В домене 2003 надо починить основной и единственный контроллер из-за сбоя рейда.
Установил в локсети другой контроллер 2003, включил в домен, установил на него АД и ДНС. Они открываются и идентичны главному контроллеру. В АД оба сервера в контроллерах числятся.
5 главных ролей на вспомогательный контроллер не переносил.
Выключаю главный контроллер для ремонта и сразу пользователи перестают аутентифицироваться на расшаренные ресурсы в сети.
Почему так может быть? Как исправить?

5 главных ролей на вспомогательный контроллер не переносил.
Выключаю главный контроллер для ремонта и сразу пользователи перестают аутентифицироваться на расшаренные ресурсы в сети.
Почему так может быть? »
а где логика? На вторичном сервере нет основных ролей, а основной сервер отключен. Странно, чё ж оно не работает? :laugh:
Перенести надо все роли на вторичный контроллер, понизить роль бывшего первичного и повысить вторичный до основного, перезагрузить всё, и после этого вывести бывший основной контроллер из домена. Т.е. бывший вторичный контроллер должен стать полноценным основным, иначе никак. После ремонта вводим теперь уже резервный контроллер в домен, и либо оставляем резервным, либо опять повышаем его до роли основного, с переносом ролей!

а где логика? »

Логика в том, что раз АД с пользователями на втором контроллере есть, то он должен по науке вроде как аутентифицировать, а иначе чем он отличается от рядового клиентского доменного компьютера. Для того он вроде как и нужен, и для подстраховки основного в вопросе аутентификации при его временной недоступности в больших сетях. Вот
https://winitpro.ru/index.php/2019/10/10/nastraivaem-backup-active-directory/
пишут "если у тебя несколько (5, 10 и т.д.) территориально разнесенных контроллеров домена Active Directory, то бэкапать AD вообще не нужно, т.к. при нескольких DC вы уже обеспечили высокую отказоустойчивость домена"


понизить роль бывшего первичного и повысить вторичный до основного »
Это повышение-понижение делается только переносом ролей или еще "выключатель" какой-то имеется?

он должен по науке вроде как аутентифицировать »
"вроде как", но нет. Во всяком случае, я уже наступал на похожие грабли, и именно с 2003-им.
Это повышение-понижение делается только переносом ролей или еще "выключатель" какой-то имеется? »
Собственно, вотЪ (https://www.itworkroom.com/down-dc-2003r2/), ну и в комментариях про ДНС. После выводим его из домена.
Ну и еще ссылочка (https://windowsnotes.ru/activedirectory/peredacha-i-zaxvat-rolej-fsmo/), и ещё почитать (https://forum.ixbt.com/topic.cgi?id=7:31092) ;)
ПС. а почему 2003й? Я бы перешел на более актуальную весию, 2012 хотя бы

а почему 2003й? »

Потому, что исходный домен на единственном PDC - 2003-й x86, и его никак невозможно повысить до 2008-го хотя бы из-за 2000-го уровня леса.
Никакие утилиты повышения не работают.

Спасибо за ссылки и за ответы.

Никакие утилиты повышения не работают. »
Ставьте 2012, например. Всё повысится (я так переходил, например, с 2003-го сразу на 2012R2, с повышением уровня леса)

с 2003-го сразу на 2012R2, с повышением уровня леса »
Я же говорю, лес с 2000-го не повышается никак. Поэтому заапгрейдить выше 2003-го невозможно. (Для апгрейда надо сперва повысить лес с 2000-го на 2003-й).
В чем причина непонятно.
Можно, конечно, попробовать повысить лес на этом запасном контроллере домена,в качестве железа которого я использую простую клиентскую машину, но, наверно он скопировался таким же дефектным, неповышаемым.

попробовать повысить лес на этом запасном контроллере домена »
да, как вариант. Я от 2003го избавился давно, староват он уже, для 2000-х и ХР в самый раз, под 10ку лучше использовать что-то более современное.