|
Перенос ролей контроллера домена
День добрый, уважаемые специалисты!
Провожу перевод всей сетевой инфраструктуры с windows mixed mode на windows 2003 native и столкнулся с небольшой проблемой. Всего в сети 3 контроллера домена: tolsty, master, center. Center - windows 2000, после просмотра dsquery и ntdsutil оказалось вот что: 1.Хозяин схемы - center 2.Хозяин именвоания домена - center 3.Хозяин инфраструктуры - master 4.Хозяин RID - master 5.Эмулятор PDC - center От center хочу полностью избавиться, по скольку 2000 серверу нет места в нашем строю) Роль Эмулятора PDC я перенес на tolsty и так же перенес сервер NTP. На этом этапе я столкнулся с проблемой, что master почемуто продолжает синхронизировать свое время с center хотя я в реестре все поставил так, чтобы он не считался доверенным поставщиком времени.... И так же вопрос по поводу переноса хозяина схемы и хозяина именования домена, какие проблемы и подводные камни могут возникнуть в процессе переноса и как лучше его осуществлять: через gui или через ntdsutil? Не могу определить порядок шагов по скольку у меня ситуация не вписывается в описанные микрософтом руководства: у меня и не миграция и не перенос, а чтото неясное... master и center оба являются серверами глобального каталога, нужно ли расширять схему до 2003 сервера до переноса роли Хозяина схемы или это можно сделать позже? Если честно я уже опасаюсь руководств мелкософта после того как переносил DHCP-сервер и послеэ того у меня полвоина серверов не функционировала изза того, ни у них ни у dhcp-сервера не было прав обновлять старые записи.... Я передал роль хозяина именования домена и роль хозяина схемы серверу master с помощью утилиты ntdsutil, теперь и у center и у master по 5 ролей. Теперь мне нужно вывести из домена сервер center? |
По поводу NTP - службу-то после этого перезапускали ? Что пишется в событиях masterа ?
Лично у себя перенос осуществлял через ntdsutil путем "отбирания" прав (принудительный захват, как будто сервер "уехал", так как RAID сдох). В вашем случае вроде все работает, поэтому будет достаточно понизить его роль в домене до обычного, через DCpromo. Глобальный каталог может быть на нескольких контроллерах (даже не может, а должен, назначается в оснастке службы и сайты без проблем) |
Вчера перенес роли с помощью ntdsutil transfer'ом, теперь вот как выглядит результат этой компанды:
Код:
Schema owner isl-master.infostroy.ruПотом возмникли сложности... 1.На сервере, который я понизил, лежит шара для всех отделов и соответственно служба DNS. Перезагружать сразу сервер я не стал, он штатно ребутится по расписанию в 4 утра. После рестарта с утра он был не доступен не через smb не через rdp ни через remote management, только пинговался и все. При заходе локально выдавал ошибку что не запущена служба netlogon. После рестарта вроде прошло, но осадок остался. 2.Служба DNS не удалилась. Я вручную удалил его из Компонентов Windows, удалил записи о нем из DHCP, но в записях DNS контроллера домена осталась информация о нем....Я удалил его из вкладки "Серверы имен", удалил из вкладки "WINS" и поставил репликацию "Для всех DNS-серверов, работающих на контроллерах домена" до этого стояло в режиме совместимости с win200.....Где еще могли остаться записи о нем? 3.Судя по логам сервера, к нему до сих пор обращаются клиентские машины для синхронизации времени, хотя я в реестре у него указал, что он не надежный источник, и при этом он уже не PDC, почему к нему обращаются блиН? Можно это както убрать? 4.В AD: Сайты и Службы осталась информация об этом сервере. Можно руками удалить ее или нужно проделать какуюто процедуру? Как я понимаю сервер не ото всюду себя удалил, возможно изза того что он был на 2000 операционке. Подскажите пожалуйста, как решить эти проблемы? Здесь есть вообще специалисты по Микрософту? |
1. На пользовательских машинах первый DNS основной КД или тот, что понизили ? Подключаются по IP или по Имени ? Попробуйте очистить DNS кэш на одной пользовательской машине и перезагрузить DNS сервер.
2. DNS сервер удаляли через удаление ролей в "управление данным сервером" ? Если нет, то записи могли остаться во всех ветках, проверяйте чтобы в них значился только основной КД. Также нужно указать основным DNS сервером основной КД и очистить DNS кэш (ipconfig /flushdns) 3. Те машины которые обращаются перезагружались или служба перезапускалась ? Что показывает комманда "net time /querysntp" на сервере и на пользовательской машине? 4. Да, можно вручную удалить. Если DCpromo завершился удачно, то там остался так называемый "мусор" Специалисты по мелкософту есть на http://support.microsoft.com, а здесь опытные пользователи. |
1.на пользовательских первый-основной, он так в настройках DHCP был указан.
Сервера DNS перезагружаются штатно каждую ночь, вот сегодня ночью перезагружались... 2.Удалял DNS через Установку\удаление компонентов...ну вот как раз основным сервером DNS является контроллер домена. А если удалять через роли, какие дополнительные процедуры он проделывает? 3.Те которые обращаются да, перезагружались, обычные клиенты которые тушат\запускают каждый вечер\утро свои рабочие места. 4.Ну на клиентских машинах на win7 эта команда считается устаревшей...я воспользовался w32tm /query /peers Код:
C:\Users\gmaleev>psexec \\isl-a0dev-saa w32tm /query /peersНа тех win xp которые я проверил пишет: Код:
Текущее значение SNTP: time.windows.com,0x1Код:
C:\Users\gmaleev>psexec \\isl-gama-vi w32tm /dumpreg /subkey:\ParametersГде в домене может храниться информация о серверах времени? Может настроить с помощью GPO? 4.Удалил=) Надеюсь ничего не развалится) Теперь появилась возможность поднять уровень домена до 2003... 5.Ну вы им льстите немного, один человек который мне "отвечал" по поводу переноса DHCP не знал что виндовая служба дает клиенту свой IP, чтобы он не слал широковещательные а обращался напрямую к этому dhcp-серверу, по этому у меня после переноса сервера dhcp через недельку благополучно поехали клиенты dhcp типа сервера sql баз которые не шатдаунятся никогда))) а другой индивид при переносе ролей сервера "реккомендовал" убрать вообще все контроллеры одмена кроме одного, сделать бэкап, снести на них винду, удалить единственный контроллер домена и восстанвоить бэкап на свежеиспеченном сервере, какой он маладец =))) |
На самом деле интересно получается, сервер стал рядовым, но при этом FSMO назначает его источником синхронизации...
Хотелось бы увидеть с обоих nltest и dcdiag (только под спойлер) |
да, именно, вот и я о том же) по этому у меня и появилась мысль что в AD может гдето храниться информация о серверах времени, не может же любой сервер после правки в реестре сказать (как??) всем о том что он надежный источник времени. Это же элементарный способ атаки: вызвать рассинхронизацию времени в сети, что нарушит доступ пользователей к рабочим местам изза того что при проверке выданного токена, АД будет видеть разное время и посылать клиента))
nltest на master The command completed successfully dcdiag на master: nltest на tolsty The command completed successfully dcdiag на tolsty: |
Эмм, сорри, мой косяк, не сказал какие именно параметры и от каких именно серверов.
Интересует: Также можно просмотреть кто владеет ролями (или если выразиться точнее, кого признают остальные сервера хозяином) netdom query fsmo Кстати dcdiag можете сразу фиксить: dcdiag /fix А эти данные увидеть хотел с основного КД и того, который уже рядовой (вроде как center). |
На center
nltest /dclist: nltest /domain_trusts nltest /dcname: netdom query fsmo dcdiag /fix вот както так) еще сделал nltest /SC_RESET: На сервере master: nltest /dclist: nltest /domain_trusts nltest /dcname: nltest /SC_RESET: dcdiag /fix посмотрел лог tolsty, нашел ошибку:  вылетела после ночного рестарта серверa.... еще не могу понять одну весч: домен у нас называется infostroy.ru, но если в параметрах команд типа nltest /dcname: написать infostroy.ru, то он выдаст ошибку, а если infostroy то нормально...Запутано както... По поводу синхронизации времени, все равно если сделать w32tm /query /status то получаю вот: Идентификатор опорного времени: IP-адрес сервера Center с которого я снял роль, до сих пор фигурирует... |
Ну прямо комедия, Center не признает хозяина PDC.
Цитата:
|
на нем пока висит несколько SQL баз и куча каталогов офиса продаж, сопровождения и тд, по этому выводить из домена я планировал только после того как все это файло перенесем на другой сервер, это уже в процессе, но не так уж и быстро...
я вот не понял почему он ошибку MSDTC вывел... |
| Время: 11:59. |
Время: 11:59.
© OSzone.net 2001-