none
Migrazione 5 FSMO, DNS Server e DHCP Server RRS feed

  • Domanda

  • Ciao a tutti,

    necessito di un piccolo chiarimento.

    Sto effettuando una migrazione del controller primario Win2k3 a Win2k8R2.

    Lo strumento repadmin mi ha dato i 5 esiti positivi...

    Sono giunto al punto di migrare i 5 fsmo dal server di origine al nuovo win2k8r2, penso di farlo tramite l'interfaccia utente (mmc) direttamente dal vecchio server. Ora ho un dubbio...

    Dato che il server di origine ha anche ruolo di server DNS e server DHCP, quando migrerò questi due servizi replicando le configurazioni sulla nuova macchina?

    La mia idea è questa:

    1) spostamento 5 fsmo

    2) configurazione server dhcp su nuova macchina copiando la conf dal server di origine

    3) verifica che la conf del server dns sulla nuova macchina sia uguale a quella di origine. al termine devo configurare la scheda di rete del nuovo server impostando come dns primario sè stesso. ora ha come dns primario l'IP del server di origine...

     

    Vi ringrazio!!

    lunedì 7 marzo 2011 09:16

Risposte

Tutte le risposte

  • Premessa : hai effettuato la FORESTPREP e DOMAINPREP per Windows 2008 ?

    Detto questo :

    1) lo spostamento degli FSMO non va a impattare direttamente su DNS o DHCP quindi puoi spostare i ruoli senza problema.

    2) Per la migrazione del DHCP segui questa guida

    http://support.microsoft.com/kb/962355

    3) Il nuovo server dovrà essere DNS e quindi puntare al suo stesso ip (non la loopbak e non l'ìp dell'altro server). Questo è corretto.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 12:42
  • Ok grazie Fabrizio.

    Si ho effettuato tutte le procedure di adprep quando ho aggiunto il controller secondario con windows 2008 r2.

    Per quanto riguarda la configurazone del dns client della macchina che farà da dns server, dovrò farla puntare al suo indirizzo, ma mi sconsigli di usare il 127.0.0.1? Meglio usare il suo vero IP?

    Ah...già che ci siamo. Sto effettuando alcuni test e durante un dcdiag sono risalito ad una cosa alquanto strana: delle forward lookup zones (o zone di ricerca diretta) mi sono reso conto che non ho più  la _msdsc.dominio.local !!!!!

    Questo ritengo sia un problema....

    lunedì 7 marzo 2011 13:04
  • Per il problema della _msdsc.dominio.local ti consiglio la risposta di Edoardo data qui

    http://social.technet.microsoft.com/Forums/it-IT/windowsserverit/thread/79c946dd-8d5c-42ef-9a41-e25aa1e5a564

    Per il 127.0.0.1 NON è una procedura corretta

    Esistono parecchi articoli e discussioni in merito, come questa

    http://social.technet.microsoft.com/Forums/en/winserverNIS/thread/f752d259-46bb-4478-894a-f21856c3100a

    Per farla semplice 127.0.0.1 ha uso per la diagnostica, quindi non andrebbe coinvolto nella normale operatività.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe lunedì 7 marzo 2011 14:11
    • Contrassegnato come risposta Anca Popa lunedì 14 marzo 2011 07:50
    lunedì 7 marzo 2011 14:10
  • ok grazie, ho risolto il problema della _msdcs e ho sistemato il dns impostando l'IP corretto.

    Ora ho un altro grosso problema...sto effettuando il trasferimento dei ruoli. Sono riuscito a trasferirli tutti eccetto il RID...mi dice che non riesce a contattare l'FSMO holder...ma mi pare alquanto strano. Questo output si riferisce effettuando la migrazione tramite mmc

    Con ntdsutil mi dà il medesimo errore...cosa dovrei fare secondo te?

    Grazie!!!

    lunedì 7 marzo 2011 15:31
  • Prova a darmi la stringa di errore esatta e (come in precedenza) verifica eventuali errori nei log system e application
    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 15:34
  • P.S.

    Hai anche un'altra discussione aperta per un errore DCDIAG.

    Se parliamo dello stesso scenario, procediamo a chiuderlo per non disperderci in mille thread.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 15:35
  • si l'altra si può chiudere...meglio lasciare tutto su questa.

    La stringa di errore è questa:

    ldap_modify_sw error 0x34

    ldap extended error message is 000020AF SvcErr: DSID-03210CC3, problem 5002 (unavailable) data 3

    Win32 errore retuned is 0x20af

     

    Grazie ancora!

     

    PS: so che è possibile fare il seize, sempre tramite il ntdsutil. Eventualmente potrei seguire quella strada, ma se assegno al nuovo server il rid, che ne rimarrà del rid detenuto dal vecchio server?

    Aggiungo che ho notato una cosa strana: eseguendo il comando netdom query fsmo su tutti i 3 server ho il seguente risultato:

    SERVER 1 (vecchio dc primario -win2k3): vede 3 ruoli associati al nuovo server, mentre vede sia Infrastruttura che RID detenuti da se stesso

    SERVER 2 (dc aggiuntivo - win2k8r2): vede 4 ruoli associati al nuovo server e il RID associato al SERVER 1

    SERVER 3 (nuovo dc primario - win2k8r2): vede 4 ruoli associati a sè stesso e il RID associato al SERVER 1

    Come puoi capire la situazione del server1 è assurda, in quanto stando allo spostamento dei ruoli che ho fatto la situazione corretta è quella vista dal server 2 e dal server 3.

    lunedì 7 marzo 2011 16:17
  • Sei proprio in questo caso, quindi segui la soluzione indicata

    http://support.microsoft.com/kb/2001165

    NON fare il seize, altrimenti devi poi rimuovere del tutto il vecchio server dal dominio


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 8 marzo 2011 10:38
  • Ciao e grazie!

    Ho aperto l'ADSIEDIT.msc dal nuovo server (quello con il 2008r2) e sono riuscito a modificare l'owner del RID master.

    Eseguendo il comando netdom query fsmo, ho comunque delle cose ambigue:

    -server1 (quello che non farà più da DC, con win2k3): vede ancora RID e Infrastructure detenute da sè stesso

    -server2 e server3 (il nuovo dc primario): vedono tutti e 5 i ruoli detenuti da server3.

    Ora al di là di questo errore, potrei secondo te procedere nel seguente modo:

    configurare il dns server sul nuovo dc primario, eliminando dai server d'inoltro il server 1 e impostando la sua scheda di rete configurando il dns primario sè stesso e cancellando l'ip del server 1

    successivamente disinstallo l'active directory dal server 1

    trasferisco il dhcp

     

    Corretto?

    martedì 8 marzo 2011 13:46
  • Si e no.

    Perchè aspetti tanto a trasferire il DHCP ?

    Punta il nuovo server a se stesso come DNS, spostaci sopra il DHCP e modifica le opzioni DHCP in modo che i clients usino il nuovo DNS.

    A quel punto rimuovi il D.C. preesistente con l'usuale DCPROMO.

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 8 marzo 2011 14:44
  • Ok Fabrizio, hai perfettamente ragione!

    Ho attivato il dhcp server sulla nuova macchina. Ora posso disinstallare l'active directory e il dns server...

    martedì 8 marzo 2011 15:01
  • Ciao,

    nella procedura dcpromo sul vecchio server, mi appare il seguente messaggio:

    "La casella che indica questo controller di dominio è l'ultimo per il dominio domain.local non è selezionata. Tuttavia è impossibile contattare altri controller di dominio. Continuare comunque?"

     

    Che faccio???!

    martedì 8 marzo 2011 15:25
  • Mi sembra la conferma del fatto che questo D.C. non sta lavorando correttamente.

    Fai una cosa prudente : lascia il vecchio server spento per alcuni giorni (un paio di settimane).

    Se tutto procede correttamente vai avanti con la rimozione.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 8 marzo 2011 15:36
  • Ok Fabrizio, ciò che dici mi sembra saggio. Effettuerò la migrazione dei dati e del resto (quel server non faceva solo da DC primario ma aveva altre funzioni).

    Intanto mi sono reso conto che dal nuovo server, nelle forward zones non era presente la domain.local ma solo la _msdcs.domain.local

    Allora ho ricreato a mano la zona diretta e si è popolata da sola con i riferimenti alle varie macchine. Ho provato dunque a disinstallare l'active directory dal vecchio server e ora l'errore è diverso.

    Aggiungo che il SERVER02 è il controller aggiuntivo con Win2k8r2 su cui non ho mai fatto nulla (eccetto modificare il server dns).

    Operazione non riuscita. Motivo:

    Impossibile trasferire i dati rimanenti nella partizione di directory DC=DomainDnsZones,DC=domain,DC=local nel controller di dominio \\SERVER02.domain.local.

    "Il servizio directory non è in grado di trasferire ad altri server la proprietà di uno o più ruoli operativi mobili a master singolo."

    Se vado sull'eventviewer del nuovo server trovo questo Warning (SERVER01 è la vecchia macchina Win2k3 e il SERVERONE è la nuova Win2k8r2:

    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          09-Mar-11 09:44:57
    Event ID:      1837
    Task Category: Internal Configuration
    Level:         Warning
    Keywords:      Classic
    User:          DOMAIN\SERVER01$
    Computer:      SERVERONE.domain.local
    Description:
    An attempt to transfer the operations master role represented by the following object failed.
     
    Object:
    CN=Infrastructure,DC=DomainDnsZones,DC=domain,DC=local
    Current operations master role:
    CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=domain,DC=local
    Proposed operations master role:
    CN=NTDS Settings,CN=SERVERONE,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=domain,DC=local
     
    Additional Data
    Error value:
    3
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="32768">1837</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>7</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2011-03-09T08:44:57.564240700Z" />
        <EventRecordID>340</EventRecordID>
        <Correlation />
        <Execution ProcessID="576" ThreadID="4788" />
        <Channel>Directory Service</Channel>
        <Computer>SERVERONE.domain.local</Computer>
        <Security UserID="S-1-5-21-368742249-472626879-4229760469-1010" />
      </System>
      <EventData>
        <Data>CN=Infrastructure,DC=DomainDnsZones,DC=domain,DC=local</Data>
        <Data>CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>CN=NTDS Settings,CN=SERVERONE,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=domain,DC=local</Data>
        <Data>3</Data>
      </EventData>
    </Event>

     

     

    Grazie!!!

    mercoledì 9 marzo 2011 14:35
  • Mi sono preso un po' di tempo prima di rispondere, perchè ho l'impressione che tu stia procedendo a tentativi e la cosa può dare seri problemi.

    Quando hai messo in piedi il nuovo D.C. e su di esso il servizio DNS, la zona del dominio (in genere integrata con Active Directory) doveva replicarsi.

    Se non lo ha fatto, anche se tu vai a ricrearla a mano, è sintomo di problemi seri...


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 10 marzo 2011 16:25
  • Il problema è che sono state seguite tutte le guide microsoft o comunque affidabili e si sono presentati i problemi di cui ti dicevo.

    Ora ho seriamente "paura" che spegnendo il server dc windows2003 qualcosa smetta di funzionare...

    martedì 15 marzo 2011 11:25