Перенос контроллера домена
 

Не могу нигде найти ответ. Может это нечто очевидное для всех, но у меня не выходит найти.

Имеется контроллер домена Server (win2008r1).
Хочу полностью все роли перевести на другой пк. А этот переустановить win2012.
Добавил второй контроллер домена DC2 (win2012). На него передал роль PDC.
Возникла следующая проблема. на старом контроллере пути к сценариям BAT, пути внутри Bat-файлов, Установка приложений MSI - все это я указывал через \\server\...

Сейчас я переношу на другой пк, и возник вопрос как сделать универсальный путь, не привязанный к конкретному пк, но четко указывающий на главный контроллер домена?
В идеале я бы использовал имя домена \\mydomain.local\... Но проблема в том, что по такому пути не открывается ни одна расшаренная папка (нет доступа).

Еще одна проблема при выполнении команды на рабочей станции ping mydomain.local (выдается либо правильно 192.168.1.3 (dc2), либо - как сейчас 192.168.1.1 (server)) Почему так - понять не могу.
Привожу результаты команд (результат одинаков на обоих контроллерах)

D:\>nltest /dclist:mydomain.local
Server.mydomain.local [DS] Сайт: Default-First-Site-Name
DC2.mydomain.local [PDC] [DS] Сайт: Default-First-Site-Name
Команда выполнена успешно.

D:\>netdom query FSMO
Хозяин схемы DC2.mydomain.local
Хозяин именования доменов DC2.mydomain.local
PDC DC2.mydomain.local
Диспетчер пула RID DC2.mydomain.local
Хозяин инфраструктуры DC2.mydomain.local
Команда выполнена успешно.

dcdiag проходит все проверки на обоих

Может это связано - dhcp я перенастроил на dc2, но dns пока не могу.
Роль DNS есть на обоих, записи обображаются одинаково, при добавлении\удалении записи на одном, после repadmin /syncall, она обновляется и на другом
НО: При отключении службы dns на server - dns перестает работать. Может потому и ip домена "гуляет"?

Добавлено:
Прошло немного времени и на той же рабочей станции ping mydomain.local выдал как надо 192.168.1.3
как-то это пугает
кроме указанных выше команд на серверах ничего не делал

Подымите роль DFS.У Вас на DNS серверах включена функция Round robin DNS.

Такие вещи изначально нужно было размещать в сетевой папке DFS
А теперь придётся разгребать кучу проблем. Как минимум - вы не сможете удалить установленные программы, поскольку msiexec не найдёт файл установки по старому пути.

В принципе для совместимости можете после удаления старого сервера создать в DNS псевдоним (cname) с именем старого сервера, указывающий на новый сервер, и открыть на новом сервере папку со старым именем.


Впрочем для небольшой сети проще будет поднять совершенно новый домен, прописать все групповые политики по образу и подобию старого (или импортировать), создать дерево DFS и использовать в политиках эти пути.
А затем зарегистрировать (или импортировать) всех пользователей со всеми документами и переустановить систему на всех компьютерах.

На счет DFS - действительно, так и надо сделать. Просто я прочитал, что ее нельзя использовать на контроллерах домена. Но сейчас уточнил, там похоже имелось ввиду - на старых системах.
Проблема в то, что DFS работает через имя домена. В моем случае - mydomain.local.
Я создал пространство имен dfs на DC2, добавил туда две сетевые папки с DC2.
Теперь через \\mydomain.local\dfs я их вижу и даже могу править.

Осталась проблема с "пляшущим" IP mydomain.local.
Причем на самом DC2 открывается по адресу \\mydomain.local то папки с SERVER, то с DC2
Я прочитал про Round robin DNS - дейстивительно галка стоит.
Но вещь вроде нужная во всех остальных случаях.
Как быть?

Мне надо чтобы при обращении к \\mydomain.local при доступности PDC (т.е. в моем случае DC2) - выдавался только он, а не как придется. Можно ли как-то так сделать?
Или сама логика работы DNS подразумевает при обращении к домену выдавать любой контроллер, а не PDC?

Можно ссылку где такой написано?
Так и должно все работать, если падает один КД второй предоставим Вам всю необходимую информацию.
А в чем причина такого требования? Если Вам все таки нужно привязать DFS к определенному серверу тогда используйте Stand Alone тип DFS, а не Domain Based.

http://www.oszone.net/15347/DFS
Предыдущая версия DFS и FRS в Windows Server 2003 -> рекомендации. Но повторяю - я уже понял, что это старая информация.

Я только начал осваивать DFS. Многого не понимаю.
пк Server я планирую под переустановку. А пока по-тихому перевожу все на DC2.
Вот создал я папку DomainPolicy на DC2, расшарил и хочу использовать для хранения скриптов в групповых политиках. Как правильно это организовать чтоб не зависеть от конкретного сервера?
Добавил ее в DFS (в \\mydomain.local\dfs).
На сервер SERVER добавил пространство имен \\mydomain.local\dfs.
но при обращении к \\mydomain.local видно папку dfs только если адресует к DC2, а если в данный момент вернуло SERVER, то такой шары нет.
Обязательно ли я должен ли я ее создать также на SERVER, расшарить, добавить в dfs и реплицировать, пока он работает, чтобы была видна при обращении к \\mydomain.local\dfs?

Для хранения скриптов используемых в групповых политика в Active Directory все есть и без DFS, это папка \\<имя Вашего домена>\SYSVOL\<имя Вашего домена>\scripts
При установке роли DFS какой тип указали??

Domain-based

sysvol не совсем подходит для нескольких скриптов. Мне там проще создать скрипт вызова скрипта из папки DomainPolicy. А в ней хранить скрипт, плюс к нему еще приходится хранить файлы конфигурации, картинки (для установки на раб. стол), профиль миранды для корпоративного чата, и т.п. А искать все это в sysvol, если потребуется что-то поправить ... Путь слишком муторный

Там же я планирую хранить msi для групповой установки

Да.
Компьютеры при включении ищут domain.local, потому что ничего другого о структуре домена не знают.
Сервер DNS выдаёт по этому имени IP-адреса всех контроллеров домена.


Поскольку у вас имя сервера domain.local соответствует нескольким разным серверам, то для использования сетевых папок \\domain.local\share данные сетевые папки должны быть созданы на всех серверах с данным именем.
Изначально контроллер домена использует только сетевую папку SYSVOL. Эта папка создаётся автоматически при повышении роли сервера до контроллера домена. При подключении к уже существующему домену для данной папки автоматически настраивается репликация (синхронизация) с другими контроллерами (в ранних версиях эта репликация работала без DFS через другие механизмы).
Для всех прочих доменных папок нужно создавать "дубли" и настраивать репликацию отдельно.
Конечные сетевые папки (которые вы подключаете к дереву DFS) дублировать не обязательно - в больших сетях их вообще предполагается размещать на отдельных файловых серверах.
Однако все "корни" DFS (те самые \\domain.local\dfs\) нужно прописать на всех контроллерах домена.


В смысле "не подходит". Вы можете создать под каждую задачу свою доменную политику, и в каждой политике для скриптов есть своя папка, которая открывается автоматически через консоль MMC управления политикой.

Как правильно прописать?
Папку DFS я вижу если обращаюсь по имени пк \\dc2\dfs или \\mydomain.local\dfs (но только, когда возвращается ip dc2).
на пк SERVER я добавил пространство имен \\mydomain.local\dfs. Но ничего не изменилось.
\\server - нет папки dfs
если \\mydomain.local\ возвращает ip server-а, то папки dfs тоже нет.
Либо я что-то не так делаю, либо что-то не сделал еще?
На данный момент на обоих серверах в настройках dfs картина одинаковая:
Управление DFS\ Пространства имен\ \\mydomain.local\dfs
в нем на вкладке Пространство имен две расшаренные папки DomainPolicy и DomainInstall
вкладка Серверы пространства имен - Включено \\dc2\dfs
Делегирование - Администраторы домена, Администраторы предприятия, Система.

Работаю под админом домена.
Но на SERVER нет папки dfs.

Реплицировать на SERVER пока не хотелось бы.
Идеи кончились......

Это понятно, я и не работаю через одну политику. Мне не нравятся заковыристые пути. Когда политик с полсотни и больше, найти нужную папку - муторно. Хотя если не получится с dfs, это наверно ещинственный выход. Но инсталляторы то мне куда девать? все равно dfs нужен.

добавил в серверы пространства имен \\server\dfs
в итоге появилась шара dfs на server. Может так и надо было?
Хотя в инструкциях я этого не нашел

Странно. Разве не должна была папка DFS распространиться на все контроллеры? Если вручную делать и один не указать, а dns вернет его, произойдет сбой? Пока не могу понять странную логику dfs

Если Вы ходите чтобы при выходе из строя одного сервера DFS продолжал работать, то необходимо добавлять несколько серверов которые будут являться серверами пространства имен.

Это я понял. Не понятно почему это не делается автоматом на все контроллеры. Один пропустишь - и пойдет сбой в сети. Вот это понять не могу
Хотя моя проблема, кажется, решена. Но буду наблюдать. А пока - спасибо всем за помощь.