none
ADMT, миграция пользователей из рухнувшего леса в лес с таким же именем и ip RRS feed

  • Общие обсуждения

  • Добрый день!
    Могли бы вы помочь мне, заранее спасибо.
    Существовал лес "dom.local", он разрушился, остался один поддомен "DC.dom.local" за которым сохранились только 3 роли (PDC, Диспетчер пула RID, Хозяин инфраструктуры) из 5 и резервный домен без ролей "rDC.dom.local".
    Был создан новый лес с таким же названием "dom.local" с двумя контроллерами доменов, у которых ip такие же как у умерших контроллеров домена ("m3forest.dom.local" и "nforest.dom.local") в старом лесу.
    Мы хотим смигрировать с помощью утилиты ADMT пользователей из старого поддомена "DC.dom.local"  в новый созданный домен "dom.local", но я не могу добавить спец. пользователя из нового домена в группу bild\Администраторы в старом домене – при добавлении пользователя, которого получается выбрать из списка из нового домена, но далее выходит сообщение "Указанный пользователь не найден. Если пользователь существует на другом контроллере домена Active Directory предприятия, репликация этого пользователя в глобальный каталог займет минут 15 или более". Замечу, что пользователей из старого поддомена DC можно добавить bild\Администраторы в новый домен.

    Вопросы

    1) Может ли нам помочь возврат недостающих ролей «Хозяин схемы», «Хозяин именования доменов» и последующая чистка метаданных metadata cleanup?
    2) Нужно ли на фаерволе на всякий случай на период присваивания ролей запретить обмен данными с новым доменом "dom.local" т.к. ip-адресс у двух единственных контроллеров домена совпадаеют с ip  у умерших контроллеров домена в старом лесу(они не в сети)?
    3) Как сделать все правильно что бы можно было мигрировать пользователей или есть большой риск и лучше смигрировать всех в ручную с помощью сторонних утилит?

    Также при экспериментальной миграции пользователя из нового домена в старый выдается сообщение  “ERR2:7422 Failed to move source object 'CN=test-v'. hr=0x80072125  Source and destination for the cross-domain move operation are identical. Caller should use local move operation instead of cross-domain move operation”, admt установлен на сервере который в новом домене, если для admt-сервера сменить домен ошибка будет таже.

    Команда из старого домена:
    netdom /query fsmo
    Хозяин схемы                "m3forest.dom.local" (нет контроллера домена)
    Хозяин именования доменов   "mforest.dom.local"  (нет контроллера домена)
    PDC                         "mDC.DC.dom.local"
    Диспетчер пула RID          "mDC.DC.dom.local"
    Хозяин инфраструктуры       "mDC.DC.dom.local"

    "DC.dom.local" - поддомен.

    Если смотреть доверие в старом домене, свойства "dom.local"
    "DC.dom.local" тип доверия: Внешний; Транзитивный: Нет (Исходящие и входящие)
    Если смотреть там же в оснастке  доверие домена "DC.dom.local":
    "dom.local" тип доверия: Родитель;  Транзитивный: Да
    4) Доверие настраивалось до меня и не совсем понятно кто этот родитель то ли старый лес "dom.local", толи новый но как тогда я могу просматривать учетные записи из старого домена в новом?

    Доверие в новом домене "dom.local"
    "DC.dom.local" тип доверия: Внешний; Транзитивный: Нет(Исходящие и входящие)

    Команда из нового домена:
    netdom /query fsmo
    Хозяин схемы                "xdom.dom.local"
    Хозяин именования доменов   "xdom.dom.local"
    PDC                         "xdom.dom.local"
    Диспетчер пула RID          "xdom.dom.local"
    Хозяин инфраструктуры       "xdom.dom.local"

    dom.local - лес, xdom - сервер.

    За ранее спасибо за помощь!











    • Изменено AntonChalin 1 декабря 2015 г. 11:06
    1 декабря 2015 г. 8:38

Все ответы

  • 1) Может ли нам помочь возврат недостающих ролей «Хозяин схемы», «Хозяин именования доменов»

    выполните захват ролей.

    3) Как сделать все правильно что бы можно было мигрировать пользователей

    миграция ADMT


    1 декабря 2015 г. 9:28
    Модератор
  • А чистку командой metadata cleanup можно не делать,  с учетом что планируется перевод пользователей не сразу, а на месяц и соответственно нужно что бы все работало у пользователей? Спасибо
    1 декабря 2015 г. 11:06
  • А чистку командой metadata cleanup можно не делать,  с учетом что планируется перевод пользователей не сразу, а на месяц
    что значит - перенос на месяц?
    1 декабря 2015 г. 11:14
    Модератор
  • А чистку командой metadata cleanup можно не делать,  с учетом что планируется перевод пользователей не сразу, а на месяц

    что значит - перенос на месяц?

    т.е. выполнить в течении месяца.

    Пользователей много и за один день всех в новый домен не смигрируешь, необходимо что бы у тех кто будет еще в старом домене все работало(учетная запись, шара), не смотря на то что я не выполню команду metadata cleanup, т.к. не знаю как домен себя поведет после чистки, все ли корректно будет работать,  или данную команду нужно обязательно выполнить  после присваивания ролей, в принципе потом этот старый домен будет выключен из-за ненадобности? Из-за желания не навредить не хотелось бы лишние движения делать.





    • Изменено AntonChalin 1 декабря 2015 г. 11:39
    1 декабря 2015 г. 11:23
  • 1) Может ли нам помочь возврат недостающих ролей «Хозяин схемы», «Хозяин именования доменов» и последующая чистка метаданных metadata cleanup?
    2) Нужно ли на фаерволе на всякий случай на период присваивания ролей запретить обмен данными с новым доменом "dom.local" т.к. ip-адресс у двух единственных контроллеров домена совпадаеют с ip  у умерших контроллеров домена в старом лесу(они не в сети)?
    3) Как сделать все правильно что бы можно было мигрировать пользователей или есть большой риск и лучше смигрировать всех в ручную с помощью сторонних утилит?

    1) Роли-то вы захватить можете, но так как у вас погибший домен - корневой домен леса, то его метаданные из AD удалить невозможно.

    2) Миграцию в домен одноимённый с погибшим корневым вам вряд ли удастся сделать: данные о погибшем домене остались в AD (например - в глобальном каталоге), и пользователей с именами из нового домена средство миграции будет искать там.

    3) В вашем случае имеет смысл сделать новый домен с новым именем, мигрировать туда с помощью ADMT пользователей и компьютеры. После чего, при необходимости, новый домен можно переименовать переименовать (это возможно, если домене нет приложений, не поддерживающих переименования, типа современных версий MS Exchange, документация есть в Technet Library). Но если вы планируете сосуществование старого и нового доменов в течение определённого срока, то проще сразу переучить пользователей использовать имена из нового домена.


    Слава России!

    1 декабря 2015 г. 11:39
  • 1) Может ли нам помочь возврат недостающих ролей «Хозяин схемы», «Хозяин именования доменов» и последующая чистка метаданных metadata cleanup?
    2) Нужно ли на фаерволе на всякий случай на период присваивания ролей запретить обмен данными с новым доменом "dom.local" т.к. ip-адресс у двух единственных контроллеров домена совпадаеют с ip  у умерших контроллеров домена в старом лесу(они не в сети)?
    3) Как сделать все правильно что бы можно было мигрировать пользователей или есть большой риск и лучше смигрировать всех в ручную с помощью сторонних утилит?

    1) Роли-то вы захватить можете, но так как у вас погибший домен - корневой домен леса, то его метаданные из AD удалить невозможно.

    2) Миграцию в домен одноимённый с погибшим корневым вам вряд ли удастся сделать: данные о погибшем домене остались в AD (например - в глобальном каталоге), и пользователей с именами из нового домена средство миграции будет искать там.

    3) В вашем случае имеет смысл сделать новый домен с новым именем, мигрировать туда с помощью ADMT пользователей и компьютеры. После чего, при необходимости, новый домен можно переименовать переименовать (это возможно, если домене нет приложений, не поддерживающих переименования, типа современных версий MS Exchange, документация есть в Technet Library). Но если вы планируете сосуществование старого и нового доменов в течение определённого срока, то проще сразу переучить пользователей использовать имена из нового домена.


    Слава России!

    Спасибо!
    1 декабря 2015 г. 11:40