none
Ввод в домен новго КД RRS feed

  • Вопрос

  • Есть домен, - типа корневой домен леса, ибо лес состоит из 1 дерева, короче говоря, это единственный контроллер домена в лесу. 120 пользователей подключаются через него, у всех доменные учётки. Система windows server 2000 стоит на этом контроллере. Был второй контроллер, но он поломался. Сейчас я хочу ввести в домен, как дополнителный контроллер - Windows Server 2003, но он мне пишет, что бы я использовал adprep. Отсюда, несколько вопросов к тем, кто имеет опыт в данном деле. В такой ситуации мне нужно будет использовать adprep /forestprep, после чего adprep /domainprep, а только после этого пытаться впихнуть 2 контроллер? АД скопируется при репликаци целиком на введённый контроллер? Есть ли подводные камни, при использовании adprep, может ли что - нибудь слететь? Нужно ли отключать пользователей в момент применения adprep? Как сделать резервную копию ада на том контроллере с windows server 2000, что бы я мог восстановить её в случае неудачи? Или это лишнее?

    10 ноября 2010 г. 10:58

Ответы

  • На том контроллере, что поломался, какие роли FSMO были? Необходим будет мастер схемы и инфраструктуры, возможно, что и RID понадобится. Пакет обновления на контроллере под управлением Windows 2000 какой установлен?..

    В общем случае Вам нужно сделать две операции: "adprep /forestprep" и "adprep /domainprep". После этого можете "dcpromo" выполнять на Windows 2003. Пользователей в момент "adprep" отключать не нужно. да, "база AD скопируется целиком" на новый контроллер.

    Проблемы могут быть в том, что не доступен мастер схемы или мастер инфраструктуры (тогда "adprep" ругнется). Также проблемы могут быть вызваны тем, что у Windows 2003 настройки безопасности по умолчанию различаются с таковыми для Windows 2000. Наверняка, есть и какие-то ограничения, связанные с существованием Exchange в лесу. В общем, Вам бы с документацией ознакомиться...

    По поводу архивирования. Если контроллер один, то можете рассчитывать на успешный откат AD из его архивной копии состояния системы ("System State").
     

     

    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    10 ноября 2010 г. 11:18
    Отвечающий
  • сделайте сначала один, потом второй, в чем проблема :)
    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    11 ноября 2010 г. 14:03
  • Что бы это значило? Ещё проблема появилась, как удалить OO-Server из оснастки пользоватли и компьютеры, при попытке удаления он мне выдаёт -

    "невозможно удалить объект DSA" как быть? Для бекапа я запускаю ntbackup, включатеся мастер - там три варианта выбора - заархивировать все файлы на компе, выбранные файлы и папки или только состояние системы - что выбираю?


    Попробуйте удалить его через adsiedit.msc из папки контроллеров домена.

    Не помню уже точно интерфейса ntbackup 2000, имхо, выбранные папки, там уже выбрать, что архивировать. System state представлена в виде одной из папок системного раздела. 

    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    11 ноября 2010 г. 14:19
  •  Как запустить adprep на контроллере с Windows 2000? Она есть на диски с 2k3 в папке i386, как её оттуда запустить на КД?

    To resolve this issue, run the adprep.exe /forestprep command from the Windows Server 2003 R2 installation disk 2 on the schema master. To do this, insert the Windows Server 2003 R2 installation disk 2, and then type the following command:
    <var>Drive</var>:\CMPNENTS\R2\ADPREP\adprep.exe /forestprep
    http://support.microsoft.com/kb/917385
    • Помечено в качестве ответа Леня 13 ноября 2010 г. 7:55
    12 ноября 2010 г. 13:59

Все ответы

  • На том контроллере, что поломался, какие роли FSMO были? Необходим будет мастер схемы и инфраструктуры, возможно, что и RID понадобится. Пакет обновления на контроллере под управлением Windows 2000 какой установлен?..

    В общем случае Вам нужно сделать две операции: "adprep /forestprep" и "adprep /domainprep". После этого можете "dcpromo" выполнять на Windows 2003. Пользователей в момент "adprep" отключать не нужно. да, "база AD скопируется целиком" на новый контроллер.

    Проблемы могут быть в том, что не доступен мастер схемы или мастер инфраструктуры (тогда "adprep" ругнется). Также проблемы могут быть вызваны тем, что у Windows 2003 настройки безопасности по умолчанию различаются с таковыми для Windows 2000. Наверняка, есть и какие-то ограничения, связанные с существованием Exchange в лесу. В общем, Вам бы с документацией ознакомиться...

    По поводу архивирования. Если контроллер один, то можете рассчитывать на успешный откат AD из его архивной копии состояния системы ("System State").
     

     

    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    10 ноября 2010 г. 11:18
    Отвечающий
  • Как посмотреть роли сервера? ( по логике, он и хозяин схемы и хозяин рид пула и всё остальное, но это только догадки). В сети нет Exchange, нет вообще ни одного другово сервера. А этот используется для dns, ad и file server.  Там не установлено не одной политики и т.д., короче всё по дефолту стоит, его уже 9 лет никто походу не трогал. Как мне посмотреть, делает ли он свои архивные копии, местные умельцы могли вырубить эту функцию? (Это там, где контрольные точки восстановления системы чтоли?) После того, как я введу второй контроллер домена, они станут равноправны? Я смогу передать или захватить роли старого кд на новый, или это вообще лишнее?
    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    10 ноября 2010 г. 12:07
  • посмотрите эту статейку

    http://support.microsoft.com/kb/234790

    10 ноября 2010 г. 21:21
  • Этот КД хозяин ролей: Infrastructure update, PDC, схемы, именования доменов, RID.

    Подскажите товарищи, ответы на впоросы прошлого поста моего, я волнуюсь, а сделать надо. Я не уроню им всю сеть ли и т.д. Спасибо, тем кто откликнулся и откликнется. Расскажите, кто так уже делал, риски реально есть? Статьи я уже прочёл, спасибо. Просто я хочу услышать реальный опыт.


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 9:12
  • Этот КД хозяин ролей: Infrastructure update, PDC, схемы, именования доменов, RID.

    Подскажите товарищи, ответы на впоросы прошлого поста моего, я волнуюсь, а сделать надо. Я не уроню им всю сеть ли и т.д. Спасибо, тем кто откликнулся и откликнется. Расскажите, кто так уже делал, риски реально есть? Статьи я уже прочёл, спасибо. Просто я хочу услышать реальный опыт.

    Не рискует тот, кто не делает ;) Бекап делается встроенной ntbackup, обязательно system_state, cистемный раздел, осталное - в зависимости от конфигурации.

    Перед манипуляциями в АД проверьте, чтоб АД  была полностью здорова утилитой dcdiag.

    Если 2й КД выходил из строя без штатного понижения роли, то, скорее всего, нужно почистить записи АД от него, перехватить роли. В общем, выкладывайте вывод dcdiag, мы посмотрим.

    11 ноября 2010 г. 9:28
  • C:\Documents and Settings\АдминчеГ.GG-SERVER.000>dcdiag

     

    DC Diagnosis

     

    Performing initial setup:
       Done gathering initial info.

     

    Doing initial non skippeable tests

     

       Testing server: Default-First-Site-Name\GG-SERVER
          Starting test: Connectivity
             ......................... GG-SERVER passed test Connectivity

     

    Doing primary tests

     

       Testing server: Default-First-Site-Name\GG-SERVER
          Starting test: Replications
             [Replications Check,GG-SERVER] A recent replication attempt failed:
                From OO-SERVER to GG-SERVER
                Naming Context: CN=Schema,CN=Configuration,DC=trololo,DC=ru
                The replication generated an error (1722):
                Cервер RPC недоступен
                The failure occurred at 2010-11-11 11:54.14.
                The last success occurred at 2010-07-08 09:54.33.
                2952 failures have occurred since the last success.
                [OO-SERVER] DsBind() failed with error -2146893022,
                главное конечное им  неверно..
                The source remains down. Please check the machine.
             [Replications Check,GG-SERVER] A recent replication attempt failed:
                From OO-SERVER to GG-SERVER
                Naming Context: CN=Configuration,DC=trololo,DC=ru
                The replication generated an error (1722):
                Сервер RPC недоступен.
                The failure occurred at 2010-11-11 11:53.51.
                The last success occurred at 2010-07-08 09:54.33.
                2952 failures have occurred since the last success.
                The source remains down. Please check the machine.
             [Replications Check,GG-SERVER] A recent replication attempt failed:
                From OO-SERVER to GG-SERVER
                Naming Context: DC=trololo,DC=ru
                The replication generated an error (1722):
                Сервер RPC недоступен.
                The failure occurred at 2010-11-11 11:53.28.
                The last success occurred at 2010-07-08 09:57.19.
                2952 failures have occurred since the last success.
                The source remains down. Please check the machine.
             ......................... GG-SERVER passed test Replications
          Starting test: NCSecDesc
             ......................... GG-SERVER passed test NCSecDesc
          Starting test: NetLogons
             ......................... GG-SERVER passed test NetLogons
          Starting test: Advertising
             ......................... GG-SERVER passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... GG-SERVER passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... GG-SERVER passed test RidManager
          Starting test: MachineAccount
             ......................... GG-SERVER passed test MachineAccount
          Starting test: Services
                SMTPSVC Service is stopped on [GG-SERVER]
             ......................... GG-SERVER failed test Services
          Starting test: ObjectsReplicated
             ......................... GG-SERVER passed test ObjectsReplicated
          Starting test: frssysvol
             There are errors after the SYSVOL has been shared.
             The SYSVOL can prevent the AD from starting.
             ......................... GG-SERVER passed test frssysvol
          Starting test: kccevent
             An Warning Event occured.  EventID: 0x800004F1
                Time Generated: 11/11/2010   12:13:33
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x800004F1
                Time Generated: 11/11/2010   12:13:33
                (Event String could not be retrieved)
             An Warning Event occured.  EventID: 0x800004F1
                Time Generated: 11/11/2010   12:13:33
                (Event String could not be retrieved)
             ......................... GG-SERVER failed test kccevent
          Starting test: systemlog
             ......................... GG-SERVER passed test systemlog

     

       Running enterprise tests on : trololo.ru
          Starting test: Intersite
             ......................... trololo.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... trololo.ru passed test FsmoCheck


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...

    11 ноября 2010 г. 9:50
  • OO-SERVER безнадежно выбыл? Если да, то чистите от него АД(забекапьтесь только) по рекомендациям http://support.microsoft.com/kb/216498/ru

    После этого можете еще раз dcdiag дать....

    11 ноября 2010 г. 10:02
  • Ок. Скажите как мне забекапиться? Да сервер ОО больше не включается. Он старый и перестал работать. Для создания бекапа мне надо будет отключать пользователей? Как мне, если что, из этого бекапа восстановиться потом?


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 10:32
  • ntbackup системный раздел бэкапить и systemstate

    рекомендую после создания бэкапов проверить нормально ли открываются (распаковывать не нужно) файлы резервных копий тем же ntbackup

    11 ноября 2010 г. 10:37
  • Для создания бекапа мне надо будет отключать пользователей? Как мне, если что, из этого бекапа восстановиться потом?

    1. Нет, все в фоне.

    2. Накатываете свежую систему(или с образа диска), запускаете ntbackup, восстанавиваете системный раздел и систем стейт, перегружаете.

    11 ноября 2010 г. 10:47
    1. Удалите запись типа cname в зоне _msdcs.<var>корневой_домен_леса</var> на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись, то она может быть использована существующими контроллерами домена.

      Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.

    После удаления объекта NTDS Settings можно удалить учетную запись компьютера, объект FRS, запись типа cname (Alias) в контейнере _msdcs, запись A (Host) в DNS, объект trustDomain удаленного дочернего домена и контроллер домена.

    Удалил через ntdsutil запись о том кд, а как сделать этот пункт?

     


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 12:22
  • Через dnsmgmt.msc (оснастка управления DNS-сервером).

    11 ноября 2010 г. 12:34
  • Удалил, всё что нашёл с этим сервером. Больше нигде не надо чистить? Можно приступать к adprep /forestprerp?

    После того как я введу второй контроллер домена, они станут равноправны? Я смогу передать или захватить роли старого кд на новый, или это вообще лишнее?


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 12:43
  • Удалил, всё что нашёл с этим сервером. Больше нигде не надо чистить? Можно приступать к adprep /forestprerp?

    После того как я введу второй контроллер домена, они станут равноправны? Я смогу передать или захватить роли старого кд на новый, или это вообще лишнее?

    Я бы прогнал dcdiag-ом и если все ок, то забекапил бы system_state, на всякий случай.

    Да, Вы сможете передавать роли, назначать GC и пр.

    11 ноября 2010 г. 13:15
  • Microsoft Windows 2000 [Версия 5.00.2195]
    (С) Корпорация Майкрософт, 1985-2000.

    C:\Documents and Settings\АдминчеГ.GG-SERVER.000>dcdiag

    DC Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial non skippeable tests

       Testing server: Default-First-Site-Name\GG-SERVER
          Starting test: Connectivity
             ......................... GG-SERVER passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\GG-SERVER
          Starting test: Replications
             ......................... GG-SERVER passed test Replications
          Starting test: NCSecDesc
             ......................... GG-SERVER passed test NCSecDesc
          Starting test: NetLogons
             ......................... GG-SERVER passed test NetLogons
          Starting test: Advertising
             ......................... GG-SERVER passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... GG-SERVER passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... GG-SERVER passed test RidManager
          Starting test: MachineAccount
             ......................... GG-SERVER passed test MachineAccount
          Starting test: Services
                SMTPSVC Service is stopped on [GG-SERVER]
             ......................... GG-SERVER failed test Services
          Starting test: ObjectsReplicated
             ......................... GG-SERVER passed test ObjectsReplicated
          Starting test: frssysvol
             There are errors after the SYSVOL has been shared.
             The SYSVOL can prevent the AD from starting.
             ......................... GG-SERVER passed test frssysvol
          Starting test: kccevent
             ......................... GG-SERVER passed test kccevent
          Starting test: systemlog
             ......................... GG-SERVER passed test systemlog

       Running enterprise tests on : trololo.ru
          Starting test: Intersite
             ......................... trololo.ru passed test Intersite
          Starting test: FsmoCheck
             ......................... trololo.ru passed test FsmoCheck

     

     

    Вроде всё чисто теперь. Разве что вот это:

    Starting test: Services
                SMTPSVC Service is stopped on [GG-SERVER]
             ......................... GG-SERVER failed test Services

    Что бы это значило? Ещё проблема появилась, как удалить OO-Server из оснастки пользоватли и компьютеры, при попытке удаления он мне выдаёт -

    "невозможно удалить объект DSA" как быть? Для бекапа я запускаю ntbackup, включатеся мастер - там три варианта выбора - заархивировать все файлы на компе, выбранные файлы и папки или только состояние системы - что выбираю?


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 13:41
  • состояние системы и системный диск
    11 ноября 2010 г. 13:48
  • А как это сделать я же могу выбрать только 1 из 3 вариантов?


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 13:54
  • сделайте сначала один, потом второй, в чем проблема :)
    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    11 ноября 2010 г. 14:03
  • а понял - просто не догнал сразу, голова уже кругом. Спасибо.


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    11 ноября 2010 г. 14:17
  • Что бы это значило? Ещё проблема появилась, как удалить OO-Server из оснастки пользоватли и компьютеры, при попытке удаления он мне выдаёт -

    "невозможно удалить объект DSA" как быть? Для бекапа я запускаю ntbackup, включатеся мастер - там три варианта выбора - заархивировать все файлы на компе, выбранные файлы и папки или только состояние системы - что выбираю?


    Попробуйте удалить его через adsiedit.msc из папки контроллеров домена.

    Не помню уже точно интерфейса ntbackup 2000, имхо, выбранные папки, там уже выбрать, что архивировать. System state представлена в виде одной из папок системного раздела. 

    • Помечено в качестве ответа Леня 13 ноября 2010 г. 8:00
    11 ноября 2010 г. 14:19
  • Стопудово, через adsi получилось. Теперь всё чисто. Забэкапился. Как запустить adprep на контроллере с Windows 2000? Она есть на диски с 2k3 в папке i386, как её оттуда запустить на КД?


    Я не волшебник(впрочем, здесь уместней не шаман), я только учусь...
    12 ноября 2010 г. 11:23
  •  Как запустить adprep на контроллере с Windows 2000? Она есть на диски с 2k3 в папке i386, как её оттуда запустить на КД?

    To resolve this issue, run the adprep.exe /forestprep command from the Windows Server 2003 R2 installation disk 2 on the schema master. To do this, insert the Windows Server 2003 R2 installation disk 2, and then type the following command:
    <var>Drive</var>:\CMPNENTS\R2\ADPREP\adprep.exe /forestprep
    http://support.microsoft.com/kb/917385
    • Помечено в качестве ответа Леня 13 ноября 2010 г. 7:55
    12 ноября 2010 г. 13:59