Доброго времени суток.

Ситуация такая.
Есть домен на windows server 2008
Задумали мы перейти на 2008 R2.
Установили.... и я, как приличный виндовод согласно гайдам в инетах, вроде этого
http://litl-admin.ru/spravochnaya-informaciya/dopolnitelnyj-kontroller-domena-2008-r2-k-sushhestvuyushhemu-domenu-pod-upravleniem-2003-r2.html
Делаю все по пунктикам и получаю в ответ вежливую просьбу выполнить adprep /forestprep на PDC.

Мне кажется, что данное требование было бы справедливо, если-бы в качестве PDC был server 2003.... но у нас-то 2008.
Такого вопроса вообще возникнуть не должно было.

В логах на PDC, глухо как в танке.

Если сталкивались, поделитесь пожалуйста инфой.
Заранее спасибо.

Такого вопроса вообще возникнуть не должно было. »
с чего бы?
у вас 2008, а добавляете 2008 r2.
разницы не вдите?

если-бы в качестве PDC был server 2003 »
понятий PDC/BDC лет уже лет 15+ как.

разницы не вдите? »
Вижу.
Одна х86 другая х64
А LDAP-у какая с того разница? Или версии MSLADP разные?.... (К слову сказать... вот это будет номер еще тот....)
понятий PDC/BDC лет уже лет 15+ как. »
Да я *NIX оид и в новых доменах разбираюсь как пень в астрономии.....

Если разница есть, то как бы в домене уживались машины разных архитектур?
Или я чего-то не понял?

Одна х86 другая х64 »
одна R2, а вторая - нет.
Если разница есть, то как бы в домене уживались машины разных архитектур? »
разрядность тут ни при чём

одна R2, а вторая - нет. »
То есть... ввести R2 в домен 2008 как DC не получится?

А LDAP-у какая с того разница? Или версии MSLADP разные?.... (К слову сказать... вот это будет номер еще тот....) »
Например, схема изменилась при переходе от «2008 просто» до «2008 R2», новые объекты появились и т.п. И точно так же, как при переходе от 2000 к 2003, от 2003 к 2008, требуется произвести обновление до уровня леса 2008 R2.

Работа с программой Adprep.exe (https://technet.microsoft.com/ru-ru/library/dd464018(v=ws.10).aspx#BKMK_R2Adprep)
…
Какие функции выполняет Adprep.exe?

Программа Adprep.exe использует параметры, выполняющие различные операции при подготовке существующей среды Active Directory для работы с контроллером домена с более поздней версией Windows Server. Не все версии Adprep.exe выполняют одинаковые операции, но в общем набор операций, выполняемых программой Adprep.exe, сводится к следующим:

Обновление схемы Active Directory
Обновление дескрипторов безопасности
Изменение списков управления доступом (ACL) для объектов Active Directory и файлов в общей папке SYSVOL
Создание новых объектов по мере необходимости
Создание новых контейнеров по мере необходимости

…
Дополнительные сведения об изменениях, вносимых программой Adprep.exe в Windows Server 2008 R2, см. в статье Windows Server 2008 R2: Appendix of Changes to Adprep.exe to Support AD DS (https://technet.microsoft.com/ru-ru/library/dd378876(v=ws.10).aspx).
…

Например, схема изменилась при переходе от «2008 просто» до «2008 R2», новые объекты появились и т.п. И точно так же, как при переходе от 2000 к 2003, от 2003 к 2008, требуется произвести обновление до уровня леса 2008 R2. »

Это было сделано... об этом в инетах в первую очередь пишут.
adprep32.exe был взят из образа с дистрибутивом 2008 R2.
Отработал нормально. Могу выслать логи работы.

Жаль.... но все бесполезно.

Отработал нормально. »
где и с какими ключами он отработал нормально?

где и с какими ключами он отработал нормально? »
>cd c:\Windows\adprep
>adprep32.exe /domainprep
>adprep32.exe /forestprep
Далее нужно нажать "c" потом "ENTER" и только тогда отработает с ключем /forestprep

где »

где »
На корневом DC (windows 2008)

подозреваю, что у вас один КД одной локали, а другой КД другой локали.
например первый (s2) EN, а adprep взяли с локализованного дистриба.
ну или наоборот.
проверьте этот момент (не забывайте про MUI, который может стоять).

где »
На корневом DC (windows 2008)

не забывайте про MUI, который может стоять »
Ох.... надо смотреть что такое MUI
подозреваю, что у вас один КД одной локали, а другой КД другой локали. »
Я это тоже подозревал. В инетах есть описание этого случая.
Там рекомендуют переименовать каталог в adprep из ru-ru в en-en.... и насладиться жизнью....
Но этот фокус тоже не прошел.

Если я не ослеп, то оба дистра одной локали. (RU)

Тут появилась идея...
У нас есть еще один вторичный DC в удаленном филиале под samba4 .
И он включен в ЛВС корневого DC по ВПН, бриджом.
И соответственно по запросу имени ИМЯДОМЕНА.СУФИКС я реально получаю 3 айпишника.
Один с интерфейса DC и два с железного и ВПН интерфесов вторичного DC.

Соответственно.... может быть мой новый сервер "стучится" не туда, куда нужно... что косвенно подтверждает tcpdump...

У нас есть еще один вторичный DC в удаленном филиале под samba4 . »
*рукалицо*
ИМЯДОМЕНА.СУФИКС я реально получаю 3 айпишника. »
тоже ошибка.
должно быть 2.

тоже ошибка.
должно быть 2. »

Нет... именно 3
2 железных интерфейса с контроллеров и один с ВПН интерфейса контролера филиала.
Я раньше с этим боролся... что-бы машины из одной подсети не ходили за DC в Москву.... Но тут такая ситуация.... что много не навоюешь.
Я уже пробовал сделать....... лучше вам не знать, что из этого вышло

SRV записям, в отличии от A записей можно назначать приоритеты.
Это значит как минимум то, что DC в филиале можно объяснить, что-бы "вперед батьки" не лез.
Но тогда все с филиалов будут ходить на корневой DC

Надо как-то объяснить машинам из подсетей, на какой DC стучаться в первую очередь?

Тема уходит в офтоп.... ну кто-же знал....

По моему есть какой-то механизм, использующий default-first-site-name.

По моему есть какой-то механизм, использующий default-first-site-name. »
оптимально - делить по сайтам.
дальше клиент сперва будет обращаться к сайтовому КД.

оптимально - делить по сайтам.
дальше клиент сперва будет обращаться к сайтовому КД. »

Для меня это пока что "какой-то механизм"
И пока непонятно. Как привязать сайт к подсети. Если ДНС сервера синхронизированы.

читаю инфу....

Пардон... руками это более проблематично, нежели мастером.

И пока непонятно. Как привязать сайт к подсети. »
оснастка AD:SS.
указать какие сабнеты (их нужно сделать) входят в какие сайты.
один сайт может содержать несколько сабнетов, но не наоборот.
сабнет может входить только в один сайт.
Если ДНС сервера синхронизированы. »
это вообще ни при чём.

Пардон... руками это более проблематично, нежели мастером. »
два клика, какие мастеры?

P.S. настоятельно рекомендую удалить вашу самбу4, преждем чем делать что-то.
последнее, что я видела - не знало что такое сайты, сабнеты, KCC, bridgehead и тд и тп.
впрочем, если хочется красноглазить, то можно.
но тогда вопросы по расширению схемы АД нужно задавать в майлинг листах коммуьнити самбы.

может даже Надежда вам ответит ;)

впрочем, если хочется красноглазить, то можно. »
Тут вопрос в том, что я лучше воспринимаю то что видел и понял.
Нужно увидеть в "красках" , как это работает.
В ДНС зоне "_sites.ДОМЕН.СУФФИКС" должна быть создана подзона с именем сайта, содержащая в себе SRV записи ссылающиеся на нужный ресурс.
Я такой подход "красноглазием" назвать не могу. Мне просто так понятней.

P.S. настоятельно рекомендую удалить вашу самбу4, преждем чем делать что-то. »
А что плохого в ней.
Плохо было во времена ubuntu 12.04.... Жаль тут нет смайлика с виселицей....
Сейчас все уже вполне юзабельно.

последнее, что я видела - не знало что такое сайты, сабнеты, KCC, bridgehead и тд и тп. »
За это отвечает либо ДНС от samba (от чего я отказался, заточен только под одно дело, а а занимает стандартный порт), либо bind9 с плагином samba_dlz, которому надо кое что "объяснить"

Тут в "топорном" варианте получается что он все это MS-хозяиство реплицирует в себя "как есть"
В основной зоне ДОМЕН.СУФФИКС получается что-то типа....
$ORIGIN _tcp.default-first-site-name._sites.dc._msdcs.ДОМЕН.СУФФИКС.
_kerberos SRV 0 100 88 s2.ДОМЕН.СУФФИКС.
SRV 0 100 88 mos-srv.ДОМЕН.СУФФИКС.
$TTL 600 ; 10 minutes
_ldap SRV 0 100 389 s2.ДОМЕН.СУФФИКС.
SRV 0 100 389 mos-srv.ДОМЕН.СУФФИКС.
Чего для ресолвинга хватает более чем.
Но для обновлений через него - это не подходит. Нужны выделенные зоны _msdcs.ДОМЕН.СУФФИКС, _sites.ДОМЕН.СУФФИКС, _tcp.ДОМЕН.СУФФИКС, _udp.ДОМЕН.СУФФИКС, domainzones.ДОМЕН.СУФФИКС, forestzones.ДОМЕН.СУФФИКС
Что-бы к ним можно было обращаться напрямую...

Но это не самое интересное.
Все через оснастку "Сайты и службы"
Интереснее то, что я создал сайт "moskow-site" для филиала, привязал подсеть, перенес вторичный DC в новый сайт..... и обновлений в ДНС-е (на сервере windows 2008) нет. (ждал целую ночь)
О новом moskow-site нет даже упоминаний.....
Это нормально?