locked
problemi su replica per sostituzione di un Domain controller RRS feed

  • Domanda

  • Ringrazio tutti coloro che mi vogliono aiutare nella risoluzione del mio problema.

    Qualche mese fà per un guasto su scheda madre ho dovuto ricreare una nuova rete con domain controller con SBS 2008 Premium
    Il tempo a disposizione era poco ed i 60 client dovevano lavorare, quindi ho tirato su un vecchio server dismesso da qualche anno, installato SBS con tutti i suoi servizi e aggiunto tutti i client a manina. 30 ore ed era tutto funzionante (lo è tuttora).

    Adesso però devo risistemare la situazione con un nuovo Server performante, ma non volevo rifare le corse e tantomeno riaggiungre a manina tutti i client. Il mio intento, leggendo i vari 3d su questo forum, è quello di creare un server di replica del DC attualemnte in uso per poi deprecare il vecchio.

    Quindi ho eseguito una nuova installazione sul nuovo server con SBS 2008 Premium, l'ho inserito nel dominio, e con DCPROMO (veste grafica) l'ho messo (vorrei metterlo) come domain controller aggiuntivo su dominio esistente. Ho installato anche il DNS. Quello che non ho fatto è di flaggare il Catalogo Globale, avendo paura di toglierlo dal DC attivo. Finito la procedura (il mese scorso) mi sembra di ricordare senza nessun avviso importante, faccio dei controlli e vedo che sul DNS del DC primario (quello attualmente in uso) non è stato creato nessun server d'inoltro e sul nuovo Server il DNS esiste, ma non popolato con la zona .dominio. In Siti e Servizi di AD vedo entrambi i server, ma il secondo non ha impostato nessun settaggio NTDS, mentre il vecchio server è tutto uguale quindi ancora Catalogo Globale.

    Imposto il DNS sul DC "primario" e popolo il DNS del nuovo server, dove disabilito anche i servizi di Sharpoint ed Exchange (che non mi interesasno per ora e mi tolgo un pò di alert). Vado a vedermi un pò di ruoli ed eventi sul nuovo server e noto che

    1. il Server DHCP è arrestato (posso capirlo, 2 server DHCP non possono esserci)
    2. in Servizi di accesso Router ed Accesso Remoto è arrestato (e questo mi sta bene)
    3. in Servizi di dominio AD Centro distribuzione chiave Kernel è arrestato, Messaggistica tra siti è arrestato e anche Servizi di dominio AD è arrestato (questo non mi piace)
    4. Server DNS e Server Web tutto regolare.
    5. In utenti e Computer di AD vedo tutto replicato correttamente con Gruppi, Utenti, PC e Server.

    Se vado a visualizzare il Ruolo Servizi di Dominio AD leggo "Il server non viene ancora eseguito come Controller di dominio.  Eseguire wizard ...(dcpromo.exe)"

    Dopo due tentativi senza nessun risultato diverso, il terzo tentativo lo faccio mettendo il flag anche su Catalogo Globale.

    Durante la procedura un bell' ALLERT. con chiusura della procedura con OK.
    Adesso nel Event Viev del Ruolo Server Servizi di Dominio AD leggo:
    "Il server directory ha rilevato che il database è stato sostituito.  Questa è un'operazione rischiosa e non supportata. Il servizio verrà arrestato finché non sarà risolto il problema.
     Azione utente:
     Ripristinare la copia precedente del database in uso nel computer.
     In futuro, utilizzare le funzioni di backup e di ripristino per riportare il database a uno stato precedente.
     È possibile sopprimere questo errore e riparare il database rimuovendo la chiave del Registro di sistema indicata di seguito.
     Dati aggiuntivi
     Chiave del Registro di sistema:
     System\CurrentControlSet\Services\NTDS\Parameters
     Valore del Registro di sistema:
     DSA Database Epoch"

    Eh mo, adesso cosa devo fare?

    Come faccio a trasferire i ruoli per poi dismettere il vecchio server?

    Mi scuso se sono stato un pò lungo, ma almeno avete la situazione chiara di ciò che è stato fatto e lo stato attuale.

    Grazie per le news e consigli.


    mercoledì 8 aprile 2015 19:03

Risposte

  • L'attuale SBS (vecchio server) non va assolutamente toccato, è solo il nuovo server SBS (quello problematico) che deve essere declassato a server membro e poi rimosso dal dominio. Una volta fatto il tutto ti consiglio di reinstallare SBS seguendo direttamente la guida alla migrazione:

    https://technet.microsoft.com/it-it/library/dd334700(v=ws.10).aspx

    Inizia però a leggere la guida dall'inizio, ovvero da questa pagina: https://technet.microsoft.com/en-us/library/cc664208(v=ws.10).aspx

    Per il nuovo server, considerando la tua precedente problematica, ti consiglio di utilizzare un nome differente.

    venerdì 10 aprile 2015 07:58
    Moderatore
  • Non dovrebbero esserci problemi a disabilitare manualmente il reindirizzamento anche sugli altri ruoli, l'unica cosa da considerare è che qualsiasi modifica successiva sul reindirizzamento potrebbe comunque ripristinare automaticamente la situazione attuale.

    In ogni caso valuta anche che la propagazione delle policy potrebbe richiedere del tempo, quindi magari basta solo aspettare.

    mercoledì 22 aprile 2015 16:52
    Moderatore

Tutte le risposte

  • Per prima cosa una premessa: SBS è diverso rispetto ad un'installazione classica di Windows Server. Ogni server di questo tipo deve essere l'unico del dominio e detenere tutti i ruoli FSMO, in caso contrario il sistema di verifica arresterà il server ad intervalli regolari. E' permessa questa operazione solo per un periodo di tempo limitato (21 giorni) per permettere la migrazione, quindi prima viene completata la replica e trasferiti i ruoli FSMO, meglio è.

    Detto questo il server di replica doveva essere anche catalogo globale, oltre ovviamente a detenere i ruoli di DC (scrivibile) e DNS. Se hai ricevuto un errore "DSA Database Epoch" e il nuovo server è stato appena distribuito ti consiglio direttamente di iniziare da capo. Ovvero potresti declassare a server membro il nuovo server, rimuoverlo dal dominio, reinstallare SBS e ripetere il wizard. A quel punto la replica DFSR dovrebbe creare una copia del database di Active Directory sul nuovo server, quindi puoi procedere allo spostamento dei ruoli FSMO. Una volta che tutto ha funzionato senza errori puoi passare alla fase finale sostituendo il puntamento DNS dei client e il DHCP (se ritieni proprio che non sia possibile utilizzare un'assegnazione statica).

    In alternativa alla migrazione utilizzando un DC di replica potresti anche creare un nuovo dominio in parallelo sul nuovo server e poi utilizzare Active Directory Migration Tool ( https://technet.microsoft.com/it-it/library/active-directory-migration-tool-versions-and-supported-environments(v=ws.10).aspx ) per trasferire gli oggetti.


    mercoledì 8 aprile 2015 20:06
    Moderatore
  • Leggendoti e ringraziandoti per la risposta, mi è tornato in mente il periodo di grazia. Comunque nei 20 gg mi dovrebbe permettere di eseguire la migrazione!

    Sarei orientato a ripartire da zero. Declassando il nuovo server e levandolo dal dominio, cosa rimane sull'attuale DC? Devo togliere qualcosa a mano (DNS, Siti e Domini di AD, Utenti e Computer di AD) o posso lasciare tutto così a patto che richiami il nuovo server come è adesso?

    Grazie.

    venerdì 10 aprile 2015 00:13
  • L'attuale SBS (vecchio server) non va assolutamente toccato, è solo il nuovo server SBS (quello problematico) che deve essere declassato a server membro e poi rimosso dal dominio. Una volta fatto il tutto ti consiglio di reinstallare SBS seguendo direttamente la guida alla migrazione:

    https://technet.microsoft.com/it-it/library/dd334700(v=ws.10).aspx

    Inizia però a leggere la guida dall'inizio, ovvero da questa pagina: https://technet.microsoft.com/en-us/library/cc664208(v=ws.10).aspx

    Per il nuovo server, considerando la tua precedente problematica, ti consiglio di utilizzare un nome differente.

    venerdì 10 aprile 2015 07:58
    Moderatore
  • quindi devo fare una nuova installazione utilizzando i file delle risposte, cosa che feci già diversi anni fa nel migrare da 2003 a sbs 2008. Riguardo ai client   "..... e il DHCP (se ritieni proprio che non sia possibile utilizzare un'assegnazione statica)" non uso DHCP, ma solo ip statici, anche se DHCP è attivo. Mi sembra che sia consigliato l'essere comunque attivo.

    Grazie per ora.
    In settimana rincomincio da capo e terrò qui informato sullo stato.

    venerdì 10 aprile 2015 09:14
  • quindi devo fare una nuova installazione utilizzando i file delle risposte, cosa che feci già diversi anni fa nel migrare da 2003 a sbs 2008.

    E' sempre meglio seguire le procedure di migrazione ufficiali specifiche per SBS

    .non uso DHCP, ma solo ip statici, anche se DHCP è attivo. Mi sembra che sia consigliato l'essere comunque attivo.

    Non è che è consigliato lasciare comunque il servizio attivo anche se non usato, diciamo che con SBS di solito si tende a consigliare l'utilizzo del DHCP preinstallato perché semplifica la configurazione delle reti, ad esempio evitando problemi come IP duplicati o DNS non corretti, inoltre utilizza poche risorse (considera che SBS è pensato per piccole aziende dove spesso non è presente personale IT in sede, quindi l'idea è che il DHCP potrebbe aiutare a risolvere alcune piccole problematiche). Personalmente io comunque preferisco sempre un'assegnazione di tipo statico perché, nonostante il servizio DHCP di Windows Server sia sicuramente affidabile, la ritengo più sicura quando ho eseguito la configurazione dell'intera rete. Però se anche tu hai deciso di optare per un'assegnazione statica allora il servizio DHCP va disattivato (insieme ad altri eventuali DHCP presenti nella rete) altrimenti rischi di avere seri problemi.


    venerdì 10 aprile 2015 09:45
    Moderatore
  • Ciao Marco,

    Ad oggi il tuo quesito nel Forum di  Windows Small Business Server è ancora aperto per noi.
    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    venerdì 17 aprile 2015 08:55
  • Ciao a tutti,

    come detto nel mio post precedente, la settimana è passata ed io ho iniziato a mettere mano alla procedura di declassamento del nuovo server con scollegamento dal dominio e reinstallazione di SBS seguendo le buone tecniche indicate nei documenti sopra lincati. Dato che la procedura precedente non era andata a buon fine, ho messo mano al vecchio server (ancora unico DC del Dominio) per riportare a normalità il DNS (quindi senza inoltro), facendo anche scomparire ogni riferimento creato e non inizializzato del nuovo server (Siti e domini di AD, Utente e Computer di AD, ecc) Il tutto senza nessun errore o warning particolari. Come se cancellassi una singola parola da un documento di Word, giusto per fare un esempio).

    Poi hi creato il file delle risposte sul DC di origine ed iniziato l'installazione del nuovo DC con SBS.

    E' stato stupendo!

    Si è creato tutto correttamente da solo, tanto è vero che in alcuni passaggi mi sono stupito che mi avesse proposto dati che io non gli avevo inserito nel file delle risposte, ma che si è replicato correttamente dal DC in uso. Nelle due giornate successive ho eseguito poi le varie procedure di migrazione e tutto questo mentre i 45 client lavoravano. Sono arrivato fino all'ultimo wizard con il quale si conclude la migrazione abbassando il DC di origine fino al suo declassamento completo, che devo ancora compiere.

    Ma ecco arrivare il problema e mi sembra l'unico incontrato, ma che non trovo una soluzione logica.
    Nel vecchio DC (origine) ancora in uso non avevo attivato la sincronizzazione dei client, ossia il reindirizzamento delle cartelle Documenti e Desktop degli Utenti sul FolderRedirection per mancanza di spazio disponibile ed anche perché uso un altro sistema di backup sulla rete. Ma con la nuova installazione (DC di destinazione) si è attivato senza accorgermene ed  al primo accesso qualche client ha iniziato a trasferire i dati sulla cartella dedicata. Ma il problema più grande è che questo è successo su entrambi i DC. Alcuni si son reindirizzati al vecchio ed altri al nuovo ed alcuni non hanno replicato niente. Entrambi i server hanno iniziato a dare avvisi di spazio insufficiente sull' HD dedicato (1 Tb che avevo lasciato vuoto per eventuali necessità). Ho attivato la procedura per chiudere il reindirizzamento sia da console che da GP. L'intera giornata di Giovedì è stata traumatica dato che 5 client non vedevano più le loro cartelle di reindirizzamento e quindi nessuna possibilità di lavorare. Un inferno. Alla fine dopo 22 ore sono riuscito a ripristinare la situazione, ma solo in modo provvisorio. Ad oggi sembra che alcuni client non riescono a prendere le GP e quindi continuano a reindirizzare su FolderRedirector che è full.

    Se vado sul client vedo che Documenti è reindirizzata su un Dc e Desktop sull'altro nuovo. Se vado a vedere le GP sul DC, vedo indicato come folder la cartella del nuovo DC, quindi molto probabilmente questo può essere il motivo per cui il client non riesce a sganciarsi dalla sincronizzazione, ambiguità?
    Sul client non esiste (almeno io non l'ho trovato) nessun comando che blocchi il servizio di sincronizzazione. Anche un GPUpdate /Force non è servito e niente, come la necessità di eventuali tre nuovi login. Su alcuni client non succede niente e la sincronizzazione continua imperterrita.

    Spero di aver reso chiara la situazione attuale e di poter trovare una soluzione in questo WeekEnd per riuscire a terminare la procedura di migrazione entro la prossima settimana e comunque entro il 4 maggio termine max dei 21 gg.

    venerdì 17 aprile 2015 22:38
  • In che modo sul vecchio server avevi disabilitato il reindirizzamento cartelle?

    Purtroppo SBS è in pratica un Windows Server che è stato automatizzato, quindi se non si seguono esattamente le procedure tramite console e wizard c'è sempre il rischio di avere comportamenti non previsti.

    Intanto ti lascio qualche documento utile:

    https://technet.microsoft.com/it-it/library/cc875780(v=ws.10).aspx

    http://blogs.technet.com/b/sbs/archive/2010/10/08/folder-redirection-in-small-business-server-2008.aspx

    sabato 18 aprile 2015 11:48
    Moderatore
  • Dalla Console in Utenti avevo tolto il flag Reindirizzameno delle cartelle e poi in proprietà reindirizzamento avevo disabilitato tutti gli utenti. Intanto rileggo i link

    Grazie

    sabato 18 aprile 2015 13:15
  • Dalla Console in Utenti avevo tolto il flag Reindirizzameno delle cartelle e poi in proprietà reindirizzamento avevo disabilitato tutti gli utenti. Intanto rileggo i link

    Grazie

    dai un'occhiata anche a questi documenti

    https://support.microsoft.com/en-us/kb/888203?wa=wsignin1.0

    https://4sysops.com/archives/how-to-disable-folder-redirection/


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org


    lunedì 20 aprile 2015 09:28
    Moderatore
  • Quello che ho fatto ultimamente l'ho trovato nei vari link, ma senza nessun cambiamento.

    In pratica ho eseguito quanto sotto

    Terminare il reindirizzamento delle cartelle per più account utente al server
    1. Open the Windows SBS Console.

    2. Aprire la finestra di dialogo Reindirizzamento cartelle - Proprietà in uno dei modi seguenti:

      1. Dalla barra di spostamento, fare clic su Cartelle condivise e siti Web e quindi su Cartelle condivise.

        OPPURE
      2. Sulla barra di spostamento, fare clic sulla scheda Utenti e gruppi, quindi fare clic su Utenti.
    3. Nel riquadro delle Attività fare clic su Reindirizza le cartelle per gli account utente al server. Verrà visualizzata la finestra di dialogo Reindirizzamento cartelle - Proprietà.

    4. Nella scheda Account utente, deselezionare la casella di controllo degli account utente per cui si desidera terminare il reindirizzamento delle cartelle al server. È anche possibile selezionare Seleziona tutti gli utenti o Deseleziona tutti gli utenti.

    5. Fare clic su OK.

    Non riesco a capirne il motivo, come se qualcosa non fosse impostato correttamente, ma da quello che sono riuscito a vedere tutto mi sembra regolare (compreso le impostazioni dele GPO riferite al Reindirizzamento)

    Se vado a vedere nei client ho situazioni diverse:

    alcuni client hanno lasciato le FolderRedirection; nelle proprieta della cartella vedo linkato il percordo corretto nella macchina locale, ma rimane sempre attivo il sistema di sincronizzazione (icona tray system)

    altri client continuano ad avere attivo il collegamento a FolderRedirect

    Analizzando ancora la struttura (grazie ai link ricevuti) ho notato che

    Gli Utenti appartengono ad un Nuovo Ruolo (appositamente creato) che comunque attualmente non ha impostato il Reindirizzamento. Presumo che questo sia dovuto alla mia ultima disattivazione delle stesse cme sopra riportato. Questo Nuovo Ruolo Utente si è portato le impostazioni dal Ruolo Utente Base il quale attualmente ha ancora impostato ed attivo il Reindirizzamento.

    Forse è questo il problema che non fa Terminare il Redirect.

    Avrei intenzione di disabilitare il Reindirizzamento anche su questo Ruolo Utente Base e su Ruolo Utente Standard unici due dove ancora è attivo il Reindirizzamento delle cartelle.

    Non dovrebbe creare nessun problema, se non portare solo alla terminazione del servizio.

    Che ne pensate?


    lunedì 20 aprile 2015 11:21
  • Non dovrebbero esserci problemi a disabilitare manualmente il reindirizzamento anche sugli altri ruoli, l'unica cosa da considerare è che qualsiasi modifica successiva sul reindirizzamento potrebbe comunque ripristinare automaticamente la situazione attuale.

    In ogni caso valuta anche che la propagazione delle policy potrebbe richiedere del tempo, quindi magari basta solo aspettare.

    mercoledì 22 aprile 2015 16:52
    Moderatore
  • Dato che aspettare piò diventare un problema in più (21 gg), ho preferito intervenire manualmente nei client con FolderRedirection non conformi (Ci sarebbe da aprire un Thread solo per questo problema).

    Quello che ho fatto su ogni client è copiarmi dal client stesso le cartelle con Redirect in una cartella sul PC, disabilitare la sincronizzazione tramite Disattivazione FileOffLine, ravviare il PC, modificare tutte le relative voci del redirect del registry impostando le cartelle corrette, ricreare le cartelle corrette e popolarle con i file copiati prima. Fatto tutto questo sul server ho disabilitato il FolderRedirect dalle GPO del ruolo Utente.

    Oramai sono tre giorni e niente è cambiato. Nessun client si replica.
    Quindi domani ho in programma di terminare l'ultima fase della migrazione con l'abbassamento del DC primario e relativo spegnimento.

    Alle prossime per le ultime informazioni (spero veramente le ultime su questo caso)

    domenica 26 aprile 2015 21:10
  • Finalmente sono entrato in porto!

    Operazione terminata con il declassamento del DC di origine e passaggio del dc di destinazione come unico DC.

    Rieseguito l'accesso con tutti i client e nessun problema è stato evidenziato.

    Non per scoraggiare nessuno; sono procedure che sicuramente capitano almeno una volta a che mangia di questo pane, ma non è stato facile. Adesso ho solo qualche (due /tre) warning negli eventi che spero si risolvino nei prossimi giorni.

    Fabrizio ti ringrazio per il supporto morale (virtuale) e tecnico; sei stato veramente di aiuto.

    Grazie anche ad Edoardo, ma i documenti linkati si riferivano a versioni diverse da SBS2008 e non trovavo simbiosi per la risoluzione del mio problema.

    Buon lavoro a tutti e alle prossime.

    martedì 28 aprile 2015 22:09