none
смогу ли я установить контроллер домена w2k8 r2, если схема расширена до w2k12 R2? RRS feed

  • Вопрос

  • Есть лес AD, версия леса и домена 2003 native

    В моем домене контроллеры windows 2003 sp2

    По ряду причин нужно пока обновится только до 2008 r2

    Процесс обновления ясен, adprep /forestprep в лесу(Вопрос 1 -в каждом домене не надо это запускать?)

    Затем в домене нашем дочернем adprep /domainprep /gppprep/

    Сейчас посмотрел версию схемы. Версия схемы 69, то есть расширено до windows 2012 r2

    Вопрос 2 -могу ли я в такой ситуации ставить у себя контроллеры домена  windows 2008 r2

    Вопрос 3-надо ли мне делать в такой ситуации adprep /gppprep

     
    16 августа 2016 г. 12:04

Все ответы

  • 1. Да можете установить DC 2008 R2

    2. Запускать adprep /gppprep повторно не надо https://support.microsoft.com/ru-ru/kb/2737129


    Сазонов Илья

    https://isazonov.wordpress.com/


    16 августа 2016 г. 12:11
    Модератор
  • Немного уточню.

    В корневом домене (допустим, mit.com) схема расширена до 2012 r2.(Т.е. там, делалось adprep /forestprep, затем /domainprep /gppprep)

    В моем домене 2003 sp2 контроллеры и не делалось ни /domainprep ни /gppprep

    Вопрос. Что мне надо делать в моем домене (допустим lg.mit.com?)

    Вообще ничего, либо только /domainprep.

    И adprep /domainprep мне надо запускать от w2k8r2 или от w2k12r2(c какого дистрибутива), если контроллеры буду ставить w2k8r2

    Боюсь похерить AD:)



    • Изменено PVDPVDPVD 16 августа 2016 г. 13:23
    16 августа 2016 г. 13:01
  • В корневом домене (допустим, mit.com) схема расширена до 2012 r2.(Т.е. там, делалось adprep /forestprep, затем /domainprep /gppprep)

    не понял, уровень функционирования леса щас какой?

    16 августа 2016 г. 14:14
  • 2003
    • Изменено PVDPVDPVD 16 августа 2016 г. 14:18
    16 августа 2016 г. 14:16
  • В моем домене 2003 sp2 контроллеры и не делалось ни /domainprep ни /gppprep

    Вопрос. Что мне надо делать в моем домене (допустим lg.mit.com?)

    Вообще ничего, либо только /domainprep.

    И adprep /domainprep мне надо запускать от w2k8r2 или от w2k12r2(c какого дистрибутива), если контроллеры буду ставить w2k8r2

    Боюсь похерить AD:)



    Нужно делать adprep /domainprep /gpprep - обе эти операции делаются на уровне домена.

    Запускать нужно версию, совпадающую с версией, использованной для подготовки леса - т.е. win2012r2. Благо, её можно запускать с любого члена домена (она в Win2012 - чисто 64-битная, и если бы сохранилось требование запускать её на контроллере домена, то с Win2003, которая обычно 32-битная, была бы проблема).

    PS Если боитесь похерить - делайте бэкап (и не забудьте его проверить, что восстанавливается).


    Слава России!



    • Изменено M.V.V. _ 16 августа 2016 г. 14:46
    16 августа 2016 г. 14:44
  • ну вот кое где пишуть что гппреп не обязательно если он уже был запущен для 2003, но я так думаю не повредит :)

    If you already ran the /gpprep parameter for Windows Server 2003, you do not have to run it again for later versions of Windows Server.

    ну и там есть ссылки на что именно происходит при адпрепе в приделах леса, домена и тп.

    З.Ы.

    блин о том что гппреп повторно не надо уже выше писали.

    • Изменено Svolotch 16 августа 2016 г. 15:21
    16 августа 2016 г. 15:16
  • Ага, /gpprep - это очень древняя операция, времён перехода с Win2K3 на Win2K3 SP1. Если домен изначально поднимался в Win2K3 R2, то она не нужна. Но если указать эту операцию лишний раз, то она ничему не помешает, а я историю домена автора вопроса не знаю, потому и указываю.


    Слава России!

    16 августа 2016 г. 15:27
  • Ага, /gpprep - это очень древняя операция, времён перехода с Win2K3 на Win2K3 SP1. Если домен изначально поднимался в Win2K3 R2, то она не нужна. Но если указать эту операцию лишний раз, то она ничему не помешает, а я историю домена автора вопроса не знаю, потому и указываю.


    Слава России!

    Спасибо, все это буду гонять на днях в лабе. Но буду нудным, и уточню еще раз пару моментов. Уж извините. Просто ответьте -да или нет. Домен поднимался на w2k3 sp2 без r2, историю леса не знаю

    1) Так как в лесу делался forestprep на контроллерах с английской локалью, а в нашем домене-контроллеры с русской локалью. Берем adprep для русской локализации?

    2) Раньше domainprep нужно было запускать на мастере инфраструктуры, а теперь на любом 64-битном сервере-члене домена с правами администратора домена? У меня контроллеры, естественно, 64-битные

    3) И после этого можно ставить контроллеры windows 2008 r2 sp1? А не windows 2012 r2? Удивишься

    4) Я делаю бэкап system state с помощью Veritas, а от падения контроллеров страхуюсь наличием нескольких. Но в данном случае такого бэкапа будет маловато. Как откатится если что-то пойдет не так при расширении схемы. Это же затронет все контроллеры

    5) Последний вопрос -так как примерно 1/3 клиентов до сих пор XP(большего та рухлядь, где они стоят-не тянет), то в сети используется на файловых серверах cifs 1.0( плюс сам файлер на netapp) Где-то встречалась ссылка, что начиная с windows 2008 r2 cifs 1.0 по умолчанию на контроллерах выключен и что-то надо докручивать в политиках, чтобы клиенты с XP не поимели неприятностей. Кто-то может подтвердить или опровергнуть информацию

     

    • Изменено PVDPVDPVD 16 августа 2016 г. 17:06
    16 августа 2016 г. 16:54
  • 1. Вот лучше бы не смешивать и ставить везде англ.серверы. Но теоретически не должно влиять.

    2. Ничего не изменилось для 2008. Другое дело если у вас все DC являются GDC

    3. Можно

    4. Откатить схему невозможно без восттановления всех DC

    5. В 2008 протокол SMB 1 работает по умолчанию https://support.microsoft.com/en-us/kb/2696547


    Сазонов Илья

    https://isazonov.wordpress.com/

    17 августа 2016 г. 4:07
    Модератор
  • 1. Вот лучше бы не смешивать и ставить везде англ.серверы. Но теоретически не должно влиять.

    2. Ничего не изменилось для 2008. Другое дело если у вас все DC являются GDC

    3. Можно

    4. Откатить схему невозможно без восттановления всех DC

    5. В 2008 протокол SMB 1 работает по умолчанию https://support.microsoft.com/en-us/kb/2696547


    Сазонов Илья

    https://isazonov.wordpress.com/

    2 Другое дело, если все контроллеры являится глобальными каталогами. -Да, являются. И какая разница? У меня в моем случае все существующие контроллеры 32-битные. Мне выше сказали, что сделать /domainprep /gppprep можно теперь только удаленно. Буду пробовать

    3. Т.е. мне просто нужно будет одновременно накатить system state на все контроллеры, если что? В режиме неавторитативного восстановления

    4. У меня также еще работает exch 2003. Я планировал его апгрейдить после AD. По идее, /domainprep /gppprep на него не должен повлиять?

    17 августа 2016 г. 5:54
  • 3. SYSVOL нужно будет восстановить на одном из КД (предпочтительно PDC) в режиме полномочного (authoritative) восстановления. AD - в режиме неполномочного.

    Желательно в момент между снятием резервной копии и её восстановлением не менять никакие атрибуты объектов в домене, реплицирующиеся в GC - иначе содержимое GC в других доменах в части этих атрибутов не будет соответствовать восстановленному содержимому раздела домена. В принципе, это сильно не мешает и лечится несложно (вы уже знаете, как - repadmin /rehost ), но профилактика предпочтительнее.


    Слава России!

    17 августа 2016 г. 7:11
  • 3. SYSVOL нужно будет восстановить на одном из КД (предпочтительно PDC) в режиме полномочного (authoritative) восстановления. AD - в режиме неполномочного.

    Желательно в момент между снятием резервной копии и её восстановлением не менять никакие атрибуты объектов в домене, реплицирующиеся в GC - иначе содержимое GC в других доменах в части этих атрибутов не будет соответствовать восстановленному содержимому раздела домена. В принципе, это сильно не мешает и лечится несложно (вы уже знаете, как - repadmin /rehost ), но профилактика предпочтительнее.


    Слава России!

    Последовательность-как всегда? Сперва AD-в режиме неполномочного на обоих контроллерах, затем sysvol-в режиме полномочного на PDC?
    17 августа 2016 г. 8:13
  • 3. SYSVOL нужно будет восстановить на одном из КД (предпочтительно PDC) в режиме полномочного (authoritative) восстановления. AD - в режиме неполномочного.

    Желательно в момент между снятием резервной копии и её восстановлением не менять никакие атрибуты объектов в домене, реплицирующиеся в GC - иначе содержимое GC в других доменах в части этих атрибутов не будет соответствовать восстановленному содержимому раздела домена. В принципе, это сильно не мешает и лечится несложно (вы уже знаете, как - repadmin /rehost ), но профилактика предпочтительнее.


    Слава России!

    Последовательность-как всегда? Сперва AD-в режиме неполномочного на обоих контроллерах, затем sysvol-в режиме полномочного на PDC?

    Проделал все в лабе-вроде все понял. Осталось два вопроса

    1.       Понятно, что forestprep надо делать от администратора схемы

    А вот для /domainprep /gpprep и /rodcprep

    Какие минимальные разрешения нужны? Можно ли проделать от доменного админа, если /forestprep уже сделан?

    1.       Был вопрос –что делать при неудачном расширении схемы(Т.е. мне просто нужно будет одновременно накатить system state на все контроллеры, если что? В режиме неавторитативного восстановления)

     и был ответ( SYSVOL нужно будет восстановить на одном из КД (предпочтительно PDC) в режиме полномочного (authoritative) восстановления. AD - в режиме неполномочного.)

    Можно здесь уточнить. Допустим, что-то со схемой пошло не так и есть бэкап system state

    контроллеры в домене dc1 (PDC,RID) и dc2(Infrastructure master)+много еще доменов в лесу(не моих)

    Правильно понимаю последовательность операций

    1. Тушим оба КД в домене . Загружаем dc2 в DSRM, делаем неавторитативное восстановление. Выключаем
    2. Загружаем dc1 в DSRM, делаем неавторитативное восстановление. Выключаем
    3. Включаем dc1, повторно входим в DSRM. Переходим в ветку реестраHKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup и изменяем значение ключа Burflag на 000000D4 (hex) или 212 (dec).

                    Перезапускаем службу NTFRS.

    1. Загружаем dc1 в нормальном режиме
    2. Загружаем dc2 в нормальном режиме

    Все правильно, ничего не забыл?


    30 августа 2016 г. 7:44
  • /rodcprep - это операция уровня леса, поэтому нужно членство Enterprise Admins. Если в лесу она уже выполнялась, то повторять её не нужно.

    Выполнялась она или нет, можно увидеть по выдаче dcdiag из Win2K8 и выше - если она не выполнена, то будут предупреждения о том, что нет разрешений для Replicating Directory Changes In Filtered Set в тесте NCSecDesc (см. тут).

    /domainprep и /gpprep - операции уровня домена, для них достаточно членства в группе Domain Admins

    PS И вообще, по вопросу запуска adprep есть достаточно подробная документация. Если ещё не ознакомились - рекомендую.


    Слава России!

    30 августа 2016 г. 11:41
  • /rodcprep - это операция уровня леса, поэтому нужно членство Enterprise Admins. Если в лесу она уже выполнялась, то повторять её не нужно.

    Выполнялась она или нет, можно увидеть по выдаче dcdiag из Win2K8 и выше - если она не выполнена, то будут предупреждения о том, что нет разрешений для Replicating Directory Changes In Filtered Set в тесте NCSecDesc (см. тут).

    /domainprep и /gpprep - операции уровня домена, для них достаточно членства в группе Domain Admins

    PS И вообще, по вопросу запуска adprep есть достаточно подробная документация. Если ещё не ознакомились - рекомендую.


    Слава России!

    Спасибо огромное за ссылку! Скажите(интерес теоретический пока)-правильно расписал восстановление домена и sysvol(см. выше)?
    • Изменено PVDPVDPVD 30 августа 2016 г. 11:49
    30 августа 2016 г. 11:49
  • кста, а вот так сработает?

    если создать еще один DC в головном лесу, проверить что все на нем отреплицировалось - затем в час х просто отрубить его от сети.

    также отключить(лучше всего физически, связь со всеми дочерними доменами).

    накатить форест преп - удостовериться что все пошло нормально, восстановить связь с дочерними домена чтобы отреплицировать расширение схемы. 

    новую DC например просто прибить и почистить хвосты.

    в случае если обновление схемы прошло не удачно - прибить старые DCшки, на новой сейзнуть фсмо роли, вычистить хвосты старых.. на старых переставить винду и запромоутить до DC.

    имхо при большом лесу - форест рекавери может обернуться гораздо большим гемором

    30 августа 2016 г. 12:37
  • кста, а вот так сработает?

    если создать еще один DC в головном лесу, проверить что все на нем отреплицировалось - затем в час х просто отрубить его от сети.

    также отключить(лучше всего физически, связь со всеми дочерними доменами).

    накатить форест преп - удостовериться что все пошло нормально, восстановить связь с дочерними домена чтобы отреплицировать расширение схемы. 

    новую DC например просто прибить и почистить хвосты.

    в случае если обновление схемы прошло не удачно - прибить старые DCшки, на новой сейзнуть фсмо роли, вычистить хвосты старых.. на старых переставить винду и запромоутить до DC.

    имхо при большом лесу - форест рекавери может обернуться гораздо большим гемором

    forestprep уже сделан. Остались domainprep,gpprep,rodcprep
    30 августа 2016 г. 14:48
  • В общем схему расширил, ввел один контроллер-теперь проблема https://social.technet.microsoft.com/Forums/ru-RU/c21f13d9-f68e-4c0f-b555-bf8e87fe4e56/-2008r2-kerberos?forum=windowsserverru#2ef58d6d-41c0-43ea-9637-62f3d6e5d2a6

    очень нужна помощь


    8 сентября 2016 г. 12:17