none
Понижение роли домена, проблема с fSMORoleOwner RRS feed

  • Вопрос

  • Был домен на 2008 стал домен на 2012 st. R2, я передал все роли без проблем.

    Когда попытался понизить роль старого домена то получил ошибку:

    (Доменным службам Active Directory не удалось передать оставшиеся в разделе DC=ForestDnsZones,DC=XXX,DC=XXXX,DC=XXX

    данные контроллеру домена мой домен

    В службе каталогов утеряна обязательная информация и невозможно определить владельца передаваемых монопольных операций (FSMO))

    Руководствуясь мануалом отсюда 

    http://www.more2know.nl/2011/04/

    и отсюда 

    http://sysadmins.ru/topic366517.html

    Внес необходимые изменения через adsiedit.msc, но сообщение точно такое же.

    Отсюда нубский вопрос, ибо в манулах об этом не очень ясно сказано.

    На понижаемом контроллере домена нужно в разделе fSMORoleOwner указывать текущего, т.е нового хозяина операций, схемы и так далее, или старый удаляемый сервер?

    Нужен ли ребут старого контроллера после смены через adsiedit.msc чтобы все заработало?

Ответы

  • Был домен на 2008 стал домен на 2012 st. R2, я передал все роли без проблем.

    Когда попытался понизить роль старого домена то получил ошибку:

    (Доменным службам Active Directory не удалось передать оставшиеся в разделе DC=ForestDnsZones,DC=XXX,DC=XXXX,DC=XXX

    данные контроллеру домена мой домен

    В службе каталогов утеряна обязательная информация и невозможно определить владельца передаваемых монопольных операций (FSMO))

    Руководствуясь мануалом отсюда 

    http://www.more2know.nl/2011/04/

    и отсюда 

    http://sysadmins.ru/topic366517.html

    Внес необходимые изменения через adsiedit.msc, но сообщение точно такое же.

    Отсюда нубский вопрос, ибо в манулах об этом не очень ясно сказано.

    На понижаемом контроллере домена нужно в разделе fSMORoleOwner указывать текущего, т.е нового хозяина операций, схемы и так далее, или старый удаляемый сервер?

    Нужен ли ребут старого контроллера после смены через adsiedit.msc чтобы все заработало?

    Это зависит от того, работает ли вообще репликация на понижаемый КД и с него. В норме изменение атрибута должно среплицироваться на все другие контроллеры домена. В качестве хозяина инфраструктуры для раздела DNS желательно указать новый контроллер домена (но и понижаемый указать можно - тогда dcpromo попытается передать эту роль на выбранный им КД из числа оставшихся).

    Ребут не нужен.

    Поэтому, прежде всего, проверьте, работает ли у вас репликация. Самый удобный IMHO способ проверки - команда repadmin /repl на каждом КД (или, если в домене нет проблем с аутентификацией на других КД - repadmin /repl * на одном из КД).


    Слава России!

  • На понижаемом сервере как правило ничего указывать не нужно.

    Роли передаются на новый сервер из консоли нового сервера (так удобнее).

    Перед понижением старого контроллера домена нужно убедится, что новый контроллер работает в этом качестве. Для этого надо проверить, имеются ли на нем общие доменные папки (SYSVOL, Netlogon).

    Если они отсутствуют, то у вас проблема с репликацией. И решать нужно ее в первую очередь.

    Если с репликацией все в порядке, проверяем точно ли все FSMO на новом контроллере.

    Если на новом DC не все FSMO и передать их средствами консолей не удается, то старый контроллер нужно отключать, а FSMO захватывать на новый принудительно. А затем вычищать метаданные в базе данных от остатков старого контролера.

  • Ну я делал через GUI захват ролей, а не через ntdsutil и во всех пунктах стоит нужный мне КД хозяином операций и прочего.

    В общем я использовал команду dcpromo/forceremoval на старом КД, буду потом чистить метаданные.

    Спасибо за помощь.

Все ответы

  • На понижаемом сервере как правило ничего указывать не нужно.

    Роли передаются на новый сервер из консоли нового сервера (так удобнее).

    Перед понижением старого контроллера домена нужно убедится, что новый контроллер работает в этом качестве. Для этого надо проверить, имеются ли на нем общие доменные папки (SYSVOL, Netlogon).

    Если они отсутствуют, то у вас проблема с репликацией. И решать нужно ее в первую очередь.

    Если с репликацией все в порядке, проверяем точно ли все FSMO на новом контроллере.

    Если на новом DC не все FSMO и передать их средствами консолей не удается, то старый контроллер нужно отключать, а FSMO захватывать на новый принудительно. А затем вычищать метаданные в базе данных от остатков старого контролера.

  • Новый КД у меня хозяин операций, в пунктах RID PDC и Инфраструктура тоже он прописан, все пользователи работают, репликация между двумя доменами происходит, почта Эксчендж и коммуникатор работает. Вобщем все ок. Но хотелось все же без ошибок вытащить старые домен контроллеры. 

    Что значит захватывать принудительно FSMO, руками в каждом пункте прописывать?

  • а хозяин схемы тоже на новом сервере? (вот)

    Принудительный захват делают при помощи утилиты ntdsutil.



  • Ну я делал через GUI захват ролей, а не через ntdsutil и во всех пунктах стоит нужный мне КД хозяином операций и прочего.

    В общем я использовал команду dcpromo/forceremoval на старом КД, буду потом чистить метаданные.

    Спасибо за помощь.

  • Был домен на 2008 стал домен на 2012 st. R2, я передал все роли без проблем.

    Когда попытался понизить роль старого домена то получил ошибку:

    (Доменным службам Active Directory не удалось передать оставшиеся в разделе DC=ForestDnsZones,DC=XXX,DC=XXXX,DC=XXX

    данные контроллеру домена мой домен

    В службе каталогов утеряна обязательная информация и невозможно определить владельца передаваемых монопольных операций (FSMO))

    Руководствуясь мануалом отсюда 

    http://www.more2know.nl/2011/04/

    и отсюда 

    http://sysadmins.ru/topic366517.html

    Внес необходимые изменения через adsiedit.msc, но сообщение точно такое же.

    Отсюда нубский вопрос, ибо в манулах об этом не очень ясно сказано.

    На понижаемом контроллере домена нужно в разделе fSMORoleOwner указывать текущего, т.е нового хозяина операций, схемы и так далее, или старый удаляемый сервер?

    Нужен ли ребут старого контроллера после смены через adsiedit.msc чтобы все заработало?

    Это зависит от того, работает ли вообще репликация на понижаемый КД и с него. В норме изменение атрибута должно среплицироваться на все другие контроллеры домена. В качестве хозяина инфраструктуры для раздела DNS желательно указать новый контроллер домена (но и понижаемый указать можно - тогда dcpromo попытается передать эту роль на выбранный им КД из числа оставшихся).

    Ребут не нужен.

    Поэтому, прежде всего, проверьте, работает ли у вас репликация. Самый удобный IMHO способ проверки - команда repadmin /repl на каждом КД (или, если в домене нет проблем с аутентификацией на других КД - repadmin /repl * на одном из КД).


    Слава России!