none
Проблема с контроллером домена RRS feed

  • Вопрос

  •  

    Добрый день! Помогите пожалуйста разобраться как можно решить

    проблему, проблема в контроллере домена. 

    Только вот начинаю понимать AD и вообще его изучать, отнеситесь с

    пониманием очень прошу.  Для начало расскажу как все

    произошло и вероятно "это" привело к ошибкам которые я излжу

    чуть позже, каторые мне и интересно устранить. В общем в сети 2 контроллера ADC1 and ADC2(рядовой), на обоих W2003. ADC1 главный контроллер, в

    последствии был не корректно удален из "Сайты и службы" без

    всяких понятий о понижении роли контроллера... На сервере

    появилась ошибка CRC , и нехотел работать служба DHCP,

    конечное решение было переустановить ADC1... Переустановил

    ввел adc1 в домен как главный контроллер(через команду dcpromo).  В результате оказалось репликация между контролерами  не происходит, я так понял из предупреждения:

     

    Тип события: Предупреждение
    Источник события: NTDS Replication
    Категория события: Репликация
    Код события: 2091
    Дата:  20.01.2008
    Время:  20:06:39
    Пользователь:  NT AUTHORITY\АНОНИМНЫЙ ВХОД
    Компьютер: ADC1
    Описание:

     Владельцем следующей роли FSMO задан сервер, который был

    удален или не существует.
     
     Операции, требующие обращения к хозяину операции FSMO, не

    смогут выполняться, пока это состояние не будет исправлено.
     
     Роль FSMO: CN=Partitions,CN=Configuration,DC=vasya,DC=lan
     Доменное имя сервера FSMO: CN=NTDS Settings\0ADEL:7359c61b-

    ff05-41bb-bf21-0c3c10fa420d,CN=ADC1,CN=Servers,CN=Default-

    First-Site-Name,CN=Sites,CN=Configuration,DC=vasya,DC=lan
     
     Действие пользователя:
     
    1. Определите, какой сервер должен быть владельцем этой роли.
    2. Представление конфигурации может быть устаревшим. Если

    сервер-владелец был выдвинут на эту роль недавно, проверьте,

    что раздел конфигурации был недавно реплицирован с нового

    сервера. Если сервер-владелец был лишен этой роли недавно и

    роль была передана другому серверу, проверьте, что новый

    сервер недавно реплицировал раздел, содержащий сведения о

    владельце роли.
    3. Проверьте, правильно ли установлена эта роль на сервере-

    владельце этой роли FSMO. Если роль не установлена, с помощью

    утилиты NTDSUTIL.EXE передайте или захватите эту роль. Это

    можно сделать, выполнив пошаговые инструкции, содержащиеся в

    статьях базы знаний 255504 и 324801 на веб-узле

    http://support.microsoft.com.
    4. Проверьте, что репликация раздела FSMO между сервером-

    владельцем роли FSMO и данным сервером выполняется успешно.
     
     Могут быть затронуты следующие операции:
     Схема: нельзя будет изменять схему для этого леса.
     Именование доменов: нельзя будет добавлять или удалять

    домены из этого леса.
     PDC: нельзя будет выполнять операции, исполняемые основным

    контроллером домена, например, обновление групповой политики

    и сброс паролей для учетных записей, не принадлежащих Active

    Directory.
     RID: нельзя будет выделять новые SID для новых учетных

    записей пользователей, учетных записей компьютеров и групп

    безопасности.
     Инфраструктура: междоменные ссылки на имена, например,

    членство в универсальных группах, не будут правильно

    обновляться, если конечный объект будет перемещен или

    переименован.

     

    Также обратил внимание на журнал в DNS на ADC1:

     

    Тип события: Предупреждение
    Источник события: DNS
    Категория события: Отсутствует
    Код события: 4510
    Дата:  20.01.2008
    Время:  19:26:49
    Пользователь:  Н/Д
    Компьютер: ADC1
    Описание:
    DNS-сервер не смог подключиться к FSMO "" именования доменов.

    Никакие изменения для разделов каталога не будут возможны,

    пока FSMO-сервер не станет доступен для LDAP-подключений. В

    данных содержится код ошибки.

    Дополнительные сведения можно найти в центре справки и

    поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    Данные:
    0000: af 20 00 00               ? ..   

     

    Подскажите какие действия нужно будет провести. Как устранить эти ошибки??? 

     

    Сейчас пользователи работают, что есть самое главное,

    наверное. Выключаю ADC1 пользователи заходят, выключаю ADC2

    пользователи работают... Создавать нового юзера приходится  2

    раза, на adc1 и adc2. Пожалуйста прокомментируете, очень

    прошу. Может я что то недописал спросите.

     

    21 января 2008 г. 13:59

Ответы

  •  Holotrop написано:
    Добрый день, большое спасибо всем  за ответы, вопрос у меня к уважаемому M.S.D. [mdanshin]!

    Мне интересен порядок проведения операции,  на  каком  контроллере нужно в моем случае запускать  комманду
    ntdsutil то есть в последствии к кокому серверу надо произвести коннект connect to server имя_adc1 или adc2??? И я так понимаю нужно не захват делать 5 ролей, а удалить объект NTDS Settings исходя из ссылки Удаление данных из АД после неудачного понижения роли контроллера , верно? Или же достаточно захват ролей сделать (если оно так, то на  каком  контроллере нужно в моем случае запускать  команду ntdsutil )? Дело все в том, что я непонимаю где эти роли сейчас...
     

    Для начала вам нужно уяснить, что собственно произошло. Проводя паралели то вы уничтожили дорогу, но не удалили ее с карты. Машины так и хотят проехать по этой дороге, но ее уже нет. Вам нужно взять карту и стереть эту дорогу.

     

    Технически это удаление данных из базы данных.

     

    Как распределены роли можно узнать выполнив команду netdom query fsmo. Если DC который вы снесли являлся обладателем каких-то ролей, то вам нужно их передать другому DC путем захвата. Ntdsutil нужно конектить к той базе данных которая сейчас работает, на том сервере который работает и будет работать.

    22 января 2008 г. 13:22
    Модератор
  •  

    Сейчас у вас adc2 думает, что мастер операций adc1. adc1 видит, что он мастер операций, но он знает, что это неправда. Вам нужно сказать adc2, что мастре операций это он Smile

     

    Сделайте оба сервера Глобальным каталогом.

     

    Затем нужно выполнить примерно такие команды (содрал с какогото сайта):

     

    C:\ntdsutil

    ntdsutil: roles

    fsmo maintenance: connection

    server connections: connect to server adc2.vasya.lan

    Binding to adc2.vasya.lan...

    Connected to adc2.vasya.lan using credentials of locally logged on user

    server connection: quit

    fsmo maintenance seize schema master

    fsmo maintenance seize domain naming master

    fsmo maintenance seize PDC

    fsmo maintenance seize RID master

    fsmo maintenance seize infrastructure master

    fsmo maintenance quit

    ntdsutil: quit

    Disconnecting from adc2.vasya.lan...

     

     

    Теперь все операции выполняет adc2.

    Честно говоря незнаю, как поведет себя adc1, скорее всего все будет нормально, но проверьте логи.

     

    Если в логах все более менее чисто, то на этом можно закончить.

    22 января 2008 г. 14:39
    Модератор
  • netdom входит в Support Tools (устанавливается с дистрибутива Windows)

    22 января 2008 г. 15:36
    Модератор
  • Ппочитайте эту статью: http://support.microsoft.com/kb/324801

    4 февраля 2008 г. 9:27
    Модератор

Все ответы

  • Необходимо захватить роли. В первой ошибке, в перечне действий пользователя - третий пункт Smile

    21 января 2008 г. 14:03
  • Как вам и сказали, нужно произвести захват ролей (их 5 штук) при помощи NTDSUTIL. После этого проблемы должны отступить...

    21 января 2008 г. 14:07
  • Причем 4 роли на один контроллер, а 5ую - Infrastructure на второй, если он конечно не является глобальным каталогом... Хотя в первую очердь достаточно просто без разбора чего куда захватить роли. Насчет инфраструктуры сервак потом сам подскажет что лучше бы ее перенести, после того как все нормализуется.

    21 января 2008 г. 14:12
  • Добрый день.

     

    Если почле прочтения статей Удаление данных из Active Directory после неудачного понижения роли контроллера домена и Устранение неполадок в репликации у вас останутся вопросы, то с удовольствием на них отвечу.

    21 января 2008 г. 14:15
    Модератор
  • Добрый день, большое спасибо всем  за ответы, вопрос у меня к уважаемому M.S.D. [mdanshin]!

    Мне интересен порядок проведения операции,  на  каком  контроллере нужно в моем случае запускать  комманду
    ntdsutil то есть в последствии к кокому серверу надо произвести коннект connect to server имя_adc1 или adc2??? И я так понимаю нужно не захват делать 5 ролей, а удалить объект NTDS Settings исходя из ссылки Удаление данных из АД после неудачного понижения роли контроллера , верно? Или же достаточно захват ролей сделать (если оно так, то на  каком  контроллере нужно в моем случае запускать  команду ntdsutil )? Дело все в том, что я непонимаю где эти роли сейчас...


     
    22 января 2008 г. 12:18
  •  Holotrop написано:
    Добрый день, большое спасибо всем  за ответы, вопрос у меня к уважаемому M.S.D. [mdanshin]!

    Мне интересен порядок проведения операции,  на  каком  контроллере нужно в моем случае запускать  комманду
    ntdsutil то есть в последствии к кокому серверу надо произвести коннект connect to server имя_adc1 или adc2??? И я так понимаю нужно не захват делать 5 ролей, а удалить объект NTDS Settings исходя из ссылки Удаление данных из АД после неудачного понижения роли контроллера , верно? Или же достаточно захват ролей сделать (если оно так, то на  каком  контроллере нужно в моем случае запускать  команду ntdsutil )? Дело все в том, что я непонимаю где эти роли сейчас...
     

    Для начала вам нужно уяснить, что собственно произошло. Проводя паралели то вы уничтожили дорогу, но не удалили ее с карты. Машины так и хотят проехать по этой дороге, но ее уже нет. Вам нужно взять карту и стереть эту дорогу.

     

    Технически это удаление данных из базы данных.

     

    Как распределены роли можно узнать выполнив команду netdom query fsmo. Если DC который вы снесли являлся обладателем каких-то ролей, то вам нужно их передать другому DC путем захвата. Ntdsutil нужно конектить к той базе данных которая сейчас работает, на том сервере который работает и будет работать.

    22 января 2008 г. 13:22
    Модератор


  •  да ламер я ламер еще тот =), netdom  не является внешней или внутренней командой, это как понимать?
    не могу выполнить команду на обоих DC....  Что касается поралелий, то представление мое стало яснее, спасибо.
    22 января 2008 г. 14:08
  •  

    Сейчас у вас adc2 думает, что мастер операций adc1. adc1 видит, что он мастер операций, но он знает, что это неправда. Вам нужно сказать adc2, что мастре операций это он Smile

     

    Сделайте оба сервера Глобальным каталогом.

     

    Затем нужно выполнить примерно такие команды (содрал с какогото сайта):

     

    C:\ntdsutil

    ntdsutil: roles

    fsmo maintenance: connection

    server connections: connect to server adc2.vasya.lan

    Binding to adc2.vasya.lan...

    Connected to adc2.vasya.lan using credentials of locally logged on user

    server connection: quit

    fsmo maintenance seize schema master

    fsmo maintenance seize domain naming master

    fsmo maintenance seize PDC

    fsmo maintenance seize RID master

    fsmo maintenance seize infrastructure master

    fsmo maintenance quit

    ntdsutil: quit

    Disconnecting from adc2.vasya.lan...

     

     

    Теперь все операции выполняет adc2.

    Честно говоря незнаю, как поведет себя adc1, скорее всего все будет нормально, но проверьте логи.

     

    Если в логах все более менее чисто, то на этом можно закончить.

    22 января 2008 г. 14:39
    Модератор
  •  Holotrop написано:


     да ламер я ламер еще тот =), netdom  не является внешней или внутренней командой, это как понимать?
    не могу выполнить команду на обоих DC....  Что касается поралелий, то представление мое стало яснее, спасибо.

    Да нет. Все нормально. Все когда то сталкиваются впервые с чем-то новым. В Windows не все программы поставляются вместе с дистрибутивом. Некоторые нужно скачивать с сайта. Когда я сталкиваюсь с подобным то лезу на www.microsoft.com/downloads и в строке запроса пишу название утилиты. Попробуйте... Wink

    22 января 2008 г. 15:02
    Модератор
  • netdom входит в Support Tools (устанавливается с дистрибутива Windows)

    22 января 2008 г. 15:36
    Модератор
  •  Alifatov Dmitriy написано:

    netdom входит в Support Tools (устанавливается с дистрибутива Windows)

    Добрый день всем! Кажется я буду долго вести эту тему). Установил на adc1  SUPTOOLS.MSI с дистрибутива, все свалилось в стандартную директорию C:\Program Files\Support Tools, много утилит как оказалось =) все *.exe и какие-то другие ессть  в том числе и нашел netdom.exe только вот запустить не получается, в cmd не прокатывает запустить, только после как скопировал netdom.exe в C:\WINDOWS\system32  и все заработало)) З.Ы: делаю и пишу. параллельно вопрос все что в C:\Program Files\Support Tools, можно все выделить и переместить в корень system32, будет ли это корректно? ...Так ну а пока я все выясняю  на каком из DC находится GC (глобальный каталог) и как GC сделать на обоих серверах по рекомендации Alifatov Dmitriy. Параллельно изучил www.microsoft.com/downloads  спасибо M.S.D. [mdanshin] нашел много полезностей и на будущие изучение очень пригодится. Исполнил команду netdom query fsmo выяснилось следующие:

     

    Shema owner-adc1

    Domain role-adc2

    Rid pool manager-adc2

    infrastructure owner-adc1
     

    ...следовательно как уже выше говорил M.S.D. [mdanshin] если снесенный контролер имеет какие либо роли нужно их передать другому получается это две роли Shema owner и Infrastructure owner, через утилиту ntdsutil а как быть с GC чего с ним то делать, ну и по возможности способ бы его нахождения перемещения и деления на разные DC)))))

     

    24 января 2008 г. 10:23
  • GC это галочка в саойствах NTDS( развернуть имя контроллера домена) оснастки Sites и Services.

     

    Есть галочка - сервер глобальный каталог. Нет галочки - не глобальный каталог. Поставил галочку - сервер стал глобальным каталогом. Снял - перестал быть глобальным каталогом. (Извиняюсь перед гуру за утрирование).

    24 января 2008 г. 11:01
    Модератор
  • с переездом юззеров пришлось оставить все на "потом" .
    Сегодня надеюсь все пройдет успешно...начнем. Обязательно отпишусь, как все прошло.
    29 января 2008 г. 12:56
  • Ждем...

     

    30 января 2008 г. 9:29
    Модератор
  • Доброго дня, господа!
    Начал вообщем-то перенос ролей через "Active directory- Пользователи  и компьютеры" подключился к adc2 нажал "Хозяева операции..." и всего 3 вкладки RID, PDC, и Инфраструктура ...перевел все эти роли на adc2 а где еще две роли Shema owner и Domain role owner???
    Выполняю комманду netdom query fsmo вижу теперь такое:


    Schema owner                -adc1.vasya.lan

    Domain role owner           -adc1.vasya.lan

    PDC role                       -adc2.vasya.lan

    RID pool manager           --adc2.vasya.lan

    Infrastructure owner        -adc2.vasya.lan

     


    Начал пробывать перенос эти две роли  Shema owner Domain role owner через NTDSUTIL.exe
    ====================================================================================
    fsmo maintenance: Transfer domain naming master
    Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
    Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321036B, problem 50
    02 (UNAVAILABLE), data 8

    Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
    ущим владельцем FSMO.) -?????
    )
    В зависимости от кода ошибки это может быть
    ошибка подключения, LDAP или передачи роли.
    Серверу "adc2.vasya.lan" известно о 5 ролях
    Схема - CN=NTDS Settings\0ADEL:7359c61b-ff05-41bb-bf21-0c3c10fa420d,CN=ADC1,CN=S
    ervers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=vasya,DC=lan
    Домен - CN=NTDS Settings\0ADEL:7359c61b-ff05-41bb-bf21-0c3c10fa420d,CN=ADC1,CN=S
    ervers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=vasya,DC=lan
    PDC - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
    =Configuration,DC=vasya,DC=lan
    RID - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
    =Configuration,DC=vasya,DC=lan
    Инфраструктура - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,
    CN=Sites,CN=Configuration,DC=vasya,DC=lan

    далее.....

    fsmo maintenance: transfer schema master
    Ошибка ldap_modify_sW, код ошибки 0x32(50 (Недостаточные права).
    Расширенное сообщение об ошибке LDAP 00002098: SecErr: DSID-03151D7D, problem 40
    03 (INSUFF_ACCESS_RIGHTS), data 0

    Возвращенная ошибка Win32 0x2098(Для выполнения операции права недостаточны.)
    )
    В зависимости от кода ошибки это может быть
    ошибка подключения, LDAP или передачи роли.
    Серверу "adc2.vasya.lan" известно о 5 ролях
    Схема - CN=NTDS Settings\0ADEL:7359c61b-ff05-41bb-bf21-0c3c10fa420d,CN=ADC1,CN=S
    ervers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=vasya,DC=lan
    Домен - CN=NTDS Settings\0ADEL:7359c61b-ff05-41bb-bf21-0c3c10fa420d,CN=ADC1,CN=S
    ervers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=vasya,DC=lan
    PDC - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
    =Configuration,DC=vasya,DC=lan
    RID - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
    =Configuration,DC=vasya,DC=lan
    Инфраструктура - CN=NTDS Settings,CN=ADC2,CN=Servers,CN=Default-First-Site-Name,
    CN=Sites,CN=Configuration,DC=vasya,DC=lan

     Вот так то... особо гладко не прошло...
     Но пока юзера все соеденяются нормально...
     Выполняю комманду netdom query fsmo вижу тоже самое
     
    Schema owner                -adc1.vasya.lan

    Domain role owner           -adc1.vasya.lan

    PDC role                        -adc2.vasya.lan

    RID pool manager           --adc2.vasya.lan

    Infrastructure owner        -adc2.vasya.lan

    Журнал ошибок неизменился спустя сутки.....те же ошибки, также не проходит репликация...где я мог напортачить?



    1 февраля 2008 г. 8:15
  • Ппочитайте эту статью: http://support.microsoft.com/kb/324801

    4 февраля 2008 г. 9:27
    Модератор
  • Господа это лично от меня то что я вычитал в сети...

     

    Если на одном из контроллеров домена сети нарушена целостность файлов

    или базы данных, для восстановления службы AD проще всего

    переустановить Windows 2000 и затем запустить мастер Active Directory

    Installation Wizard (DCPromo). В процессе выполнения DCPromo система

    связывается с другим контроллером в рамках того же домена и получает

    от него новейшую копию каталога AD.

    В сущности, этот процесс равнозначен созданию нового контроллера

    домена, однако следует принять во внимание несколько дополнительных

    соображений. Если возникшие проблемы были настолько серьезными, что

    потребовалась повторная установка, вероятно, нельзя будет понизить

    статус сервера-контроллера домена до переустановки Windows 2000.

    Стало быть, информация в AD, относящаяся к этому контроллеру, будет

    неверной и нельзя исключать возможности конфликта имен. В таком

    случае для нового контроллера, созданного после переустановки

    системы, нужно задать новое имя, отличное от имени вышедшего из строя

    контроллера домена. Если это решение приемлемо, можно просто удалить

    первоначальное имя сервера из соответствующего узла в оснастке Active

    Directory Sites and Services, а также из организационной единицы

    контроллеров домена в оснастке Active Directory Users and Computers.

    Но если требуется дать переустановленному контроллеру домена то же

    имя, что было у предыдущего (скажем, в случае, когда на данном

    контроллере размещается приложение, к которому пользователи

    обращаются по имени или с помощью буквы накопителя), нужно удалить

    объект ntdsDSA вышедшей из строя машины из AD на одном из оставшихся

    контроллеров домена. Для удаления объекта можно воспользоваться

    утилитой командной строки Ntdsutil, которая обслуживает базу данных

    хранилища AD, управляет ролями исполнителей операций (Flexible

    Single-Master Operation, FSMO) и удаляет метаданные, оставшиеся после

    сбоя контроллера домена. Чтобы запустить утилиту, нужно выбрать

    Start, Run и ввести с клавиатуры

    ntdsutilв текстовом окне Open. Откроется новое окно, в котором

    следует задать набор команд, приведенный в Листинге 1.

     

    20 марта 2008 г. 9:25
  • К сожалению то что написанно выше неуспелось сделать...

    27 марта 2008 г. 9:27
  • Т.к. "старого" DC в сети нет, то перенос ролей следует делать не трансфером, а используя режим seizer утилиты ntdsutil. В этом случае происходит "захват" роли в не зависимости от существования её старого хозяина
    27 марта 2008 г. 10:05
  • почему...когда adc1 упал (что-то было типо CRC ошибка) без понижения...  заново все было установлено, был введен как дополнительный через dcpromo под таким же именем "adc1" после чего все и происходит... (в сети adc1 и adc2), я так понимаю после смерти adc1, adc2 не "верит"  новому контролеру с таким же именем adc1???

     Еще раз для непонятливых пожалуйсто))))))))...были переносы трансформером, теперь поможет ntdsutil?

    27 марта 2008 г. 10:39
  • Сначала давайте определимся правильно ли я понимаю ситуацию: вы вместо упавшего adc1 установили новый контроллер (или переустановили систему на adc1). После чего пытаетесь перенести на него роли, принадлежавшие упашему DC. В данном случае, перенос ролей следует делать именно захватом (saizer), т.к. даже если вы контроллер назвали как раньше, то его уникальные идентификатор и идентификатор безопасности новые, не совпадающие со старыми значениями. А при поиске DC и его ролей GUID контроллера имеет огромню роль.
    Не мешает проверить как себя чувствует контроллер домена командами dcdiag и netdiag (на всякий случай)
    27 марта 2008 г. 10:46
  • Переустановил систему на adc1. Перенос ролей тогда у меня неполучился, сделал за меня это коллега который перенес роли, сделал он это через mmc Пользователи и Компьютеры, через захват не делали.  Вопрос может быть повторный, ntdsutil где запускать? C adc2-выполнить-ntdutil ...сделать connect to adc1? итд))

    команды netdiag dcdiag толком мне не чего не дали, везде тест пройден.

     

    Для общего моего представления:

    И еще хотелось бы понять как повел себя adc2 при отсуцтвии adc1,движение ролей произошло? автоматом adc2 объявляет себя главным???  И вообще что происходит(ло) с adc2 после того как вошел как дополнительный с таким же именем adc1?

     

    Прошу меня извинить за огромное количество вопросов, больше конечно хочется получить ответ на первую часть

    27 марта 2008 г. 12:19
  • ntdsutil следует запускать на adc1
    Поведение adc2 при отсутствии adc1, грубо говоря, никак не меняется. Если рассматривать внутрисайтовую репликацию, то она происходить методом извещения - если на adc2 появились какие-либо данние,то он извещает о них adc1, который в свою очередь инициирует процесс репликации. В том случае, если adc1 недоступен (вышел из строя), то никакого автоматического перемещения ролей не происходит и жизненно важные для функционирования домена роли следует захватывать через ntdsutil. С другой стороны, adc2 конечно же узнаёт о недоступности adc1 посредством службы KCC, которая "следит" за схемой репликации.
    В случае межсайтовой репликации ситуация другая, но суть остаётся прежней.
    Для общего представления механизма взаимодействия контроллеров при репликазии можно посмотреть здесь

    Имхо при появлении "нового" adc1 он по большому счету был воспринят AD как новый контроллер домена, не имеющий никакого отношения к "старому" adc1 (если не брать во внимание DNS)
    27 марта 2008 г. 13:18
  • ага..уже интереснее,

    вот запускаю netdom query fsmo вот так вот сейчас

     

    Schema owner                -adc1

    Domain role owner           -adc1

    PDC role                       -adc2

    RID pool manager           --adc2

    Infrastructure owner        -adc1


    Так как же все-таки... запустить ntdsutil на adc1  захватит все роли и перетащить их на  adc2 провести репликацию и после раскинуть роли по "классической схеме"-(Shema-adc1 Domain-adc1| PDC RID Infra. -adc2) или....

     

    пока читаю репликацию...

     

    27 марта 2008 г. 13:50
  • Интересно, в данной ситуации (после произведенных дейтсвий) какой именно DC подразумевает netdom под adc1 - старый или новый ? Smile
    27 марта 2008 г. 14:07
  • так.... запутался))) Роли туда сюда перетаскивались через mmc Компьютеры и пользователи с одного Dc на другой, проверял незнаю чего.

    netdom запуская на adc1 или на adc2 роли показывает одинаково.

    DC в данный момент и есть adc1 , имя старое сохранили..и вводился под старым именем adc1 так сейчас и есть...может лучше мне журнал ошибок сюда закинуть...только сделаю это завтра,  только историю очистил.



    27 марта 2008 г. 14:27
  • Тоже хочу спросить. Ситуация такая. в сети было  2 контроллера домена. из за проблем с жестким диском на PDC появились проблемы(перестал пускать локально только теримнал). Из за малого опыта работы с 2х контроллерной кнфиграцией я обратился к знающим людям которые мне дали ссылку на ntdsutil и я по глупости захватил 3 роли.(Domain role owner, RID pool manager, infrastructure owner).после чего я физически отключил примари от сети и попробовал захватить оставшиеся 2 роли.но они незахваываются. (fsmo maintenance: Seize schema master
    Попытка безопасной передачи schema FSMO перед захватом.) вот на этом все и встало. с эмуляторм PDC то же самое. как теперь захватить оставшиеся роли?

    18 апреля 2008 г. 9:52