecchio).

    Provo a fare un ripristino di AD sul vecchio....

    lunedì 21 marzo 2011 14:45
  •  Se non hai già ripristinato, prova ad avviare i due DC senza connettere il cavo di rete. Non sentendo il link dovrebbero autenticarti con le credenziali in cache e non cercarsi tra loro.
    martedì 22 marzo 2011 10:51
  • siccome il thread è diventato chilometrico potresti riassumere i problemi che hai e riportare in sintesi gli errori nel registro eventi dei dc solo con source e event id ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 22 marzo 2011 16:34
    Moderatore
  • Ciao Edoardo, i problemi sono diventati irrisolvibili con i vari tentativi effettuati. Mea culpa!
    Ho provato a fare anche un ripristino di AD da un backup sul vecchio server, ma la situazione non migliora.
    Con quest'ultima operazione mi sono giocato la possibilità di replica di AD sul nuovo 2008 (perchè al momento del backup di AD -qualche mese fa- non esisteva ancora il nuovo server 2008).
    Ripeto, fortuntamente sono in ambiente di test per provare una migrazione vera e propria successivamente.
    A questo punto gli errori dei DC sono altri e esulano dalla mia domanda iniziale.
    Vi rigrazio per i suggerimenti che sono stati comunque utilissimi per tentare di diagnosticare i problemi. riprovo ripartendo da zero per stabilire una procedura corretta utile in produzione.
    Grazie.

    Marco

    • Contrassegnato come risposta mrcmobile mercoledì 23 marzo 2011 17:42
    mercoledì 23 marzo 2011 17:40
  • grazie a te per la tua obiettività. buon lavoro.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 24 marzo 2011 08:26
    Moderatore