none
Проблема с утилитой ADMT

    Вопрос

  • Коллеги, добрый день!

    Мигрируем из 4 доменов в единый.

    Трасты двухсторонние сделали, перенаправление DNS сделали, карантин отключили, sidhistory разрешили....все по мануалу.

    С 3 доменами все ок.

    С 1 доменом проблема. Через оснастку ADMT не выводится список доменов (скрин).

    В чем может быть проблема?


    • Изменено Sergey_Nov 29 июня 2015 г. 10:59
    29 июня 2015 г. 10:58

Все ответы

  • Не выводится список контроллеров домена domain.local?

    Проверяйте для начала, может ли сервер с ADMT найти их в DNS - командой

    nltest /dnsgetdc:domain.local

    Если в DNS находит - проверяйте доступность хотя бы одного контроллера

    nltest /dsgetdc:domain.local


    Слава России!

    29 июня 2015 г. 11:52
  • Да, именно "domain.local"

    Командой nltest /dnsgetdc:domain.local вывел список всех dc.

    Командой nltest /dnsgetdc:{dc} по всем dc вывел: The command completed successfully.

    Что еще может быть?

    29 июня 2015 г. 12:13
  • В исходном домене все записи в DNS для контроллеров есть?

    nslookup
    set q=srv
    _ldap._tcp.dc._msdcs.domain.local


    Innovation distinguishes between a leader and a follower - Steve Jobs

    29 июня 2015 г. 13:19
  • Да, именно "domain.local"

    Командой nltest /dnsgetdc:domain.local вывел список всех dc.

    Командой nltest /dnsgetdc:{dc} по всем dc вывел: The command completed successfully.

    Что еще может быть?

    Я не вижу ваш ответ, каков результат команды

    nltest /dsgetdc:domain.local


    Слава России!

    29 июня 2015 г. 13:42
  • Да!

    Проблема началась после пересоздания трастов. По крайней мере в этот момент стала проявляться. До этого момента все отрабатывало штатно.

    29 июня 2015 г. 13:50
  • C:\Windows\system32>nltest /dsgetdc:domain.local
       DC: \\dc1.domain.local
          Address: \\10.61.36.2
         Dom Guid: 53d2a594-6198-4bc6-ae9d-720a5c4121d4
         Dom Name: domain.local
      Forest Name: domain.local
     Dc Site Name: default
            Flags: DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST
    29 июня 2015 г. 14:35
  • Коллеги, есть еще предположения?
    30 июня 2015 г. 5:13
  • Если попытаться смигрировать объект в данном положении, то в логах работы ADMT ошибка:

     ERR3:7585 The account replicator is unable to continue.   An operations error occurred.

    И в таком виде заканчивает работы ADMT:

  • Я бы проверил в первую очередь траст, если проблема возникла с его пересозданием.

    В дальнейшем необходимо убедиться, что с DNS все корректно и каждый домен имеет необходимые записи:

    nslookup
    set q=srv
    _ldap._tcp.dc._msdcs.domain.local

    И проверить разрешение имен по FQDN в обе стороны. Возможно где-то забыли пересылку или зону.


    Innovation distinguishes between a leader and a follower - Steve Jobs

  • Добрый день.

    Я извиняюсь что вклиниваюсь с офтопом, но за неимением возможности написать личное сообщение, хочу задать вопрос M.V.V. _. Вы некогда приводили статью, в которой по вашему мнению достаточно ясно и полно описывался принцип работы kerberos, так вот я ее никак не могу найти, не могли бы вы еще раз дать ссылку?

    Спасибо.

  • Трасты пересоздали, DNS отрабатывает корректно.

    Если продолжить работу ADMT без выбора sourсe DC, то объекты не мигрируются и в логах ошибка:

    [Object Migration Section]
    2015-07-02 12:31:35 Starting Account Replicator.
    2015-07-02 12:31:35 ERR3:7585 The account replicator is unable to continue.   An operations error occurred.
    2015-07-02 12:31:35 Operation completed.

    2 июля 2015 г. 11:52
  • Как проверяли корректность разрешения имен?

    Попробуйте задать контроллер домена явно и проверить результаты. Вот статья

    Между доменами есть Firewall? На серверах антивирус есть?


    Innovation distinguishes between a leader and a follower - Steve Jobs

    2 июля 2015 г. 12:06
  • Команду запускал с сервера ADMT в target домене, а domain.local это source

    C:\Windows\system32>admt config setdomaincontroller /Domain:domain.local /sdc:dc1.domain.local Unable to connect to directory service on domain 'domain.local'. : Acce ss is denied. (0x80070005)

    • Изменено Sergey_Nov 2 июля 2015 г. 12:21
    2 июля 2015 г. 12:15
  • Что возвращает нас к вопросу о трастах.

    Покажите вывод netdom trust TrustingDomainName /d:TrustedDomainName /verify


    Innovation distinguishes between a leader and a follower - Steve Jobs

    2 июля 2015 г. 12:24
  • C:\Users\svnovoselov>netdom trust TARGETDOMAIN /d:dc1.domain.local /ve rify The attempt to do a group look up on domain controller \\TARGETDC .local for the Domain Admins group of trusting domain domain.local failed with the following error: Access is denied. The attempt to do a group look up on domain controller \\dc1.domain.l ocal for the Domain Admins group of trusting domain local failed with the following error: Access is denied. The command failed to complete successfully.
    • Изменено Sergey_Nov 5 октября 2015 г. 7:17
    2 июля 2015 г. 12:35
  • Вот обсуждение

    Innovation distinguishes between a leader and a follower - Steve Jobs

    2 июля 2015 г. 12:59
  • Добрый день!

    Удалили все настройки и сделали заново согласно мануалу ADMT.

    После этого учетные записи и группы мигрируются штатно.

    А вот при миграции ПК вот такой лог и ошибка:

    2015-07-07 08:41:26 Read 1 accounts from the database that were previously migrated from the domain 'domain.local' to the domain 'target.local'.
    2015-07-07 08:41:26 ERR3:7233 Cannot get source or target domain information...aborting.
    2015-07-07 08:41:26 Created account input file for remote agents: Accounts000185.txt
    2015-07-07 08:41:31 ERR2:7010 The Active Directory Migration Tool cannot look up the SID for domain domain.local.
    2015-07-07 08:41:31 Installing agent on 0 servers



    • Изменено Sergey_Nov 7 июля 2015 г. 6:10
  • Никто не сталкивался с такой проблемой?