none
ошибка при установки добавочного контроллера домена RRS feed

  • Общие обсуждения

  • система Server2003SP1eng

    При установки добавочного контроллера домена происходит ошибка:

     

    Операция не выполнена по следующей причине:

    Ошибка при репликации службой каталогов раздела CN=Schema,CN=Configuration,DC=gtrkaltai,DC=ru с удаленного контроллера доменов pegas1.gtrkaltai.ru.

    "Произошла ошибка базы данных при выполнении репликации."

     

    Вроде как поврежден сам AD, стандартные утилиты по фиксации ошибок в AD не помогают.

    Есть ли утилиты которые могут все таки восстановить AD ?

    Или возможно ли с помощью IDEAL Migration перенести все данные на новый сервер и сделать его контроллером домена?

     

    3 октября 2008 г. 7:55

Все ответы

  •  Alk01 написано:

    система Server2003SP1eng

    При установки добавочного контроллера домена происходит ошибка:

     

    Операция не выполнена по следующей причине:

    Ошибка при репликации службой каталогов раздела CN=Schema,CN=Configuration,DC=gtrkaltai,DC=ru с удаленного контроллера доменов pegas1.gtrkaltai.ru.

    "Произошла ошибка базы данных при выполнении репликации."

     

    Вроде как поврежден сам AD, стандартные утилиты по фиксации ошибок в AD не помогают.

    Есть ли утилиты которые могут все таки восстановить AD ?

    Или возможно ли с помощью IDEAL Migration перенести все данные на новый сервер и сделать его контроллером домена?

     



    Вы только один раз пытались запустить визард ?

    Что в логах контролера ?

    Какие у Вас задачи: добавить ещё один контроллер или заменить в последующем старый ?
    3 октября 2008 г. 8:07
  • Визард запускал много раз...

    В логах контроллера есть ошибки...  ниже (в этом то и проблема)

    Возможно ли восстановить чем-то базу AD? 

    А задача, сначала установить добавочный контроллер w2003, а потом еще и заменить основной контроллер с его понижением, для установки w2008 и повышения его до основного контроллера.

     

    NTDS (696) NTDSA: Обнаружено нарушение целостности данных в таблице datatable базы данных C:\WINDOWS\ntds\ntds.dit (512,737).

     

    Внутреннее событие. В Active Directory обнаружено следующее исключение с соответствующими параметрами.

    Исключение: e0010004

    Параметр: 0

    Дополнительные данные

    Значение ошибки: -1526

    Внутренний ID: 2050344

     

    Локальному контроллеру домена не удалось загрузить изменения, запрошенные для следующего раздела каталога. Поэтому не удалось отправить запросы на изменения контроллеру домена по следующему сетевому адресу.

    Раздел каталога: CN=Schema,CN=Configuration,DC=gtrkaltai,DC=ru

    Сетевой адрес: 52650b9e-20d3-41a5-a249-38ce79806a0b._msdcs.gtrkaltai.ru

    Расширенный код запроса: 0

    Дополнительные данные

    Значение ошибки: 8451 Произошла ошибка базы данных при выполнении репликации.

     

     

    3 октября 2008 г. 8:30
  • Попробуйте так
    3 октября 2008 г. 8:42
  • Привет! Не хочу Вас расстраивать, но подобное, а именно повреждение файла ntds.dit при многократных плясках с бубном не излечилось. Симптомов много.

    1. Не отрабатывает ntdsutil даже в режиме восстановления домена. Точнее не вся утилита, а связанные с check integrity ее компоненты. Говорят, что повреждена страница.

    2. Не отрабатывает ntbackup system state. Ругается на то же самое.

    Если есть бэкапы, попытайтесь восстановить AD. Но не думаю, что проблема возникла вчера, поэтому скорее всего в обозримых бэкапах файл тоже битый.

    Мне помогло единственное решение: миграция side-by-side.

    3 октября 2008 г. 17:27
    Модератор
  •  Oleg Krylov написано:

    Привет! Не хочу Вас расстраивать, но подобное, а именно повреждение файла ntds.dit при многократных плясках с бубном не излечилось. Симптомов много.

    1. Не отрабатывает ntdsutil даже в режиме восстановления домена. Точнее не вся утилита, а связанные с check integrity ее компоненты. Говорят, что повреждена страница.

    2. Не отрабатывает ntbackup system state. Ругается на то же самое.

    Если есть бэкапы, попытайтесь восстановить AD. Но не думаю, что проблема возникла вчера, поэтому скорее всего в обозримых бэкапах файл тоже битый.

    Мне помогло единственное решение: миграция side-by-side.

     

    Спсаибо за информацию. Я практически уже начал так думать, что никакое восстановление не поможет, т.к. бэкап который был он тоже с ошибкой... И манипуляции с утилитами винды ничего не помогли, так и жили несколько месяцев с одним контроллером, а тут уже назрело, есть новая машина нужно как-то восстанавливать...

     

    А можно по подро про миграцию side-by-side, какая последовательность действий, чтобы тот же домен остался в итоге или где прочитать можно на русском Smile. Я посмотрел, появилась новая версия Migration Tool version 3.1 (ADMT v3.1) лучше ей делать или есть еще IDEAL Migration.

    5 октября 2008 г. 13:54
  • К сожалению не видел IDEAL Migration... Использовал ADMT 3.1, но для миграции в домен 2008. Для миграции в 2003 можно обойтись ADMT 3.0. Пошаговое руководство... Можно определиться с тем как вы будете мигрировать, что переносить. И использовать как пошаговое руководство раздел справки по ADMT в библиотеке Windows Server. У меня все прошло без проблем, и если бы не перезагрузки машин во время миграции и не необходимость смены пароля, пользователи даже не заметили бы. Здесь достаточно сложный момент с фильтрацией SID. Однажды она не отключилась в исходном домене, т.к. это была миграция с SBS через одно место Smile

    Поэтому пришлось сначала переносить ресурсы, чтобы уменьшить удар по пользователям. И если у Вас есть SharePoint, с ним тоже аккуратно нужно быть, т.к. вроде и смена сервисных аккаунтов прошла, но некоторые настройки пришлось править руками.

    5 октября 2008 г. 17:54
    Модератор
  • На сайте IDEAL Migration в FAQ прочитал "Как заменить Windows 2000 PDC-сервера на Windows 2003 с сохранением имени сервера?"

    вот оригинал http://www.pointdev.com/en/faq/result-faq-im.php?cat=migration&faq=22

    так там написа такая последовательность, если я правильно понял:

    1. Ввести win2003 в существующий домен.

    2. Поднять на win2003 новый контроллер в существующем домене

    3. произвести миграцию с помощью IDEAL Migration

    3. Написано, если не установили DNS при поднятии домена, то установить DNS. А КАК передадутся данные на него??? 

    4. !!! И если я правильно понял...!!! Понизить старый сервер до рядового, но не последнего контроллера в домене!? Перегрузить старый сервер. Все роли должны передаться на новый, написано так, КАК???

    5. Вывести его из домена, проверив ...

    6. Переименовать win2003 сервер.

     

    Вопрос по 3 и 4 пункту, КАК передадутся данные на новый DNS??? 

    И в честь чего роли передадуться со старого на новый сервер??? Или имеется ввиду, что когда старый выведиться из домена, а новый переименуестся, то клиенты должны его нормально найти?

    7 октября 2008 г. 15:25
  • То описание, которое Вы привели с миграцией не имеет ничего общего. Вы описали замену контроллера. При поврежденном ntds.dit сомневаюсь, что реплики у Вас пройдут. И смысл манипуляций тогда? Миграция - это перенос ресурсов абсолютно в новый домен. Вот так.

    8 октября 2008 г. 6:01
    Модератор
  • Как я понял из того FAQ, нужно поднять новый- как первый контроллер в этом же домене, это вообще возможно без проблем для уже существующего контроллера?

     

    А по поводу миграции утилитой ADMT, если мне нужно сохранить имя существующего домена, мне нужно сначало из существующего домена dom1.ru мигрировать на машину с AD dom2.ru, а потом мигрировать из dom2.ru на нормальную машину с AD dom1.ru?

     

    8 октября 2008 г. 7:16
  • Первую часть поста не понял. PDC в домене может быть только один. И еще раз повторюсь, смысл в добавлении контроллера при битом файле базы????

    С ADMT либо так, либо Rename Domain Tools. И опять вопрос: зачем сохранять имя домена?

    8 октября 2008 г. 7:26
    Модератор
  •  Oleg Krylov написано:

    Первую часть поста не понял. PDC в домене может быть только один. И еще раз повторюсь, смысл в добавлении контроллера при битом файле базы????

    С ADMT либо так, либо Rename Domain Tools. И опять вопрос: зачем сохранять имя домена?

     

    По поводу первого, я так перевел с анг., скорее всего наврал...

    И опять вопрос: зачем сохранять имя домена?

    А как машины будут коннектиться на контроллер с другим доменным именем??? или я что-то упустил?

    8 октября 2008 г. 7:32
  • Почитайте документацию по Active Directory Migration Tool Smile Там все это описано. Машины и пользователи тоже мигрируют в другой домен. Короче Вы ее прочитайте, составьте план, и дайте его посмотреть. Я возможно его подкорректирую, и смигрируете без проблем. В следующую среду планирую демонстрацию миграции на http://exchangerus.ru. Будет возможность - присоединяйтесь. Увидите все своими глазами.

    8 октября 2008 г. 7:48
    Модератор
  • Малость подумав, решил с мигрировать сразу на w2008... Собрал стенд на одной машине образ исходного контроллера домена на другой машине c w2008 поднял контроллер AD. Установил на w2008 ADMT3.1. Проделал все подготовительные операции на исходном и целевом домене, которые были написаны в книге Windows Server 2008 полное руководство и почитал сам процесс миграции, посмотрел еще запись презентации по миграции на w2008. Итог, смигрировал несколько машин, их пользователей с паролями и группы, вроде все без проблем. Агента естественно не дал запускать на клиентах. Переименовал целевой домен с помощью rendom и netdom в такой же как у исходного... Подключил клиента к нему, но клиент естественно ругается, что не может найти контроллер... Посмотрел DNS а там запись типа А и PTR о самом контроллере не обновилась...

     

    Какие нужно сделать шаги после миграции, чтобы возвратить имя домена и имя конроллера и чтобы клиенты могли подключиться как к старому контроллеру, без установки на них клиентов миграции? Или это не возможно?

    16 октября 2008 г. 7:57
  • netdiag /fix на новом контроллере. У вас адреса в сети как назначаются? Может клиенты элементарно не видят нужный DNS?

    16 октября 2008 г. 8:42
    Модератор
  • В сети статичные адреса, dns на клиенте я прописал. nslookup не резолвит адреса... А утилиту netdiag под w2008 я не нашел в ней.

    16 октября 2008 г. 9:34
  • Вот и копайте в сторону DNS. Там и проблема.

    Netdiag есть в Support Tools

    16 октября 2008 г. 9:46
    Модератор
  • Netdiag говорят нужно взять от w2003. По поводу DNS, я завтра посмотрю. А вот вопрос про SID контроллера AD, он же у исходного и целевого разный же!? Это может влиять, что клиент не может подключиться к контроллеру? А машину контроллера домена нужно мигрировать из исходного в целевой домен?

    16 октября 2008 г. 14:31
  • Видать малость поспешил я, все что мигрировал снес...

    С dns разобрался, были ошибки в dns по netdiag /fix, проблема была в настройке ip6 сетевухе, там в dns цифра 1 стояла, отключил протокол все нормализовалось.

    Я делал образ w2008 с уже поднятой AD, я его обратно закатал на сервак и в итоге netdiag /fix вот что выдает, два теста не проходят:

     

    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{A1756226-C188-404B-8039-2E4E3D0571D6}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{A1756226-C188-404B-8039-2E4E3D0571D6}
        The browser is bound to 1 NetBt transport.

    DC discovery test. . . . . . . . . : Passed

    DC list test . . . . . . . . . . . : Failed 
            Failed to enumerate DCs by using the browser. [ERROR_NO_BROWSER_SERVERS_FOUND]

    Trust relationship test. . . . . . : Skipped

    Kerberos test. . . . . . . . . . . : Failed
            [FATAL] Kerberos does not have a ticket for host/pegas11.gtrk.ru.

    LDAP test. . . . . . . . . . . . . : Passed

    Bindings test. . . . . . . . . . . : Passed

     

     

    17 октября 2008 г. 6:07
  • Я бы даже сказал очень поторопились. Из Вашего поста с описанием процесса мало понятно, что вообще Вы сделали. Я кажется просил показать план (а может просил но не Вас...) действий. Теперь высылайте систем лог, будем думать.

    А что означает фраза "Агентов естественно запускать не разрешил" ? Почему "естественно"? Вы это где-то в документации прочитали?

    17 октября 2008 г. 7:47
    Модератор
  • Я извиняюсь за сумбурность, теперь все последовательно... На стенде я сейчас заново поднял с нуля целевой домен. Больше ничего не трогал и не устанавливал.  По dcdiag все тесты пройдены. По netdiag есть одна ошибка

     

    DC list test . . . . . . . . . . . : Failed 
            Failed to enumerate DCs by using the browser. [ERROR_NO_BROWSER_SERVERS_FOUND]

     

    Это сильно важно?

     

    Использовал утилиты из W2003SP2.

     

    План миграции на стенде такой:

    1. Установить на целевой домен ADMT3.1

    2. Сделать все предварительные настройки рекомендованные в мануале до начала использования ADMT

    3. Смигрировать сначала группы, потом пользователей

    4. Смигрировать рабочие станции.

     

     

     

     

     

     

    17 октября 2008 г. 9:13
  • При миграции машин, не инсталлируется агента на рабочие станции вот что пишет:

     

    ERR2:7006 Failed to install agent on \\express_3.gtrkaltai.ru, rc=5   Отказано в доступе.
    ERR2:7674 Unable to determine the local path for ADMIN share on the machine 'express_3.gtrkaltai.ru'.  rc=-2147024891

     

    файервол на рабочей станции отключен, шара ADMIN$  есть, что искать???

    21 октября 2008 г. 5:59
  • Права локального администратора.

     

    21 октября 2008 г. 6:16
    Отвечающий
  •  G14 написано:
    Права локального администратора.

     

     

    Доменный пользователь на машине работает с локальными правами администратора.

     

    21 октября 2008 г. 6:49
  • На OU, в которую переносите компьютеры делегировали права для Migration Account?

    21 октября 2008 г. 7:44
    Модератор
  •  Alk01 написано:
     G14 написано:
    Права локального администратора.

     

     

    Доменный пользователь на машине работает с локальными правами администратора.

     

    На удаленной машине он тоже должен быть администратором.

    21 октября 2008 г. 7:50
  • Ну коллеги... В инструкциях черным по белому написано, что пользователь, из под которого выполняется миграция должен быть:

    1. Domain Admin in Source Domain

    2. Administrator Group member in Target Domain (на контроллере домена, Windows 2008 есть такая группа)

    3. На OU, в которую импортируются машины по умолчанию делегировать полные права.

    Никаких "после миграции", агент устанавливается в момент переноса.

     

    21 октября 2008 г. 8:35
    Модератор
  •  Ilgiz Mamyshev написано:
     Alk01 написано:
     G14 написано:
    Права локального администратора.

     

     

    Доменный пользователь на машине работает с локальными правами администратора.

     

    На удаленной машине он тоже должен быть администратором.

    Администратор целевого контроллера входит во все группы (админ домена и т.д.) я его ввел в локальную группу Builtin на исходном домене (как написано в книжке).

    С аккаунтом "Администратор" с целевого контроллера я захожу на шару ADMIN$ исходного контроллера, но не могу зайти на шару ADMIN$ на рабочей станции. Куда то еще нужно прописать прова???

     

     

    На OU, в которую переносите компьютеры делегировали права для Migration Account?

    Это на вкладке (по правой клавише) OU в которую я переношу машину, я должен выбрать делегировать управление и выбрать все полномочия которые там есть для Migration Account?

    21 октября 2008 г. 8:47
  • Скажите, сделал как написано Администратора целевого контроллер ввел в локальную группу Builtin на исходном домене, под этим аккаунтом на целевом контроллере гружусь и выполняю миграцию, но агент не инсталлируется на рабоую станцию, говорит нет прав, о чем писал вчера.

     

    Сделал наоборот Администратора исходного контроллер ввел в локальную группу Builtin целевого домена, под этим аккаунтом на целевом контроллере гружусь и выполняю миграцию, агент устанавливается на рабочую станцию что-то делает, но заканчивает с ошибкой, вот из лога агента: ERR3:7075 Failed to change domain affiliation, hr=8007054b   Указанный домен не существует или к нему невозможно подключиться.

     

    22 октября 2008 г. 6:59
  • Очень похоже на проблемы с DNS. Вы с машин все ресурсные записи видите в целевом домене?

    22 октября 2008 г. 7:48
    Модератор
  •  

    Посмотрел DNS обоих контроллеров, так они прописаны друг у друга только в обратных зонах, а в прямых зонах  их нет. nslookup по  имени не определяет их, только по IP. Как внести их в прямую зону друг к другу?
    22 октября 2008 г. 9:24
  •  Alk01 написано:

     

    Посмотрел DNS обоих контроллеров, так они прописаны друг у друга только в обратных зонах, а в прямых зонах  их нет. nslookup по  имени не определяет их, только по IP. Как внести их в прямую зону друг к другу?

    Создайте зону заглушку, указывающую на соседний домен. - на обоих DNS серверах.

    (если я правильно понял - два отдельных домена (за темой особо не следил)).

    22 октября 2008 г. 9:51
  • Вот-вот. Решение Ильгиза более экономично, второй вариант - разрешить передачи зон с сервера на сервер и создать вторичные зоны на каждом. И проблема должна пофикситься!

    22 октября 2008 г. 10:11
    Модератор