none
Миграция FSMO ролей на новый контроллер домена RRS feed

  • Вопрос

  • Здравствуйте, прошу помощи в авантюре

    Имеется 2 контроллера домена  (один является обладателем всех ролей + является посредником службы терминалов)

    Оба эти контроллера неоднократно бекапились/разворачивались акронисом, что возможно стало причиной разных глюков и ошибок как в репликации, так и распространении политик и работы системы.

    Сейчас поднял третий контроллер домена, хочу перенести на него все роли и службы, а после старые контроллеры вывести из работы.

    Вопрос: как проверить, что всё перенеслось корректно и какие подводные камни могут встретиться при всех этих мероприятиях?

    9 сентября 2016 г. 10:11

Ответы

  • После неправильного восстановления из бэкапа акронисом могут быть очень страшные вещи.

    Поэтому для выяснения размеров бедствия (или факта его отсутствия) следует выполнить диагностику обоих существующих контроллеров домена с помощью утилиты dcdiag (если тип установки - не Core, то её надо запускать на самом КД в командной строке в режиме администратора).

    Если затрудняетесь с пониманием того, что означают ошибки, выявленные dcdiag (коли таковые будут), выкладывайте выдачу dcdiag сюда: вам помогут.

    И да, в дополнение к выдаче dcdiag рекомендую сразу выложить выдачу команд ipconfig /all с обоих КД, чтобы можно было посмотреть правильность настройки DNS: ошибки настройки DNS встречаются регулярно.

    Если выдача dcdiag ошибок не покажет, то можете заниматься своей авантюрой спокойно.


    Слава России!

    9 сентября 2016 г. 10:31
  • В целом, у вас сколь-нибудь серьёзных проблем нет, можете работать по своему плану дальше.  Только вот оставлять единственный контроллер домена в сети - это не рекомендованная практика.

    Проверка NCSecDesc не прходит, потому что при обновлении домена с Win2K/2K3 не была выполнена операция подготовки леса к использованию контроллеров домена режима только для чтения (RODC) - adprep /rodcprep. Если вы таковые не используете и использовать не планируете, можете игнорировать. Или можете выполнить в любой момент adprep /rodcprep.

    Предупреждения об отсутствии сертификата контроллера домена в системном журнале можете смело игнорировать, если не используете смарт-карты для входа в систему.

    Ошибки на втором контроллере домена в журнале событий (проверка SystemLog) вызваны невозможностью перенаправления принтеров для терминальных подключений, для которых нет драйверов. Можете это игнорировать.


    Слава России!

    9 сентября 2016 г. 13:57

Все ответы

  • После неправильного восстановления из бэкапа акронисом могут быть очень страшные вещи.

    Поэтому для выяснения размеров бедствия (или факта его отсутствия) следует выполнить диагностику обоих существующих контроллеров домена с помощью утилиты dcdiag (если тип установки - не Core, то её надо запускать на самом КД в командной строке в режиме администратора).

    Если затрудняетесь с пониманием того, что означают ошибки, выявленные dcdiag (коли таковые будут), выкладывайте выдачу dcdiag сюда: вам помогут.

    И да, в дополнение к выдаче dcdiag рекомендую сразу выложить выдачу команд ipconfig /all с обоих КД, чтобы можно было посмотреть правильность настройки DNS: ошибки настройки DNS встречаются регулярно.

    Если выдача dcdiag ошибок не покажет, то можете заниматься своей авантюрой спокойно.


    Слава России!

    9 сентября 2016 г. 10:31
  • Главный контроллер домена (e-dc-2)

    dcdiag:

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = e-dc-2
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\E-DC-2
          Запуск проверки: Connectivity
             ......................... E-DC-2 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\E-DC-2
          Запуск проверки: Advertising
             ......................... E-DC-2 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... E-DC-2 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... E-DC-2 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... E-DC-2 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... E-DC-2 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... E-DC-2 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... E-DC-2 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=domain,DC=local
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=domain,DC=local
             ......................... E-DC-2 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... E-DC-2 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... E-DC-2 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... E-DC-2 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... E-DC-2 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... E-DC-2 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x8000001D
                Время создания: 09/09/2016   13:21:57
                Строка события:
                Центр распространения ключей (KDC) не может найти подходящий сертиф
    кат для использования при регистрации смарт-карт или KDC-сертификат не может бы
    ь проверен. Регистрация смарт-карт не может работать правильно, если данная про
    лема не разрешена. Для исправления неполадки либо проверьте существующий сертиф
    кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
             ......................... E-DC-2 - пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... E-DC-2 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: domain.local
          Запуск проверки: LocatorCheck
             ......................... domain.local - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... domain.local - пройдена проверка Intersite

    ------------------------------------------------------------------------------------------------------------------------------------

    ipconfig:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : e-dc-2
       Основной DNS-суффикс  . . . . . . : domain.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.local

    Ethernet adapter Подключение по локальной сети 2:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connectio
    n #4
       Физический адрес. . . . . . . . . : 00-25-90-92-D2-E9
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::4508:d71e:e48c:26a9%15(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.10.4(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : fe80::217:c5ff:fe15:30f8%15
                                           192.168.10.1
       DNS-серверы. . . . . . . . . . . : 192.168.10.5
                                           192.168.10.4
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{13530B49-4724-499B-A748-99A6B4117C5B}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    9 сентября 2016 г. 11:06
  • Второй контроллер домена (e-dc-1)

    dcdiag:

    Диагностика сервера каталогов

    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = E-DC-1
       * Идентифицирован лес AD.
       Сбор начальных данных завершен.

    Выполнение обязательных начальных проверок

       Сервер проверки: Default-First-Site-Name\E-DC-1
          Запуск проверки: Connectivity
             ......................... E-DC-1 - пройдена проверка Connectivity

    Выполнение основных проверок

       Сервер проверки: Default-First-Site-Name\E-DC-1
          Запуск проверки: Advertising
             ......................... E-DC-1 - пройдена проверка Advertising
          Запуск проверки: FrsEvent
             ......................... E-DC-1 - пройдена проверка FrsEvent
          Запуск проверки: DFSREvent
             ......................... E-DC-1 - пройдена проверка DFSREvent
          Запуск проверки: SysVolCheck
             ......................... E-DC-1 - пройдена проверка SysVolCheck
          Запуск проверки: KccEvent
             ......................... E-DC-1 - пройдена проверка KccEvent
          Запуск проверки: KnowsOfRoleHolders
             ......................... E-DC-1 - пройдена проверка
             KnowsOfRoleHolders
          Запуск проверки: MachineAccount
             ......................... E-DC-1 - пройдена проверка MachineAccount
          Запуск проверки: NCSecDesc
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=ForestDnsZones,DC=domain,DC=local
             Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
                Replicating Directory Changes In Filtered Set
             прав доступа для контекста именования:
             DC=DomainDnsZones,DC=domain,DC=local
             ......................... E-DC-1 - не пройдена проверка NCSecDesc
          Запуск проверки: NetLogons
             ......................... E-DC-1 - пройдена проверка NetLogons
          Запуск проверки: ObjectsReplicated
             ......................... E-DC-1 - пройдена проверка ObjectsReplicated
          Запуск проверки: Replications
             ......................... E-DC-1 - пройдена проверка Replications
          Запуск проверки: RidManager
             ......................... E-DC-1 - пройдена проверка RidManager
          Запуск проверки: Services
             ......................... E-DC-1 - пройдена проверка Services
          Запуск проверки: SystemLog
             Возникло предупреждение. Код события (EventID): 0x8000001D
                Время создания: 09/09/2016   13:19:03
                Строка события:
                Центр распространения ключей (KDC) не может найти подходящий сертифи
    кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
    ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
    лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
    кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 09/09/2016   13:48:46
                Строка события:
                Драйвер EPSON L800 Series для принтера !!192.168.4.150!EPSON L800 Se
    ries не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный
     драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 09/09/2016   13:48:48
                Строка события:
                Драйвер Canon iR1435 PCL5e для принтера Canon iR1435 PCL5e не опозна
    н. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 09/09/2016   13:48:49
                Строка события:
                Драйвер Canon iR1435 UFRII LT для принтера Canon iR1435 UFRII LT не
    опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер
    .
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 09/09/2016   13:48:51
                Строка события:
                Драйвер Canon iR1435 PCL6 для принтера Canon iR1435 PCL6 не опознан.
     Обратитесь к сетевому администратору, чтобы он установил нужный драйвер.
             Возникла ошибка. Код события (EventID): 0x00000457
                Время создания: 09/09/2016   13:48:52
                Строка события:
                Драйвер Canon iR1435 PS3 для принтера Canon iR1435 PS3 не опознан. О
    братитесь к сетевому администратору, чтобы он установил нужный драйвер.
             ......................... E-DC-1 - не пройдена проверка SystemLog
          Запуск проверки: VerifyReferences
             ......................... E-DC-1 - пройдена проверка VerifyReferences


       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation

       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка
             CrossRefValidation

       Выполнение проверок предприятия на: domain.local
          Запуск проверки: LocatorCheck
             ......................... domain.local - пройдена проверка
             LocatorCheck
          Запуск проверки: Intersite
             ......................... domain.local - пройдена проверка Intersite

    ------------------------------------------------------------------------------------------------------------------------------------

    ipconfig:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : E-DC-1
       Основной DNS-суффикс  . . . . . . : domain.local
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.local

    Ethernet adapter Подключение по локальной сети 2:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connectio
    n #2
       Физический адрес. . . . . . . . . : 00-25-90-92-B7-89
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.10.5(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.10.1
       DNS-серверы. . . . . . . . . . . : 192.168.10.4
                                           192.168.10.5
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер isatap.{6A992CBE-64E7-46B0-912B-17E59D7ECD72}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Teredo Tunneling Pseudo-Interface:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    9 сентября 2016 г. 11:07
  • В целом, у вас сколь-нибудь серьёзных проблем нет, можете работать по своему плану дальше.  Только вот оставлять единственный контроллер домена в сети - это не рекомендованная практика.

    Проверка NCSecDesc не прходит, потому что при обновлении домена с Win2K/2K3 не была выполнена операция подготовки леса к использованию контроллеров домена режима только для чтения (RODC) - adprep /rodcprep. Если вы таковые не используете и использовать не планируете, можете игнорировать. Или можете выполнить в любой момент adprep /rodcprep.

    Предупреждения об отсутствии сертификата контроллера домена в системном журнале можете смело игнорировать, если не используете смарт-карты для входа в систему.

    Ошибки на втором контроллере домена в журнале событий (проверка SystemLog) вызваны невозможностью перенаправления принтеров для терминальных подключений, для которых нет драйверов. Можете это игнорировать.


    Слава России!

    9 сентября 2016 г. 13:57
  • Спасибо за консультацию, насчёт одного кд в сети - оставлять не будем, один из старых кд переподнимем с нуля и оставим резервным.

    9 сентября 2016 г. 15:18