none
О захвате ролей FSMO контроллером в дочернем домене RRS feed

  • Вопрос

  • Есть поддомен rec.admlr.loc на единственном из оставшихся контроллеров под Windows Server 2003.
    Связь с корневыми контроллерами безнадёжно потеряна. Tombstone lifetime давным-давно превышен. Всё умерло. Репликаций нет и не будет.  
    Из ролей FSMO есть только: Infrastructure master, PDC emulator, RID master.
    Роли Domain naming master и Schema master на недоступных теперь серверах.
    Прав Enterprise Admins нет, только  Domain Admins.
    Через ntdsutil не даёт и не даст захватить эти роли.
     
    Что-то можно сделать в этой ситуации? Или для дочерних доменов это безоговорочный конец?
    25 июля 2013 г. 5:38

Ответы

  • Для начала - настроить внешние доверительные отношения с этим доменом . Для этого нужен ровно один этот домен, и полномочия Enterprise Administrator, вроде как, не требуются (объект доверенного домена и учетная запись для аутентификации доверенного домена создаются в разделе домена).

    Дальше - пробовать установить ADMT и провести миграцию. На первый взгляд я непреодолимых препятствий не вижу.

    Если не получится, то разрешения на файлы после переввода файл-сервера в новый домен можно заменить с помощью subinacl.exe из Resource Kit Tools (доступны на сайте MS), технология описана в статье 250267 MS KB


    Слава России!

    26 июля 2013 г. 18:56

Все ответы

  • Что-то можно сделать в этой ситуации? Или для дочерних доменов это безоговорочный конец?
    Увы. Только пытаться восстановить доверие с родительским. И то - ради миграции, видимо...

    Active Directory? Ask me how.

    25 июля 2013 г. 8:31
    Отвечающий
  • Как жаль!

    Доверие пытались установить - не удалось. Это когда была ещё такая возможность. Сейчас её нет.

    Пришлось создавать "с нуля" свой домен.

    Сейчас мне это для чего это всё нужно - создать доверительные отношения этого убитого недодомена с моим текущим доменом.  Этот старый контроллер ещё является и файловым сервером. Понимаю, что это ужасно, но так было далеко до того, как я пришёл работать в эту организацию.

    На данный момент на нём очень разветвлённая структура каталогов с различными разрешениями. На дисках - квоты для пользователей. На разных папках соответствующие разрешения согласно структуре организации и структуре OU.

    Если прибить этот дочерний домен и сделать контроллер рядовым сервером, то все разрешения превратятся в кашу из длинных SID-ов.

    Что делать - ума не приложу...

    26 июля 2013 г. 10:00
  • Для начала - настроить внешние доверительные отношения с этим доменом . Для этого нужен ровно один этот домен, и полномочия Enterprise Administrator, вроде как, не требуются (объект доверенного домена и учетная запись для аутентификации доверенного домена создаются в разделе домена).

    Дальше - пробовать установить ADMT и провести миграцию. На первый взгляд я непреодолимых препятствий не вижу.

    Если не получится, то разрешения на файлы после переввода файл-сервера в новый домен можно заменить с помощью subinacl.exe из Resource Kit Tools (доступны на сайте MS), технология описана в статье 250267 MS KB


    Слава России!

    26 июля 2013 г. 18:56
  • Спасибо!

    Статья про Windows 2000 Server.

    Будет ли указанный subinacl.exe работать под 2008R2?

    Пока не могу попробовать этот метод, т.к. старый контроллер (он же файл-сервер) постоянно используется.

    На данный момент имею чудовищную схему - на новом контроллере создал идентичную старому структуру OU, групп и пользователей. Это позволило получать доступ к файлам и каталогам старого контроллера. Но стали проявляться ошибки доступа (не у всех пользователей), т.е. при подключении к сетевой папке просит пароль.

    На самом деле, даже не понимаю, как он (старый контроллер) даёт доступ пользователям из совершенно чуждого домена. По идее, так не должно быть (хотя, пока это меня спасает)?

    13 августа 2013 г. 13:06
  • Работать будет. subinacl можно скачать сайта MS http://www.microsoft.com/downloads/en/confirmation.aspx?familyId=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displayLang=en


    Слава России!

    13 августа 2013 г. 13:23