none
win2003_Ee 主AD crash ,備用AD 如何昇級成主要 AD RRS feed

  • 問題

  • 各位先進您好.

    不知是否有人遇過當 win2003_Ee 主要AD 掛點時(無法救回),那備用AD 如何變成主要AD .

    我有試著變更角色用mmc 但都無效 .

    不知那位高手可以告知 .

    Thanks,,

     

    Jalee

    2007年11月15日 上午 03:05

解答

    • 同一網域中的 DC 每個都是主要的, 只有角色分別. 如果某部 DC 故障, 且該 DC 為 FSMO 角色時, 可以使用 NTDSUTIL 來做角色的強制 Transfer.
    • 如不確定目前 FSMO 的 owner 是誰, 可使用下列方式查詢
      netdom /query fsmo
    • 使用 ntdsutil 強制轉換 fsmo
      • ntdsutil <--Enter
      • roles <--Enter a ?
      • 記錄下可以 transfer roles 的語法, 以及角色抓取與法 例如:
        • 角色轉換
          • RID: transfer rid master
          • PDC: transfer PDC
          • Schema: transfer schema master
        • 角色抓取
          • PDC: Seize PDC
          • RID: Seize RID master
          • Schema: Seize schema master
      • connection <--Enter
      • connect to server yournewFSMOserver <--Enter
      • server connection <--Enter a q
      • transfer role 參照上面 transfer 的語法
    • 使用 ntdsutil 抓取角色
      • ntdsutil <--Enter
      • roles <--Enter
      • connections <--Enter
      • connect to server yournewFSMOserver <--Enter
      • 在 server connection <--Enter a q
      • seize role 參照上面角色抓取與法
    2007年11月15日 上午 06:43
  • 有檢查過 DNS 記錄跟 DC 上的 DNS 指向哪台主機嗎?

    如果 DNS 記錄還有原本主機的資料, 有些動作會去查原主機而失敗.
    2007年11月17日 上午 04:59

所有回覆

    • 同一網域中的 DC 每個都是主要的, 只有角色分別. 如果某部 DC 故障, 且該 DC 為 FSMO 角色時, 可以使用 NTDSUTIL 來做角色的強制 Transfer.
    • 如不確定目前 FSMO 的 owner 是誰, 可使用下列方式查詢
      netdom /query fsmo
    • 使用 ntdsutil 強制轉換 fsmo
      • ntdsutil <--Enter
      • roles <--Enter a ?
      • 記錄下可以 transfer roles 的語法, 以及角色抓取與法 例如:
        • 角色轉換
          • RID: transfer rid master
          • PDC: transfer PDC
          • Schema: transfer schema master
        • 角色抓取
          • PDC: Seize PDC
          • RID: Seize RID master
          • Schema: Seize schema master
      • connection <--Enter
      • connect to server yournewFSMOserver <--Enter
      • server connection <--Enter a q
      • transfer role 參照上面 transfer 的語法
    • 使用 ntdsutil 抓取角色
      • ntdsutil <--Enter
      • roles <--Enter
      • connections <--Enter
      • connect to server yournewFSMOserver <--Enter
      • 在 server connection <--Enter a q
      • seize role 參照上面角色抓取與法
    2007年11月15日 上午 06:43
  • 感謝各位大大的支援 ,

    下列是我操作的過程,有出一此狀況,設備重開後好像沒有完全轉移 .

    在domain controllers 群組原則部份,會找不到網域控制站 .不知是那裏出問題 .

     

    Thanks,

     

    Jalee

     

    ============================================= log

    Microsoft Windows [版本 5.2.3790]
    (C) 版權所有 1985-2003 Microsoft Corp。

    ntdsutil:
    ntdsutil: roles
    fsmo maintenance: ?

     ?                             - 顯示這個說明資訊
     Connections                   - 連線到一個指定的網域控制站
     Help                          - 顯示這個說明資訊
     Quit                          - 回到上個功能表
     Seize domain naming master    - 覆寫連線伺服器上的網域功能
     Seize infrastructure master   - 覆寫連線伺服器上的基礎結構角色
     Seize PDC                     - 覆寫連線伺服器上的 PDC 功能
     Seize RID master              - 覆寫連線伺服器上的 RID 功能
     Seize schema master           - 覆寫連線伺服器上的架構功能
     Select operation target       - 選取站台、伺服器、網域、角色
                                    和命名內容
     Transfer domain naming master - 將連線伺服器做為網域命名主機
     Transfer infrastructure master - 將連線伺服器做為基礎結構主機
     Transfer PDC                  - 將連線伺服器做為 PDC
     Transfer RID master           - 將連線伺服器做為 RID 主機
     Transfer schema master        - 將連線伺服器做為架構主機

    fsmo maintenance: connect
    server connections: ?

     ?                             - 顯示這個說明資訊
     Clear creds                   - 清除先前連線的認證
     Connect to domain %s          - 連線到 DNS 網域名稱
     Connect to server %s          - 連線到伺服器、DNS 名稱或 IP 位址
     Help                          - 顯示這個說明資訊
     Info                          - 顯示連線資訊
     Quit                          - 回到上個功能表
     Set creds %s %s %s            - 設定連線認證為網域、使用者、密碼
                                     使用 "NULL" 做為 null 密碼,
                                     * 從主控台輸入密碼。

    server connections: info
    server connections: connect to domain connect.com.tw
    連結到 \\ms2.connect.com.tw ...
    使用本機登入的使用者認證來連線到 \\ms2.connect.com.tw
    server connections: info
    使用本機登入的使用者認證來連線到 \\ms2.connect.com.tw
    server connections: quit
    fsmo maintenance: ?

     ?                             - 顯示這個說明資訊
     Connections                   - 連線到一個指定的網域控制站
     Help                          - 顯示這個說明資訊
     Quit                          - 回到上個功能表
     Seize domain naming master    - 覆寫連線伺服器上的網域功能
     Seize infrastructure master   - 覆寫連線伺服器上的基礎結構角色
     Seize PDC                     - 覆寫連線伺服器上的 PDC 功能
     Seize RID master              - 覆寫連線伺服器上的 RID 功能
     Seize schema master           - 覆寫連線伺服器上的架構功能
     Select operation target       - 選取站台、伺服器、網域、角色
                                    和命名內容
     Transfer domain naming master - 將連線伺服器做為網域命名主機
     Transfer infrastructure master - 將連線伺服器做為基礎結構主機
     Transfer PDC                  - 將連線伺服器做為 PDC
     Transfer RID master           - 將連線伺服器做為 RID 主機
     Transfer schema master        - 將連線伺服器做為架構主機

    fsmo maintenance: seize pdc
    在拿取前,嘗試 PDC FSMO 的安全轉移。
    FSMO 順利轉移 - 不需要拿取。
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: ?

     ?                             - 顯示這個說明資訊
     Connections                   - 連線到一個指定的網域控制站
     Help                          - 顯示這個說明資訊
     Quit                          - 回到上個功能表
     Seize domain naming master    - 覆寫連線伺服器上的網域功能
     Seize infrastructure master   - 覆寫連線伺服器上的基礎結構角色
     Seize PDC                     - 覆寫連線伺服器上的 PDC 功能
     Seize RID master              - 覆寫連線伺服器上的 RID 功能
     Seize schema master           - 覆寫連線伺服器上的架構功能
     Select operation target       - 選取站台、伺服器、網域、角色
                                    和命名內容
     Transfer domain naming master - 將連線伺服器做為網域命名主機
     Transfer infrastructure master - 將連線伺服器做為基礎結構主機
     Transfer PDC                  - 將連線伺服器做為 PDC
     Transfer RID master           - 將連線伺服器做為 RID 主機
     Transfer schema master        - 將連線伺服器做為架構主機

    fsmo maintenance: seize rid master
    選取的伺服器已是 RID 角色擁有者
    fsmo maintenance: Seize schema master
    在拿取前,嘗試 schema FSMO 的安全轉移。
    FSMO 順利轉移 - 不需要拿取。
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: Seize infrastructure master
    在拿取前,嘗試 infrastructure FSMO 的安全轉移。
    ldap_modify_sW 錯誤 0x34(52 (無法使用).
    Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-03210300, problem 5002 (UNAVAILABLE),
     data 8438

    傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗,無法連接目前的 FSMO 持有人。)
    )
    錯誤碼可以指出連線、
    ldap、或功能轉移錯誤。
    infrastructure FSMO 的轉移失敗,執行拿取中...
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: Transfer PDC
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: Transfer RID master
    ldap_modify_sW 錯誤 0x34(52 (無法使用).
    Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-032108D3, problem 5002 (UNAVAILABLE),
     data 8438

    傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗,無法連接目前的 FSMO 持有人。)
    )
    錯誤碼可以指出連線、
    ldap、或功能轉移錯誤。
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: Transfer schema master
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance:
    fsmo maintenance: Transfer infrastructure master
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: Transfer domain naming master
    ldap_modify_sW 錯誤 0x34(52 (無法使用).
    Ldap 延伸錯誤訊息是 000020AF: SvcErr: DSID-03210300, problem 5002 (UNAVAILABLE),
     data 8438

    傳回的 Win32 錯誤是 0x20af(要求的 FSMO 操作失敗,無法連接目前的 FSMO 持有人。)
    )
    錯誤碼可以指出連線、
    ldap、或功能轉移錯誤。
    伺服器 "\\ms2.connect.com.tw" 知道 5 功能
    架構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    網域 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Conf
    iguration,DC=connect,DC=com,DC=tw
    PDC - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    RID - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=Confi
    guration,DC=connect,DC=com,DC=tw
    基礎結構 - CN=NTDS Settings,CN=MS2,CN=Servers,CN=Default-First-Site,CN=Sites,CN=
    Configuration,DC=connect,DC=com,DC=tw
    fsmo maintenance: ?

     ?                             - 顯示這個說明資訊
     Connections                   - 連線到一個指定的網域控制站
     Help                          - 顯示這個說明資訊
     Quit                          - 回到上個功能表
     Seize domain naming master    - 覆寫連線伺服器上的網域功能
     Seize infrastructure master   - 覆寫連線伺服器上的基礎結構角色
     Seize PDC                     - 覆寫連線伺服器上的 PDC 功能
     Seize RID master              - 覆寫連線伺服器上的 RID 功能
     Seize schema master           - 覆寫連線伺服器上的架構功能
     Select operation target       - 選取站台、伺服器、網域、角色
                                    和命名內容
     Transfer domain naming master - 將連線伺服器做為網域命名主機
     Transfer infrastructure master - 將連線伺服器做為基礎結構主機
     Transfer PDC                  - 將連線伺服器做為 PDC
     Transfer RID master           - 將連線伺服器做為 RID 主機
     Transfer schema master        - 將連線伺服器做為架構主機

    fsmo maintenance: quit
    ntdsutil: ?

     ?                             - 顯示這個說明資訊
     Authoritative restore         - 系統授權還原 DIT 資料庫
     Configurable Settings         - 管理可變更的設定值
     Domain management             - 準備建立新網域
     Files                         - 管理 NTDS 資料庫檔案
     Help                          - 顯示這個說明資訊
     LDAP policies                 - 管理 LDAP 通訊協定原則
     Metadata cleanup              - 清除在解除委任伺服器上的物件
     Popups %s                     - 以 "on" 或 "off" 來啟用或停用快顯
     Quit                          - 結束公用程式
     Roles                         - 管理 NTDS 角色擁有者的權杖
     Security account management   - 管理安全性帳戶資料庫 - 重複 SID 的清除
     Semantic database analysis    - 語義檢查程式
     Set DSRM Password             - 重設目錄服務還原模式系統管理員帳戶密碼


    ntdsutil:
    ntdsutil: quit
    正從 \\ms2.connect.com.tw 中斷連線...

    c:\temp>

     

    =======================================================================

     

    2007年11月16日 上午 07:06
  • 有檢查過 DNS 記錄跟 DC 上的 DNS 指向哪台主機嗎?

    如果 DNS 記錄還有原本主機的資料, 有些動作會去查原主機而失敗.
    2007年11月17日 上午 04:59
  • 感謝各位的支援 , 因之前使用舊的server 所滙出的人員資料載入新主機,造成系統異常,無法完全轉移,已將新設備重新

    安裝依照各位大大所提供的方法順利完成轉移.

    謝謝 !!

     

    2007年12月10日 上午 07:13