Remove From My Forums

Demote Controller di Dominio

Domanda
0

Registrati per votare

Ciao a tutti,

sto facendo alcune prove in un ambiente di test per effettuare la migrazione del dominio da 2008R2 a 2016.

Attualmente abbiamo 2 DC 2008R2 ed ho messo su una terza macchina 2016, facendo il join al dominio, poi ho installato Active Directory e successivamente ho trasferito tutti i ruoli a questa nuova macchina.

Come passo successivo volevo prima declassare uno degli attuali DC a normale server membro, magari ripulendo i dns e poi spegnerlo, ma durante la fase di "demote", il sistema mi ha restituito un errore:

Impossibile trasferire i dati rimanenti nella partizione di directory DC=DomainDnsZones,DC=miodominio,DC=lan nel controller di dominio Active Directory \\SRVDC01 (la macchina 2016).

Impossibile trovare nel servizio directory alcune informazioni di configurazioni obbligatorie. Impossibile determinare la proprietà dei ruoli operativi mobili a master singolo.

che significa ?

come risolvo ?

Grazie

giovedì 7 maggio 2020 05:32

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare
Ciao Antonino

questo e un errore che si veriffica quando non si riesce recuperare informazione dall DNS

Leggi qui articolo Microsoft ufficiale compreso di risoluzione.

Saluti, Nikola
- Modificato Edoardo BenussiMVP, Moderator lunedì 11 maggio 2020 08:24 typo error
giovedì 7 maggio 2020 08:16

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Grazie, lo proverò al più presto.

giovedì 7 maggio 2020 19:39

Risposta

|

Citazione
0

Registrati per votare

questa mattina mi sono messo di buona volontà ed ho fatto qualche tentativo...

in un controller ho provato il DCPROMO con l'opzione /FORCEREMOVAL ed ha funzionato senza intoppi...

ho notato comunque che in Active Directory, nella sezione DC è ancora rimasto il vecchio domain controller appena rimosso... (e nell'elenco del server DNS), quindi dovrò rimuoverli manualmente.

per mia cultura, mi piacerebbe sapere cosa avrei dovuto modificare con il comando ADSIUTIL.MSC ?

Grazie

venerdì 8 maggio 2020 05:18

Risposta

|

Citazione
0

Registrati per votare

Ciao Antonino,

/FORCEREMOVAL prende priorita sopra tutti altri opzioni. E il commando che funziona sempre.

ottimo che sei riuscito.

Pero devi vedere, se non hai problemi cmq nell dominio con Replica,DNS etc.... solamente per evitare problemi dopo.

Con ADSIEDIT. MSC in questo caso hai dovuto modifficare il percorso delle zone dns DALL proprietario dei ruoli FSMO - ovvedo il domain controller che mantiene i ruoli principali nell dominio.

Saluti

venerdì 8 maggio 2020 08:00

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Non ho capito dove stai facendo questi test...

Il terzo server l'hai aggiunto nell'ambiente in produzione? Spero vivamente di aver capito male

Se fosse così, staresti influenzando anche gli altri DC ...

Se devi optare per una rimozione forzata, non è un segnale positivo anche se va abuon fine! (sarebbe opportuno capire il perchè e risolvere il problema, per poi fare un demote normale)

Clean Up Server Metadata

Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012
Metadata cleanup is a required procedure after a forced removal of Active Directory Domain Services (AD DS).
...

Clean up Active Directory Domain Controller server metadata

dopo una rimozione forzata potresti avere altri problemi se non verifichi che sia tutto ok

https://support.microsoft.com/it-it/help/255504/using-ntdsutil-exe-to-transfer-or-seize-fsmo-roles-to-a-domain-control

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

venerdì 8 maggio 2020 19:45

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Ciao,

la penso esattamente come te, anche io voglio evitare la rimozione forzata in quanto penso che ci sia qualcosa non configurato correttamente.

i ruoli fsmo li ho correttamente trasferiti al nuovo DC 2016.

Ho la fortuna di poter provare il tutto in un ambiente di test tramite uno switch virtuale di VMware Esxi, quindi i due DC in produzione non sono assolutamente influenzati dalle mie prove...

Li ho clonati e messi in questo switch virtuale dove ho aggiunto un nuovo server 2016 che ho promosso a DC e man mano stavo rimuovendo i vecchi DC 2008R2.

stavo anche aggiungendo un secondo DC 2016, ma durante l'installazione del ruolo di DC ho ottenuto il seguente messaggio:

Impossibile creare una delega per questo server DNS perchè la zona padre autorevole non è stata trovata oppure non esegue il server DNS Windows. Se si sta effettuando l'integrazione con un'infrastruttura DNS esistente, è consigliabile creare manualmente una delega per il server DNS nella zona padre per garantire una risoluzione dei nomi affidabile...

che significa ?

Grazie
- Modificato Antonino Di Mauro sabato 9 maggio 2020 06:45
sabato 9 maggio 2020 06:44

Risposta

|

Citazione
0

Registrati per votare
Per avere un ambiente di test con più domain controller (se hai un single dc, non hai problemi) è fondamentale come crei il test bed.

Il problema che riscontri, molto probabilmente potrebbe essere stato introdotto da te nell'ambiente di test e non essere presente in quello di produzione!

Come hai clonato i due DC?

Forse erano entrambi accesi e hai fatto una clonazione a caldo?? Molto male, non è da fare, perchè potresti aver un disallineamento degli USN, seguente rollback e AD sput.....a con tanti piccoli problemi difficilmente risolvibili

Ricrea l'ambiente di test, in questo modo

Spegni il Bdc di produzione

Clona il pdc e il bdc (spento o i bdc spenti se più di uno) nell'ambiente di test, lascia spento il bdc fino a quando le due clonazioni/repliche non saranno definitivamente terminate.

Questa procedura è la stessa che dovrebbe essere utilizzata nel P2V.
Qualora la tua infrastruttura virtuale, derivasse da una fisica, devi sperare che la virtualizzazione sia stata fatta correttamente... verifica come da KB https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-dc

Virtualizzazione di controller di dominio con Hyper-V
..."Durante il processo di conversione P2V, la nuova macchina virtuale e il controller di dominio fisico di cui viene eseguita la migrazione non devono essere in esecuzione contemporaneamente, per evitare una situazione di rollback degli USN, come descritto in USN e rollback degli USN."
...

Ciao Gastone

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere
- Modificato GastoneCanaliModerator sabato 9 maggio 2020 13:49
sabato 9 maggio 2020 13:45

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Codice: Impossibile creare una delega per questo server DNS

https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/deploy/troubleshooting-domain-controller-deployment
Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

sabato 9 maggio 2020 13:52

Risposta

|

Citazione

Moderatore
0

Registrati per votare
ti ringrazio della tua risposta, appena finisco con il processo di migrazione rifaccio tutto seguendo il tuo consiglio.

Ho ancora qualche domanda.

in questo momento ho i due DC vecchi e i due DC nuovi e mi chiedo:

- per fare pulizia devo rimuovere manualmente i vecchi DC da "Utenti e computer di AD" nella sezione Domain Controller, "Siti e Servizi di AD" e record DNS che puntano ai vecchi DC e poi ? altro ?

- fatto questo devo aumentare il livello di funzionalità del dominio al 2016 dentro "Domini e Trust di AD"

- io cambierei anche gli IP dei nuovi DC mettendo quelli dei vecchi DC così i client non dovrebbero avere problemi a trovare i nuovi DC, avendo impostati nei DNS gli ip dei vecchi DC...

altro ?

come faccio a sapere se tutto è funzionante ?

Grazie
- Modificato Antonino Di Mauro domenica 10 maggio 2020 07:58
domenica 10 maggio 2020 07:40

Risposta

|

Citazione
1

Registrati per votare

Per la "pulizia" leggi i link precedenti (la pulizia è necessaria solo se qualcosa è andato torto e questo non è bello)...

Non capisco cosa vuoi fare, una possibile procedura potrebbe essere questa:

Aggiungi w2016 lo promuovi

fai il demote dei due 2008, al demote del secondo DC i ruoli FSMO verranno trasferiti al 2016

aggiungi il secondo w2016 al dominio e lo promuovi

fine, nessuna pulizia da fare, nessun cambio ip...

ciao
Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

domenica 10 maggio 2020 08:28

Risposta

|

Citazione

Moderatore
0

Registrati per votare
perchè mi dici di non cambiare gli indirizzi ip ?

ho quasi 100 client configurati con ip manuale che ovviamente cercano i vecchi dns...

ora mi rifaccio tutto, seguendo i consigli dei due post che mi hai scritto.
- Modificato Antonino Di Mauro domenica 10 maggio 2020 09:52
domenica 10 maggio 2020 09:20

Risposta

|

Citazione
0

Registrati per votare
perchè mi dici di non cambiare gli indirizzi ip ?

ho quasi 100 client configurati con ip manuale che ovviamente cercano i vecchi dns...

ora mi rifaccio tutto, seguendo i consigli dei due post che mi hai scritto.

start up script che cambia il/i dns oppure (a tappe, aggiungi il win2016 promote, demote di un 2008, spegnimento del 2008, cambio ip del 2016 e così via ...) https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc794931(v=ws.10)?redirectedfrom=MSDN

Sono dei solo domain controller o hanno delle share o servizi particolari erogati con nome o ip?

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere
- Modificato GastoneCanaliModerator domenica 10 maggio 2020 11:35
domenica 10 maggio 2020 11:34

Risposta

|

Citazione

Moderatore
0

Registrati per votare

DC + DNS

lunedì 11 maggio 2020 04:50

Risposta

|

Citazione