duke55
22-11-2007, 15:07
Камрады, поможите...
Зае..мучался до слез уже... Месяц не могу решить траблу: надо смигрить дочерний домен старой организации для запуска в самостоятельное плавание. Для этого решил воспользоваться Active Directory Migration Tool v3. Сделал все по книшке (мануал о 300 листьях от родителей "ADMT v3 Migration Guide Microsoft Corporation Published: November 2006"). В итоге после вот этих (http://img519.imageshack.us/my.php?image=admtv3my8.jpg) шагов получаю в логе:
2007-11-22 14:05:07 Starting Account Replicator.
2007-11-22 14:05:09 ERR2:7697 Unable to get global catalog server name for forest 'nvutt.ru'. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 ERR3:7585 The account replicator is unable to continue. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 Operation completed.
Домены делегированы друг другу в плане полного доступа группы Domain Admins, на исходном сервере в "Active Directory Users and Computers" свободно подключаю каталог целевого домена с полными правами . LDP тоже пишет все тип-топ. Может кто просветит?
на всякий случай:
1. LDP на исходном домене выдает след:
ld = ldap_open("nvutt.ru", 389);
Established connection to nvutt.ru.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 11/22/2007 14:22:33 Russian Standard Time Russian Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> dsServiceName: CN=NTDS Settings,CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
5> namingContexts: DC=nvutt,DC=ru; CN=Configuration,DC=nvutt,DC=ru; CN=Schema,CN=Configuration,DC=nvutt,DC=ru; DC=DomainDnsZones,DC=nvutt,DC=ru; DC=ForestDnsZones,DC=nvutt,DC=ru;
1> defaultNamingContext: DC=nvutt,DC=ru;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> configurationNamingContext: CN=Configuration,DC=nvutt,DC=ru;
1> rootDomainNamingContext: DC=nvutt,DC=ru;
21> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange;
1> highestCommittedUSN: 78928;
4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5;
1> dnsHostName: nvutt-dc1.nvutt.ru;
1> ldapServiceName: nvutt.ru:nvutt-dc1$@NVUTT.RU;
1> serverName: CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
1> domainFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> forestFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> domainControllerFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
-----------
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3
{NtAuthIdentity: User='administrator'; Pwd= <unavailable>; domain = 'jrnnvts'.}
Authenticated as dn:'administrator'.
2. настройки DNS вот такие (http://img156.imageshack.us/img156/9187/dnsnsitespf4.jpg)
а так же:
1. Оба домена вместе с контроллерами подняты до уровня 2003,
2. меж ними двусторонние трасты,
3. SID filtering похерен,
4. аудит доступа к объектам в доменах настроен,
5. группы Everyone и Anonymous добавлены в Pre-Windows 2000,
6. локальные группы с долларами, соответствующие NetBIOS именам доменов, созданы,
7. Реестр на сетевой доступ к RPC настроен (TcpipClientSettings=1)
8. в политике безопасности контролллеров доменов : Network Access: Let everyone permission apply to anonymous user включено!
де еще капать ума не приложу... Есть подозрение, что неправильно настроил DNS или недонастроил (смущает серая папка _msdcs)...
... З.Ы. До этого ковырял ADMT 2... Дело продвинулось немного дальше (перетянул группы, учетки пользователей и компьютеров), но с кучей косяков (новый домен писал что пользователи отключены вседствие ограниченности учетной записи в новом домене), посему решил покопать тройку...
Зае..мучался до слез уже... Месяц не могу решить траблу: надо смигрить дочерний домен старой организации для запуска в самостоятельное плавание. Для этого решил воспользоваться Active Directory Migration Tool v3. Сделал все по книшке (мануал о 300 листьях от родителей "ADMT v3 Migration Guide Microsoft Corporation Published: November 2006"). В итоге после вот этих (http://img519.imageshack.us/my.php?image=admtv3my8.jpg) шагов получаю в логе:
2007-11-22 14:05:07 Starting Account Replicator.
2007-11-22 14:05:09 ERR2:7697 Unable to get global catalog server name for forest 'nvutt.ru'. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 ERR3:7585 The account replicator is unable to continue. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 Operation completed.
Домены делегированы друг другу в плане полного доступа группы Domain Admins, на исходном сервере в "Active Directory Users and Computers" свободно подключаю каталог целевого домена с полными правами . LDP тоже пишет все тип-топ. Может кто просветит?
на всякий случай:
1. LDP на исходном домене выдает след:
ld = ldap_open("nvutt.ru", 389);
Established connection to nvutt.ru.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 11/22/2007 14:22:33 Russian Standard Time Russian Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> dsServiceName: CN=NTDS Settings,CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
5> namingContexts: DC=nvutt,DC=ru; CN=Configuration,DC=nvutt,DC=ru; CN=Schema,CN=Configuration,DC=nvutt,DC=ru; DC=DomainDnsZones,DC=nvutt,DC=ru; DC=ForestDnsZones,DC=nvutt,DC=ru;
1> defaultNamingContext: DC=nvutt,DC=ru;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> configurationNamingContext: CN=Configuration,DC=nvutt,DC=ru;
1> rootDomainNamingContext: DC=nvutt,DC=ru;
21> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange;
1> highestCommittedUSN: 78928;
4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5;
1> dnsHostName: nvutt-dc1.nvutt.ru;
1> ldapServiceName: nvutt.ru:nvutt-dc1$@NVUTT.RU;
1> serverName: CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
1> domainFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> forestFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> domainControllerFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
-----------
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3
{NtAuthIdentity: User='administrator'; Pwd= <unavailable>; domain = 'jrnnvts'.}
Authenticated as dn:'administrator'.
2. настройки DNS вот такие (http://img156.imageshack.us/img156/9187/dnsnsitespf4.jpg)
а так же:
1. Оба домена вместе с контроллерами подняты до уровня 2003,
2. меж ними двусторонние трасты,
3. SID filtering похерен,
4. аудит доступа к объектам в доменах настроен,
5. группы Everyone и Anonymous добавлены в Pre-Windows 2000,
6. локальные группы с долларами, соответствующие NetBIOS именам доменов, созданы,
7. Реестр на сетевой доступ к RPC настроен (TcpipClientSettings=1)
8. в политике безопасности контролллеров доменов : Network Access: Let everyone permission apply to anonymous user включено!
де еще капать ума не приложу... Есть подозрение, что неправильно настроил DNS или недонастроил (смущает серая папка _msdcs)...
... З.Ы. До этого ковырял ADMT 2... Дело продвинулось немного дальше (перетянул группы, учетки пользователей и компьютеров), но с кучей косяков (новый домен писал что пользователи отключены вседствие ограниченности учетной записи в новом домене), посему решил покопать тройку...