Веселье у меня продолжается , когда я занимался копанием в системе (VPN , netdiag) , я заглянул в логи и ужаснулся обилию ошибок связанных с FSMO id 4510.

DNS-сервер не смог подключиться к FSMO "" именования доменов. Никакие изменения для разделов каталога не будут возможны, пока FSMO-сервер не станет доступен для LDAP-подключений. В данных содержится код ошибки.

Анамнез такой :
Какое то время назад из строя вышел 1 из 2х КД , я перенастроил резервный КД под основной установил туда DNS и DHCP , по мануалам передал ему Роли FSMO и в данный момент не было нареканий т.к все работало как часы и жалоб никаких небыло.Старый КД я реанимировал (поменял запчасти) , снял с него все полномочия и сделал его резервным КД (сменил ему имя , но не Ip).


В данный момент есть 4 сервера под управлением Win2k3 Sp2 SE , из них 2 КД на одном из КД стоит DHCP , DNS ( собственно на нем и ошибки) и резервный КД только с АД.

Видимо у меня не хватает знаний , да и опыта переноса и понижения КД не было никогда. Очень хочу разобраться.Может быть стоит удалить АД с сервера который был главным?

Благодарю за помощь и понимание.

Покажите вывод netdom query fsmo с первого КД и вывод ipconfig /all с обоих КД.

Какое то время назад из строя вышел 1 из 2х КД , я перенастроил резервный КД под основной установил туда DNS и DHCP , по мануалам передал ему Роли FSMO и в данный момент не было нареканий т.к все работало как часы и жалоб никаких небыло »
был захват ролей.
Старый КД я реанимировал (поменял запчасти) , снял с него все полномочия и сделал его резервным КД (сменил ему имя , но не Ip). »
интересно как вы сняли, если был захват, а не передача ролей? :)

есть у меня подозрения что это не всё.

cameron,
Я наверное не корректно выражаюсь , по мануалам которые я читал было написано что если КД с ролями упал можно насильно назначить роли на живой КД с помощью ntdsutil (вроде так было написано) что я и сделал.Видимо зря ибо я реанимировал первый КД.

netdom query fsmo

Это с КД который был первый изначально.

Microsoft Windows [Версия 5.2.3790] (С) Корпорация Майкрософт, 1985-2003.
C:\Documents and Settings\Администратор>netdom query fsmo
Schema owner KPACHbIu.bpark.local
Не удается найти указанный файл.
The command failed to complete successfully.
C:\Documents and Settings\Администратор>

Это тот которому я вроде как передал роли.

netdom query fsmoMicrosoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.BPARK>netdom query fsmo
Schema owner KPACHbIu.bpark.local

Не удается найти указанный файл.

The command failed to complete successfully.


C:\Documents and Settings\Администратор.BPARK>


Ipconfig /all

Изначально первый КД

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Mir1
Основной DNS-суффикс . . . . . . : bpark.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : bpark.local

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration
Физический адрес. . . . . . . . . : 00-15-17-22-79-94
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.3
DNS-серверы . . . . . . . . . . . : 192.168.0.253

C:\Documents and Settings\Администратор>


Второй КД

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.BPARK>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : KPACHbIu
Основной DNS-суффикс . . . . . . : bpark.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : bpark.local

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-15-17-22-74-ED
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.253
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.3
DNS-серверы . . . . . . . . . . . : 127.0.0.1

C:\Documents and Settings\Администратор.BPARK>

Не удается найти указанный файл. »
support tools то установите.
насильно назначить роли на живой КД с помощью ntdsutil (вроде так было написано) что я и сделал.Видимо зря ибо я реанимировал первый КД. »
вот уж точно зря.

cameron,

Да это я уже понял)

И саппорт тулс установлен.Сейчас воюю с этим но не хочет запускаться по нормальному netdom query fsmo

И саппорт тулс установлен.Сейчас воюю с этим но не хочет запускаться по нормальному netdom query fsmo »
пуск-программы-Support Tools - Command Shell или как-то так.
там один ярлык =)
просто в PATH ещё не прописались.

там запускайте netdom query fsmo

cameron,

Результат к сожалению такой же :(
Может что то не включено?Или не настроено?

KPACHbIu,
а если на клиенте запустить это?
(XP - нужны саппорт_тулз, можно взять те же что и для сервера. Win7 - ничего не надо)

ещё вариант:
http://support.microsoft.com/kb/234790

Результат к сожалению такой же »
В журналах есть ошибки?

cameron,
Проделал что описано в статье , везде показывается нужный сервер , который изначально был резервным.


Вот вылезла ошибка сегодня.Где указан мертвый сервер "BRUNS".Сейчас читаю статьи указанные в логах ошибки.


Владельцем следующей роли FSMO задан сервер, который был удален или не существует.

Операции, требующие обращения к хозяину операции FSMO, не смогут выполняться, пока это состояние не будет исправлено.

Роль FSMO: CN=Partitions,CN=Configuration,DC=bpark,DC=local
Доменное имя сервера FSMO: CN=NTDS Settings\0ADEL:aab232fd-a34d-40d6-a0ac-438ecabed5ee,CN=BRUNS\0ADEL:af8158a2-4ca9-485e-89f5-67c92cd53b24,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bpark,DC=local

Действие пользователя:

1. Определите, какой сервер должен быть владельцем этой роли.
2. Представление конфигурации может быть устаревшим. Если сервер-владелец был выдвинут на эту роль недавно, проверьте, что раздел конфигурации был недавно реплицирован с нового сервера. Если сервер-владелец был лишен этой роли недавно и роль была передана другому серверу, проверьте, что новый сервер недавно реплицировал раздел, содержащий сведения о владельце роли.
3. Проверьте, правильно ли установлена эта роль на сервере-владельце этой роли FSMO. Если роль не установлена, с помощью утилиты NTDSUTIL.EXE передайте или захватите эту роль. Это можно сделать, выполнив пошаговые инструкции, содержащиеся в статьях базы знаний 255504 и 324801 на веб-узле http://support.microsoft.com.
4. Проверьте, что репликация раздела FSMO между сервером-владельцем роли FSMO и данным сервером выполняется успешно.

Могут быть затронуты следующие операции:
Схема: нельзя будет изменять схему для этого леса.
Именование доменов: нельзя будет добавлять или удалять домены из этого леса.
PDC: нельзя будет выполнять операции, исполняемые основным контроллером домена, например, обновление групповой политики и сброс паролей для учетных записей, не принадлежащих Active Directory.
RID: нельзя будет выделять новые SID для новых учетных записей пользователей, учетных записей компьютеров и групп безопасности.
Инфраструктура: междоменные ссылки на имена, например, членство в универсальных группах, не будут правильно обновляться, если конечный объект будет перемещен или переименован.

я пока не совсем поняла ваши действия когда у вас умер первый(?) сервер, но я бы сделала так:

бэкап всех КД которые сейчас есть.
- проверила на каком из серверов актуальная копия AD (у меня есть подозрения что они у вас разные).
- первый сервер выключила, отформатировала, что бы не было желания его включать.
- захватила роли на втором, живом, через ntdsutil.
- вычистила AD от остатков первого сервера (ntdsutil)
- проверила на наличие ошибок живой сервер.
- установила чистую ОС на первом, сделала его DC/DNS/GC с другим именем (отличным от всех других имён КД которые были или есть).


Если у вас в сети есть Exchange/OCS/SCCM и тд, то тут возможны ещё разные подводные камни.

Ситуация развивалась так.

Сгорел сервер , я отрубил от него все провода и прочитав мануал стер его откуда только можно (его название).
Провел захват ролей на живом сервере через ntdsutil.
Установил DHCP и DNS на живом сервере.
Потом вдруг внезапно в рейде оказался один жесткий диск с живой системой , и я (как теперь уже понял Зря) запустил его , сменив имя , снял с него все полномочия оставив только АД.

Ошибок вроде не было и сейчас я заглянул туда а там ошибки разного рода в основном про репликацию и FSMO.

Конечно стоило бы форматнуть все что можно , но я решил что так наверное делать не очень хорошо ибо не всегда можно форматнуть все что хочется.

прочитав мануал стер его откуда только можно (его название). »
из ADUC?
Провел захват ролей на живом сервере через ntdsutil. »
seize? и всё прошло без ошибок?
Установил DHCP и DNS на живом сервере. »
у вас был КД без DNS? да GC вы там сделали?
Потом вдруг внезапно в рейде оказался один жесткий диск с живой системой , и я (как теперь уже понял Зря) запустил его , сменив имя , снял с него все полномочия оставив только АД. »
то есть вы просто переименовали КД? О_о

из ADUC? »

Да

seize? и всё прошло без ошибок? »

Вроде да , никогда раньше не делал.Но по крайней мере утилиты показывают что новый сервер является хозяином различных ролей.
у вас был КД без DNS? да GC вы там сделали? »

Был ДНС , про установил я имел ввиду что сделал его Глобальным каталогом.

то есть вы просто переименовали КД? О_о »

Честно говоря у меня сейчас даже уши загорели :sorry:

Может стоит еще раз попробовать захватить роли? »
может стоит прочитать ещё раз моё сообщение выше?

cameron,

О прошу прощения , благодарю за помощь)

Ошибка пропала.

Сделал так :

1.Отключил от сети первый сервер , удалил с него АД , почистил и выключил.
2.На живом серваке очистил все старые записи о первом серваке , проверил на ошибки и все такое.
3.Захватил все роли на живом серваке (захватились удачно без ошибок).
4.Включил первый сервак , переименовал его , ввел в домен , настроил на нем АД и ДНС и сделал из него Глобальный каталог (ну тоесть галочку поставил что он ГК)

вот сейчас даже не знаю стоит ли удалять со второго сервака функцию ДНС или оставить?

вот сейчас даже не знаю стоит ли удалять со второго сервака функцию ДНС или оставить? »
не надо ничего удалять.

поглядите в replmon и dcdiag на обоих КД.

если ошибок нет - то у вас всё получилось.

Ошибок в данных тестах не было , остались конечно еще кое какие , но думаю к данной проблеме они не относятся.
Благодарю за помощь!