none
Передача ролей FSMO с 2000 на 2003. RRS feed

  • Общие обсуждения

  • Необходимо аккуратно произвести миграцию с 2000 Server ed. на 2003. При помощи команды ntdsutil я захватил все роли. Теперь новенький сервер на 2003 является хохяином всех ролей. Но я увидел вот такое предупреждение :
    Хозяин инфраструктуры. Роль хозяина инфраструктуры — это роль уровня домена. В каждом домене существует один хозяин инфраструктуры. Эта роль необходима контроллерам доменов для успешного выполнения команды adprep /forestprep, а также для обновления атрибутов идентификаторов безопасности (SID) и различающихся атрибутов имен для объектов, на которые указывают междоменные ссылки.
    Пока что 2003 не является глобальным каталогом, но раз я буду выводить 2000-ый из домена мне придется назначить глобальный каталог на 2003-й. Есть несколько вопросов:

    1. Как передать глобальный каталог?

    2. Что делать ролью - Хозяин инфраструктуры?

    3. Как аккуратно понизить и удалить Windows 2000 Server. который до сегодняшнего дня был главным и единственным контролером домена?

    21 августа 2009 г. 14:25

Все ответы

  • Есть несколько вопросов:

    1. Как передать глобальный каталог?

    2. Что делать ролью - Хозяин инфраструктуры?

    3. Как аккуратно понизить и удалить Windows 2000 Server. который до сегодняшнего дня был главным и единственным контролером домена?

    1. Глобальный каталог передавать не нужно. Просто сделайте сервер глобальным каталогом нужный вам сервер (или не один) - это делается в Active Directory Sites and Services. (http://support.microsoft.com/kb/313994 )
    2. http://support.microsoft.com/kb/255504/ru
    3. В соседней теме же целая дискуссия на эту тему была....

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    21 августа 2009 г. 14:34
  • по поводу пункта 2. Ту статью я читал, но не нашел там, ответа на вопрос. Там написано что нельзя чтобы глобальный каталог и мастер схемы были на одном контроллере. Куда девать глобальный каталог или мастера схаемы, если сервер только 1?
    21 августа 2009 г. 15:04
  • по поводу пункта 2. Ту статью я читал, но не нашел там, ответа на вопрос. Там написано что нельзя чтобы глобальный каталог и мастер схемы были на одном контроллере. Куда девать глобальный каталог или мастера схаемы, если сервер только 1?
    Это не касается ситуации когда контроллер домена только один.

    http://support.microsoft.com/kb/223346/ru
    http://support.microsoft.com/kb/197132/ru

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    22 августа 2009 г. 7:36
  • Во первых, определитесь, захватили ли вы роли или передали. Это достаточно существенно. Если захватили - просто выключайте старый контроллер, после чего удаляйте о нем информацию из AD  с помощью той же ntdsutil. После чего захватывайте оставшиеся роли. Старый контроллер нельзя подключать к сети, пока он не станет рядовым сервером. В идеале - переставить систему.
    Если передали, то в остнастке Sites and Services на новом контроллере указать, что он владелец GC, после чего можно понизить первый контроллер через dcpromo (при этом НЕ указывая, что он является последним контроллером домена) При этом действии, даже если какие-то роли остались на нем - они автоматически переедут. При этом, вы не указали, есть ли сервисы, которые могли быть завязаны на первый контроллер домена (например, Exchange, или какие другие) Если такие сервисы есть - для них есть специальные статьи, что делать и как их отвязать от первого контроллера. В "голом" же случае - вполне достаточно понижения старого контроллера с помощбю dcpromo - она сама все делает.
    _________________
    22 августа 2009 г. 11:28
  • // <...> нельзя чтобы глобальный каталог и мастер схемы были на одном контроллере <...>
    Георгий, поправлю Вас: размещать глобальный каталог нельзя на "мастере инфраструктуры", а не на "мастере схемы".


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    22 августа 2009 г. 15:23
    Отвечающий
  • Георгий, если Хозяин Инфраструктуры и Глобальный каталог находятся на одном DC, то логах появляются записи, предупреждающие о том, что так делать нельзя. Но там же и указано, что если DC единственный в домене, то можно не обращать внимание на ошибку. То есть в Вашем случае можно сделать так:
    1. Отработать adprep на сервере с Windows 2000
    2. Завести сервер с Windows 2003 в домен, поднять на нем DNS, сделать его DC, погонять dcdiag, netdiag, убедиться в отсутствии ошибок
    3. Передать роли на новый сервер, про передачу ролей почитать можно http://support.microsoft.com/kb/255690/ru
    4. Передать Глобальный каталог, дождать записи в логе о том, что GC передался.
    5. Еще раз погонять dcdiag, netdiag, убедиться в отсутствии ошибок.
    6. На старом сервере сделать dcpromo, понизить роль до рядового сервера.
    В принципе все. На старом сервере можно переставить систему на Windows Server 2003, сделать его дополнительным DC и на него передать роль Хозяина инфраструктуры

    23 августа 2009 г. 6:32
  • да, надо не забыть adprep со второго диска сервера 2003 запускать.
    25 августа 2009 г. 8:27
  • Привет народ!!! Новую тему создавать не стал так-как проблема та же.
    Пытаюсь перенести с 2000 винды на 2003. В домене существует 2 контроллера один на 2000 и на второй на 2003, первый хочу убить, передал все роли на 2003 + ГК, но вот понизить сервер 2000 с помощью dcpromo я не могу вылазит ошибка: Что контроллер домена не существует или к нему не возможно подключиться.
    Прогнал dcdiag и netdiag на первом 2000 сервере, получил несколько ошибок:
     Starting test: MachineAccount
        * Server is not trusted for account delegation ......................... Server failed test MachineAccount
     Starting test: Services
           RPCLOCATOR Service is stopped on [Server] ......................... Server failed test Services
    An Information Event occured.  EventID: 0x40000456
           Time Generated: 09/17/2009   15:11:48
           (Event String could not be retrieved)  ......................... Server failed test kccevent
      Starting test: FsmoCheck
        Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
        A Global Catalog Server could not be located - All GC's are down.  ......................... 123.ru failed test FsmoCheck

    ставлю галочку ГК последняя ошибка пропадает.
    и для netdiag

    Trust relationship test. . . . . . : Failed
        [FATAL] Secure channel to domain '123' is broken. [ERROR_NO_LOGON_SERVERS]
    17 сентября 2009 г. 9:46
  • Возможно, дело в этом?


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    18 сентября 2009 г. 9:06
    Модератор