копирование пользователей
 

подскажите в чем може быть загвоздка:
преамбула:
есть 2 офиса, в каждлм несколько отдельных доменов. В 1-м офисе подсеть 192.168.1.х, во втором 192.168.4.х
все компьютеры 2-х сетей прекрасно друг жруга видят.
амбула:
во 2-м офисе на сервере "А" в AD храниться куча пользователей, разнесенных по OU. Сервер А являеться домен контроллером и сервером DNS.
в 1-м офисе поднял новый сервер, с AD -"B".
Задача перенести пользователей с сервера А, на сервер B с паролями, правами и группами.
испробованно ADMT 3.0 и IDEAL Migration - результат "0"
в процессе поиска проблемы обнаруженно, что пользователь admin (существующий на серверах А и В) может попасть с сервера А на В но не может наоборот ((
выдаеться ошибка :

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 05.11.2009
Время: 14:21:59
Пользователь: Н/Д
Компьютер: А
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена NEWOFFICE по следующей причине:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.


Где копать корни этого события?

А поднять на сервере В дополнительный КД для А почему не подходит?
Устанавливали ли вы доверительные отношения между доменами перед миграцией?

доверительные отношения почему то не устанавливает - говорит что не видет друг друга .... с В на А и с А на В - выдаеться ошибка что сервер не работоспособен

разрешение имен как настраивали?

сервер В является wins для обоих сетей, DNS на А и внешний на Linux. на linuxe В прописан как B.office

ipconfig /all с обоих КД покажите

Сервер А
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : А
Основной DNS-суффикс . . . . . . : oldoffice.company
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : oldoffice.company

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Embedded Broadcom NetXtreme 5721 PCI-E Gi
gabit NIC
Физический адрес. . . . . . . . . : 00-16-35-B1-63-E2
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.4.3
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.4.1
DNS-серверы . . . . . . . . . . . : 192.168.4.3
192.168.1.1
Основной WINS-сервер . . . . . . : 192.168.1.7

Сервер В.
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : В
Основной DNS-суффикс . . . . . . : Newoffice.company
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : Newoffice.company

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82575EB Gigabit Network Connecti
on
Физический адрес. . . . . . . . . : 00-15-17-B1-13-80
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.7
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.244
DNS-серверы . . . . . . . . . . . : 192.168.1.1
192.168.4.3
Основной WINS-сервер . . . . . . : 192.168.1.7

На компьютере B установлен DNS-сервер? Что такое 192.168.1.1?

1.1 - linux DNS сервер
нет на В DNS не стоит

ресурсные записи контроллера домена В все зарегестрированы на 1.1?

а какие записи там должны быть? просто его не я админю - надо уточнять

Открываете файл netlogon.dns на сервере В там они перечислены.
А вообще странная идея использовать linux для этого. Лучше поднять dns на сервере B и указать в свойствах TCP\IP его самого, как это сделано на A

выслал файл нашему unix- админу

на всякий случай подниму ему собственный DNS ))

сенкс за подсказки - завтра продолжу его мучать

DNS поднял - не помогло ((
при попытках установить доверительные отношения с одной или другой стороны - выдается ошибка что домен не найден (

Создайте на серверах А и В дополнительные зоны ДНС друг друга. Для проверки разрешения имен с каждого сервера выполните ping oldoffice.company и ping Newoffice.company

создал, с А все пингуется, с В - нет ( , по доверию тоже самое (

добавил руками запись -= все запинговалось
теперь при установлении доверия пишет

При проверке входящего доверия произошли следующие ошибки:
Произошла ошибка 1355 при проверки пароля доверия: Указанный домен не существует или к нему невозможно подключиться.
Будет предпринята попытка переустановить безопасный канал.
Ошибка 1355 переустановки безопасного канала: Указанный домен не существует или к нему невозможно подключиться.

При проверке исходящего доверия произошли следующие ошибки:
Произошла ошибка 1787 при проверки пароля доверия: База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции.
Будет предпринята попытка переустановить безопасный канал.
Ошибка 1787 переустановки безопасного канала: База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции.

Добавлен пользователь с правами домен админа - одинаковый в 2-х доменах

все заработало

Сорри но проблема оказалась не решена, а только отложена ....

пробую переност пользователей с помощью ADMT.источник - домен А, приемник - В. при запуске ADMT на контроллере B - выдаеться ошибка "unable to establish а session with the password export server. Отказанно в доступе". на контроллере домена А запущена соответствующая служба с ключом сгенерированным на В для А.

Откуда брали дистрибутив для PES?

с сайта MS. тока вот еще одно на B - 2003 x64, а на А - х32

В реестре на сервере экспорта паролей внесли изменения (ключ AllowPasswordExport)?

на А - да. AllowPasswordExport=1

Попробуйте поставить password export server с дистрибутива ADMT. После установки ADMT на компьютер он располагается, вроде здесь %windir%\ADMT

на источник или целевой? на источнике я так и делал, а на целевом - ругнулся чо он не для х64, поэтому скачал с M$ отдельно.

А откуда вы учетки с паролями тягаете - туда и ставьте. Стало быть на источник

так я так и делал,
ключ сгенерировал на целевом командой
admt key /option:create /sourcedomain: "Источник" /keyfile:с:\Key /keypassword:*
и подсунул его приинсталяции сервиса на источник

А попробуйте тогда взять pwdmig c дистрибутива 2003 \i386\admt\pwdmig

а если ставить с дистрибутива - то служба вообще не появляется (((

Ни у кого больше не никаких идей? очень нехочеться полторы сотни юзеров руками переносить((((