none
Ошибка при понижении роли контроллера RRS feed

  • Вопрос

  • Добрый день коллеги ситуация следующая, имею 3 DC в режиме работы 2008R2, хочу вывести один контроллер из эксплуатации, но при понижении роли выдается следующая ошибка:

    Учетная запись под которой провожу данную операцию в ходит в группы, Администраторы схемы и администраторы предприятия. Конечно можно было бы вывести его принудительно, но хотелось это сделать корректно, кто-нибудь сталкивался с такой проблемой и как ее решил?

    19 января 2015 г. 8:33

Ответы

  • Уважаемый, не надо лазить руками в AD, если вы до конца не понимаете, что и как там устроено и если у вас нет четкой пошаговой инструкции от того, кто это понимает. В данном случае вы пытаетесь править совсем не тот атрибут, используя  совсем не тот синтаксис, и ваше счастье, что AD вам это сделать не позволила.

    В первой из указанных статей есть скрипт, который должен исправлять некорректно выставленного владельца инфраструктуры для недоменного раздела каталога. Попробуйте его выполнить, с параметром DC=DomainDNSZones,DC=siam,DC=local

    Если этот скрипт не отработает, то делайте следущее (расписываю шаги по второй статье):

    1. Запустите adsiedit.msc

    2. В меню выберите Action/Connect to...

    3. В диалоге в группе Connection выберите переключатель "Select or Type a Distingushed...", введите в строчку ниже переключателя значение DC=DomainDNSZones,DC=siam,DC=local и нажмите кнопку ОК

    4. Перейдите слева в дереве (раскрывая его при необходимости) в узел DC=DomainDNSZones,DC=siam,DC=local и в панели справа выберите объект CN=Infrastructure (вот тут и надо править)

    5. В его свойствах выберите атрибут fSMORoleOwner и установите его значение, равное distingushedName объекта NTDS Settings одного из существующих КД, например SIAMDC4: CN=NTDS Settings, CN=SIAMDC4,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=siam,dc=local)

    (для надежности можете скопировать это имя из атрибута distinguishedName соответствующего объекта  - того, свойства которого открыты у вас на картинке, для этого откройте этот атрибут на редактирование, и скопируйте значение в буфер обмена, не изменяя его).

    И последнее: прежде чем исправлять что-то, проверьте, что проблемный раздел вообще реплицируется куда-либо  с понижаемого КД: запустите команду с любого КД (с командной строки в режиме администратора)

    repadmin /showrepl * DC=DomainDNSZones,DC=siam,DC=local

    и посмотрите, что на других КД есть удаляемый КД в качестве партнера репликации и репликация с него идёт успешно.


    Слава России!

    • Помечено в качестве ответа EFIMOVDI 20 января 2015 г. 14:58
    19 января 2015 г. 13:21
  • Вы, скорее всего, были невнимательны: на понижаемом КД должно выдаватся немного другое сообщение - вместо DC=DomainDnsZones там должно быть DC=ForestDNSZones. По крайней мере, это следует из преведенного вами куска журнала dcpromo.log.

    Т.е. у вас теперь имеется аналогичная проблема с другим разделом приложений для DNS - DC=ForestDnsZones,DC=siam,DC=local (это выглядит логичным - скорее всего, хозяином инфратструктуры для них был один и тот же КД, SIMADC1 - первый, установленный в лесу, а впоследствии - отказавший или пониженный принудительно и удаленный).

    Лечение тут полностью аналогично тому, что вы проделали для предыдущего раздела приложений для DNS, только везде замените имя раздела: вместо DomainDNSZones указывайте ForestDNSZones.

    PS При выполнении скрипта (первый вариант лечения) ошибка была вызвана тем, что в параметре перед и после знака '=' были пробелы. Вообще, во избежание проблем с такими параметрами их имеет смысл заключать в двойные кавычки.


    Слава России!

    • Помечено в качестве ответа EFIMOVDI 20 января 2015 г. 14:58
    20 января 2015 г. 14:18

Все ответы

  • Посмотрите KB949257 и KB2696188


    Innovation distinguishes between a leader and a follower - Steve Jobs

    19 января 2015 г. 9:08
  • Если я правильно понимаю, я должен выставить параметр NDNC в записи  fSMORoleOwner,  только я не понял, это нужно сделать  для DC которого я вывожу или на DC который является хозяином ролей?
    19 января 2015 г. 9:44
  • При попытке изменить параметр выдается следующая ошибка,  я что-то не так делаю?

    19 января 2015 г. 10:00
  • Уважаемый, не надо лазить руками в AD, если вы до конца не понимаете, что и как там устроено и если у вас нет четкой пошаговой инструкции от того, кто это понимает. В данном случае вы пытаетесь править совсем не тот атрибут, используя  совсем не тот синтаксис, и ваше счастье, что AD вам это сделать не позволила.

    В первой из указанных статей есть скрипт, который должен исправлять некорректно выставленного владельца инфраструктуры для недоменного раздела каталога. Попробуйте его выполнить, с параметром DC=DomainDNSZones,DC=siam,DC=local

    Если этот скрипт не отработает, то делайте следущее (расписываю шаги по второй статье):

    1. Запустите adsiedit.msc

    2. В меню выберите Action/Connect to...

    3. В диалоге в группе Connection выберите переключатель "Select or Type a Distingushed...", введите в строчку ниже переключателя значение DC=DomainDNSZones,DC=siam,DC=local и нажмите кнопку ОК

    4. Перейдите слева в дереве (раскрывая его при необходимости) в узел DC=DomainDNSZones,DC=siam,DC=local и в панели справа выберите объект CN=Infrastructure (вот тут и надо править)

    5. В его свойствах выберите атрибут fSMORoleOwner и установите его значение, равное distingushedName объекта NTDS Settings одного из существующих КД, например SIAMDC4: CN=NTDS Settings, CN=SIAMDC4,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=siam,dc=local)

    (для надежности можете скопировать это имя из атрибута distinguishedName соответствующего объекта  - того, свойства которого открыты у вас на картинке, для этого откройте этот атрибут на редактирование, и скопируйте значение в буфер обмена, не изменяя его).

    И последнее: прежде чем исправлять что-то, проверьте, что проблемный раздел вообще реплицируется куда-либо  с понижаемого КД: запустите команду с любого КД (с командной строки в режиме администратора)

    repadmin /showrepl * DC=DomainDNSZones,DC=siam,DC=local

    и посмотрите, что на других КД есть удаляемый КД в качестве партнера репликации и репликация с него идёт успешно.


    Слава России!

    • Помечено в качестве ответа EFIMOVDI 20 января 2015 г. 14:58
    19 января 2015 г. 13:21
  • Спасибо большое за подробную инструкцию, сейчас попробую.

    При вводе команды:

    repadmin /showrepl * DC=DomainDNSZones,DC=siam,DC=local

    она выводит следующее:

    Repadmin: выполнение команды /showrepl контроллере домена SIAMDC2.siam.local с полным доступом
    Неизвестный параметр "DC=siam".

    Repadmin: выполнение команды /showrepl контроллере домена SIAMDC3.siam.local с полным доступом
    Неизвестный параметр "DC=siam".

    Repadmin: выполнение команды /showrepl контроллере домена Siamdc4.siam.local с полным доступом
    Неизвестный параметр "DC=siam".

    Я так понимаю это ошибка в синтаксисе?

    19 января 2015 г. 13:46
  • Да, в синтаксисе. Откуда выполняете?

    Из cmd.exe у меня всё успешно выполняется так, как написано (с поправкой на имя домена, конечно - у меня другое). Если выполняете из окна Powershell, то этот параметр - DC=DomainDNSZones,DC=siam,DC=local - надо заключить в кавычки.


    Слава России!

    19 января 2015 г. 13:56
  • Как я понимаю из результата, проблем никаких нету.

    Скрипт отработал, но проблему он не решил, сейчас попробую руками подправить, по вашей инструкции.

    19 января 2015 г. 14:11
  • Все сделал, нужны какие-то манипуляции что бы все применилось или просто надо подождать?

    На данный момент проблема осталась.

    • Изменено EFIMOVDI 19 января 2015 г. 14:39 Дополнил
    19 января 2015 г. 14:22
  • С репликацией всё в порядке.

    Давайте проверим, правильно ли вы установили там значение - покажите результат следующей команды:

    dsquery * CN=Infrastructure,DC=DomainDNSZones,DC=siam,DC=local -scope base -attr fSMORoleOwner

    И есть подозрение, что не в этом дело.

    Покажите выдачу команды netdom query fsmo


    Слава России!


    • Изменено M.V.V. _ 19 января 2015 г. 17:03
    19 января 2015 г. 16:53
  • Доброе утро.

    Вывод первой команды:

    Второй:

    DC4 это новый DC, вывести хочу DC2, глобальный каталог  я с него убрал.


    • Изменено EFIMOVDI 20 января 2015 г. 6:42 Добавил скриншеты
    20 января 2015 г. 6:40
  • Какую ошибку сейчас выдаёт dcpromo при попытке понижения КД?

    Что при этом пишется в %sytemroot%\Debug\dcpromo.log?

    Выдают ли команды, результат которых вы привели выше, тот же результат на понижаемом КД?


    Слава России!

    20 января 2015 г. 10:46
  • Тажа самая.

    Посмотрев логи меня смутила эта запись про SIAMDC1,  такого нет контроллера,  видимо от него остались какие-то остатки.

    1/20/2015 14:56:42 [INFO] Поиск других реплик раздела DC=ForestDnsZones,DC=siam,DC=local в сети...
    01/20/2015 14:56:42 [INFO] Перенос оставшихся данных в разделе DC=ForestDnsZones,DC=siam,DC=local на контроллер домена Active Directory \\Siamdc4.siam.local...
    01/20/2015 14:56:42 [INFO] Передача ролей FSMO, которыми владел этот контроллер домена Active Directory в разделе DC=ForestDnsZones,DC=siam,DC=local, контроллеру доменов Active Directory \\Siamdc4.siam.local...
    01/20/2015 14:56:42 [INFO] EVENTLOG (Warning): NTDS Replication / Репликация : 2091
    
      Владельцем следующей роли FSMO задан сервер, который был удален или не существует.
    
    
    
    Операции, требующие обращения хозяина операции FSMO, не смогут выполняться, пока это состояние не
    будет исправлено.
    
    
    
    Роль FSMO: CN=Infrastructure,DC=ForestDnsZones,DC=siam,DC=local
    
    DN-имя сервера FSMO: CN=NTDS Settings\0ADEL:489f59ce-8f16-46b0-8145-6e35416e090c,CN=SIAMDC1\0ADEL:ae7f106a-ddeb-4f85-81c7-2737a96eae1b,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=siam,DC=local
    
    
    
    На понижаемом КД результат команд такой же.

    20 января 2015 г. 12:17
  • Вы, скорее всего, были невнимательны: на понижаемом КД должно выдаватся немного другое сообщение - вместо DC=DomainDnsZones там должно быть DC=ForestDNSZones. По крайней мере, это следует из преведенного вами куска журнала dcpromo.log.

    Т.е. у вас теперь имеется аналогичная проблема с другим разделом приложений для DNS - DC=ForestDnsZones,DC=siam,DC=local (это выглядит логичным - скорее всего, хозяином инфратструктуры для них был один и тот же КД, SIMADC1 - первый, установленный в лесу, а впоследствии - отказавший или пониженный принудительно и удаленный).

    Лечение тут полностью аналогично тому, что вы проделали для предыдущего раздела приложений для DNS, только везде замените имя раздела: вместо DomainDNSZones указывайте ForestDNSZones.

    PS При выполнении скрипта (первый вариант лечения) ошибка была вызвана тем, что в параметре перед и после знака '=' были пробелы. Вообще, во избежание проблем с такими параметрами их имеет смысл заключать в двойные кавычки.


    Слава России!

    • Помечено в качестве ответа EFIMOVDI 20 января 2015 г. 14:58
    20 января 2015 г. 14:18
  • Спасибо большое все получилось.
    20 января 2015 г. 15:05