[решено] Добавление Windows 2003 к домену 2000 (рядовой сервер, контроллер домена)
 

Приветствую!
Есть домен под управлением W2k
при попытке подключить сервер с WinServer2003 к домену ничего не получилось. ругается что лес не удалось настроить, предлагает воспользоваться dcprep.
Как правильно (последовательность?) подключить в домен W2k сервер с WinServ2003?
заранее спасибо!

Включение сервера W2003 в домен W2k, проблема...
 

Borzov
Извини, а в каком режиме находиться W2K домен: Mixed или Native ?

Включение сервера W2003 в домен W2k, проблема...
 

а где это можно точно посмотреть?

Включение сервера W2003 в домен W2k, проблема...
 

Посмотрел, режим работы Mixed

Включение сервера W2003 в домен W2k, проблема...
 

Borzov
Ну так вот, нужно сменить режим работы W2K домена на Native, только потом включать W2003 в домен.
Причем на каждом контроллере домена W2K.
Когда домен находиться в Mixed режиме, то в него могут входить контроллеры WinNT
Тоже самое можно сказать и про W2003, у него тоже есть Mixed и Native режим, в Mixed могут быть W2K контроллеры, а в Native только W2003.
Так что действуй !!!

Есть основной контроллер домена под управлением W2K adv, необходимо перевести контроллер на другой компьютер под управлнием WServer 2003 ent, с сохранением юзеров. Как это правильно сделать?
Желательно подробную инструкцию, ибо я начинающий админ. Заранее Спасибо!

Включение сервера W2003 в домен W2k, проблема...
 

Borzov
из стандартного хелпа Windows 2003:

Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.

Причина.  Предпринята попытка подключения к контроллеру домена, работающему под управлением Windows 2000, на котором не установлен пакет обновления 3 или более поздний.

Решение.  Установите на этот контроллер домена, работающий под управлением Windows 2000, пакет обновления 3 или более поздний.


Добавлено:

pazdak
что-то я не припомню требований к смешанному и основному режиму работы ДК при подключении клиента на Windows Server 2003. Ссылку на MS можете привести где об этом говорится?

элементарно.
с дистрибутива выполняете автозапуск, из появившегося меню выбираете что-то вроде "Выполнить проверку" (checkupgrade only) и читаете созданный отчет.
В отчете перечисляются выполяняющиеся на вашем сервере роли идаются рекомендации по обновлению.

Для ДК (не ниже SP2 уже должен быть) необходимо выполнять
ADPrep /forestprep on the schema master in your Windows 2000 forest.
ADPrep /domainprep on the Infrastructure Master in each AD domain.

ну и вот:
How to Upgrade Windows 2000 Domain Controllers to Windows Server 2003

Включение сервера W2003 в домен W2k, проблема...
 

Контроллер домена под управлением Win2K Adv SP4.
Но это не работает. SkyF, что можешь еще посоветовать?

Включение сервера W2003 в домен W2k, проблема...
 

Borzov
А что конкретно сообщает система? При этом в журналы пишется что-нибудь с этим связанное?
а в файловых логах:
например: c:\WINNT\Debug\NetSetup.LOG что по поводу добавления говорится?

Включение сервера W2003 в домен W2k, проблема...
 

все по порядку:
запускаю в winserv2003 dcpromo, там два пункта: основной в новом домене и добавочный в существующем домене...
я выбираю добавочный, затем отвечаю на несколько вопросов и он далее начинает процедуру настройки добавочного контроллера. и ошибка: не совместимость леса основного контроллера и контроллера сервера 2003, предлагает примениь программу dcprep для подготовки леса и домена основного контроллера....
в журналах ничего плохого не пишет. В NetSetup.LOG:
"03/31 09:40:26 NetpDoDomainJoin
03/31 09:40:26 NetpMachineValidToJoin: 'PR2'
03/31 09:40:26 NetpGetLsaPrimaryDomain: status: 0x0
03/31 09:40:26 NetpMachineValidToJoin: status: 0x0
03/31 09:40:26 NetpJoinDomain
03/31 09:40:26 Machine: PR2
03/31 09:40:26 Domain: dep.local
03/31 09:40:26 MachineAccountOU: (NULL)
03/31 09:40:26 Account: dep.local\Administrator
03/31 09:40:26 Options: 0x27
03/31 09:40:26 OS Version: 5.2
03/31 09:40:26 Build number: 3790
03/31 09:40:26 NetpValidateName: checking to see if 'dep.local' is valid as type 3 name
03/31 09:40:26 NetpCheckDomainNameIsValid [ Exists ] for 'dep.local' returned 0x0
03/31 09:40:26 NetpValidateName: name 'dep.local' is valid for type 3
03/31 09:40:26 NetpDsGetDcName: trying to find DC in domain 'dep.local', flags: 0x1020
03/31 09:40:29 NetpDsGetDcName: failed to find a DC having account 'PR2$': 0x525
03/31 09:40:29 NetpDsGetDcName: found DC '\\pr.dep.local' in the specified domain
03/31 09:40:29 NetpJoinDomain: status of connecting to dc '\\pr.depfin.local': 0x0
03/31 09:40:29 NetpGetLsaPrimaryDomain: status: 0x0
03/31 09:40:29 NetpGetDnsHostName: Read NV Hostname: pr2
03/31 09:40:29 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: dep.local
03/31 09:40:29 NetpLsaOpenSecret: status: 0xc0000034
03/31 09:40:29 NetpGetLsaPrimaryDomain: status: 0x0
03/31 09:40:29 NetpLsaOpenSecret: status: 0xc0000034
03/31 09:40:29 NetpJoinDomain: status of creating account: 0x0
03/31 09:40:29 NetpGetComputerObjectDn: Cracking DNS domain name dep.local/ into Netbios on \\pr.depfin.local
03/31 09:40:29 NetpGetComputerObjectDn: Crack results: name = DEP\
03/31 09:40:29 NetpGetComputerObjectDn: Cracking account name DEP\PR2$ on \\pr.dep.local
03/31 09:40:29 NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=PR2,CN=Computers,DC=dep,DC=local
03/31 09:40:29 NetpModifyComputerObjectInDs: Initial attribute values:
03/31 09:40:29 DnsHostName  =  pr2.dep.local
03/31 09:40:29 ServicePrincipalName  =  HOST/pr2.dep.local  HOST/PR2
03/31 09:40:29 NetpModifyComputerObjectInDs: Computer Object already exists in OU:
03/31 09:40:29 DnsHostName  =
03/31 09:40:29 ServicePrincipalName  =
03/31 09:40:29 NetpModifyComputerObjectInDs: Attribute values to set:
03/31 09:40:29 DnsHostName  =  pr2.dep.local
03/31 09:40:29 ServicePrincipalName  =  HOST/pr2.dep.local  HOST/PR2
03/31 09:40:29 ldap_unbind status: 0x0
03/31 09:40:29 NetpJoinDomain: status of setting DnsHostName and SPN: 0x0
03/31 09:40:29 NetpGetLsaPrimaryDomain: status: 0x0
03/31 09:40:30 NetpSetLsaPrimaryDomain: for 'DEP' status: 0x0
03/31 09:40:30 NetpJoinDomain: status of setting LSA pri. domain: 0x0
03/31 09:40:30 NetpJoinDomain: status of managing local groups: 0x0
03/31 09:40:30 NetpJoinDomain: status of setting netlogon cache: 0x0
03/31 09:40:30 NetpJoinDomain: status of setting ComputerNamePhysicalDnsDomain to 'dep.local': 0x0
03/31 09:40:30 NetpUpdateW32timeConfig: 0x0
03/31 09:40:30 NetpJoinDomain: status of disconnecting from '\\pr.dep.local': 0x0
03/31 09:40:30 NetpDoDomainJoin: status: 0x0

Включение сервера W2003 в домен W2k, проблема...
 

Borzov
на домене 2000 выполняли Adprep.exe из дистрибутивного каталога \i386 Windows Server 2003?
adprep /forestprep: Runs forest upgrade operations.
adprep /domainprep: Runs domain upgrade operations

How to Upgrade Windows 2000 Domain Controllers to Windows Server 2003
подраздел: Overview: Upgrading Windows 2000 Domain Controllers to Windows Server 2003

И еще:Это неправильный вопрос бул изначально - не сервер вы к домену подключали, а поднимали дополнительный контроллер домена на Windows 2003. Это разные вещи..

ок, тогда следующие вопросы:
1) WinServ2003 советует использовать команду DcPrep, а ты советуешь adprep, какую точно команду надо использовать?
2) как правильно пользоваться командой adprep (dcprep)? Надо ли отключать контроллер от сети в момент использования данной команды? Есть подробная инструкция по поднятию дополнительного контроллера домена WinServ2003 в домене Win2000?

Borzov
Если разобрался, помоги мне. Проблема в том же и такая же.
Надеюсь на HELP.
С уважением Евгений К.
---нарушение общих правил форума 3.16 ---


[s]Исправлено: SkyF, 22:58 7-04-2004[/s]

Borzov
1. adprep.exe
2. я указал ссылку на статью выше. отключать не нужно.

выполняли ли вы указания из статьи? Сколько всего доменных контроллеров в вашей сети? Если несколько, то возможно, необходимо было подождать по окончании процесса синхронизации между всеми КД?

У меня есть контроллер домена на win2k srv sp4 и комп член домена на win2k3 srv. Хочу сделать общее дерево. Делаю раз: добавляю машину в домен, делаю два: добавляю машину в контроллеры домена в АД, делаю три: поднимаю АД на win2k3 (как дополнительный контроллер) и ....... говорит, что какие-то ошибки ДНС (не могу найти домен и др.)

adprep /forestprep /domainprep на win2000srv сначало запускали?
Если нет, то запустите. Найти можно в дистрибутиве w2003, но сначало лучше почитайте про него.

Все сделал, но после начала процедуры репликации мне говорила что Access Denied и просила ввести учетку администратора домена. Вводил и все равно ничего хорошего.

Незнаю.
Я, например, Ваш шаг два не делал.
Днс сервер правильно указан?

Приветствую всех!

Подскажите, возможно ли сделать 2003 сервер вторичным DC в домене на 2000-х виндах (SP4)?

Заранее спасибо!

Насколько я понимаю для этого надо:
1)в пр-ме AD Users and Computers правой кнопкой по имени домена выбрать функцию Operation masters, а в ней на всех вкладках передать (Transfer) ф-цию operation master серверу win2000
2)в пр-ме AD Sites and Services открыть в дереве все сервера и в свойствах NTDS settings у сервера win2003 снять галку Global Catalog на вкладке General, а у сервера win2000 эта галка должна быть.
Все сервера при этих операциях должны быть соединены сетью и нужно проверить аналогичность упомянутых установок на них,
можно запуская оснастки с другого сервера на одном из них.

Если я в чем-то не прав, пусть меня поправят

SergOst, ты не прав

Вначале надо повысить 2003-й до уровня DC.
Это делается через утилиту DCPROMO

И лишь только после того, как будут работать два DC в домене, уже заниматься распределение ролей на них

Очень хорошая ветка на эту тему есть на
http://forum.ru-board.com/topic.cgi?...p;topic=5603#1

там описаны очень многие проблемы, с которыми сталкиваешься в работе с DC

Добавлено:

кстати, в домене 2000 и выше отсутствует понятие первичного и баккап домен контроллеров. Контроллеры домена равнозначны по статусу.
Но существует 5 ролей FSMO, каждая из которых может быть только на одном контроллере. (Одна из них, PDC emulator, которая выполняет эмуляцию PDC для Win9X клиентов). Если контроллер один, то все эти роли находятся на одном контроллере. Если же контроллеров несколько, то эти роли можно разнести по разным DC. Подробнее
http://support.microsoft.com/default...roduct=win2000


[s]Исправлено: AlexSSS, 22:40 10-09-2004[/s]

SergOst
AlexSSS

ИМХО Вы оба не правы.
насколько я понимаю, вопрос заключается в следующем:
- как сделать 2003 сервер доменных контроллером в домене на 2000х серверах?

тогда необходимо выполнить предварительно команду adprep /forestprep & adprep /domainprep из дистрибутива 2003 на КД с 2000м сервером.

после этого сервер 2003 можно добавлять в качестве дополнительного контроллера домена (dcpromo).
ЗЫ если в сети есть клиенты 9Х, NT придется заранее подготовиться к проблемам (поищите на форуме или на сайте производителя ОС)

наверно, надо рассматривать 2 случая:
1)существовал домен с win2003, к нему добавился контроллером домена win2000 и нужно, чтобы win2000 стал главным, а win2003 можно было бы отключить.
2)существовал домен с win2000, к нему добавился контроллером домена win2003, но он должен быть не главным.

Я в своем ответе рассматривал случай 1). Он очень жизненный, был триальный win2003, триальность кончилась, надо вернуться к старому верному win2000.
a)Зачем запускать dcpromo, если у меня и так win 2000 в AD users... числится в DC? и на нем я могу спокойно добавлять юзеров и делать другую работу?(он где-то при инсталляции спросил об этом)

b)после adprep насколько я понял AD win2000 обновится до AD win2003 и появится ненайденный мной на win2000 AD Shema
Так ли это? И что надо сделать дополнительно к моему первому ответу, чтобы достичь варианта 1) в AD Shema?

В случае же варианта 2), который я уже проходил, при подключении win2003 дополнительным DC к домену win2000 и желании провести репликацию данных AD сразу на win2000 высвечивается предложение сделать adprep, как написал SkyF и думать ничего не нужно. А win 2003 поключится именно "секондари" Т.к. 2) случай тривиален, то вопрос относился к 1)случаю и окончательного ответа пока на него нет.

У меня есть домен под 2000 виндой, пытаюсь поставить туда еще один контролер домена,  вспомогательный, под 2003.
Выбираю Additional domain controller for an existing domain. После указания необходимых паролей и других организационных вопросов мне выдается сообщение The operation failed because:
the version of Active Directory schema of the source forest is not compatible with the version
of Active Directory on this computer.
Вопрос такой можно связать 2000 с 2003?

уточнение к предыдущей записи.
Если нельзя связать, тогда пробовал кто-нибуть на 2000 поверх 2003 натянуть, а то сервер рабочил эксперименты на нем не желательны...

Guest
i386=>adprep.exe
на 2003=>dcpromo=>поднимаем
+ передаем 2003 глобальный каталог
на 2000=>dcpromo=>"опускаем":biggrin:
радуемся

Fighter

Ты имеешь ввиду создаем новый домен на 2003?

Добавлено:

adprep с каким ключом запускать?

чего то я совсем запутался:
adprep.exe  предлагает ее запустить на контроллере, т.е. на 2000
потом мне надо dcpromo запустить на 2003. я правильно все понял?

W2k3
Пуск=>Справка и поддержка  Найти=>adprep
там все написано :up:
да, "оно" Вам предлагает подготовить Ваш домен (лес) 2000
для перехода на 2003
я бы извернулся проще...
устанавливаем W2k3 "вгоняем" его в состав домена под W2K
ну а дальше проделываем все вышепривед. т.е. подготавливаем
АД на 2000 пожнимаем ее "дубль" на 2003, передаем все роли,
реплицируем, "опускаем" 2000 до резервного контроллера домена
(если все ок по желанию "убиваем" АД 2000)  
успехов :)

:biglaugh: спасибо всем! Все сделалось в лучшем виде.

Добавления win2003 к домену 2000
 

Здравствуйте, помогите пожалуйста, имеется сервак под управлением Windows 2000 Server RUS, со службами Active Directory, DNS, DHCP, Terminal windows + Citrix Metaframe, сервак нормально работает, решил я добавить еше один контролер домена под управлением Windows Server 2003 Enterprise ENG, обновляю домен согласно статьи 32579 support.microsoft.com, делаю на первом серваке adprep /forestprep, все пробегает, затем adprep /domaiprep, а он мне пишет «Forest-wide information needs to be updated before the domain-wide information can be updated.» требует что я сделал первое действие, работаю в режиме терминала (может из за этого),
Помогите пожалуйста!

Перезагружались после adprep /forestprep?
журналы результатов работы обновления adprep - что говорят?

Да перезагружался
вот отчет

salik_alua
давайте начнем с проверки настроек вашего домена. как развернута сетевая инфраструктура и возможные проблемные хвосты после изменения вами конфигураций домена.
Идем в советы для раздела Windows server (см на URL ссылки в подписи) - и выполняем:

1. через журналы системы (если есть то и доменных контроллеров): откройте оснастку Просмотра событий - eventvwr.msc и обратите внимание на сообщения в журналах, в компонентах имеющих отношение к вашей ситуации. Используйте Базу Знаний Microsoft.com для решения проблемы, например в поиске Microsoft, или на сторонних сайтах, таких как EventID.Net
2. Кстати, если ваша ошибка связана с доменом, тогда смотрите Рекомендации по настройке контроллеров домена Windows и проверьте что создали ваш домен хотя бы в чем-то верно (используйте утилиты тестирования из Resource Kit Tools - netdiag.exe /v и dcdiag.exe /v (набор утилит качаем с Microsoft ), а также утилиту анализа и диагностики MS серверов Microsoft Product Support's Reporting Tools)

Те смотрим журналы ОС и смотрим отчеты утилит.
ЗЫ это я к тому чт оне все в порядке с вашим доменом, поэтому не идет обновление схемы AD.

Спасибо большое получилось AD в Win2000 обновился все ОК
но теперь другая проблема Help Me Please
когда добавляю win2003 в домен 2000
появляется error

The operation failed because:
Active Directory could not replicate the directory partition CN=Schema,CN=Configuration,DC=ALUA-TERMINAL,DC=KZ from the remote domain controller alua.ALUA-TERMINAL.KZ.
"The source server is currently rejecting replication requests."

Помогите пожалуйста
за мной не заржавеет

ВАЖНОЕ ДОПОЛНЕНИЕ!

Используйте статью Microsoft об обновлении Windows 2000 до Windows Server 2003 - Upgrading from a Windows 2000 domain - от 21го января 2005

И еще, при обновлении создаются журналы в каталогах: %Systemroot%\system32\debug\adprep - анализ которых, возможно, сможет пролить свет на ваши ошибки обновления.

Сразу сделаем замечание: для SP1 процедура обновления немного изменилась. Кроме 2х обычных подготовок домена Windows 2000 необходимо выполнить обновление adprep /domainprep /gpprep для синхронизации шаблонов ОГП (объектов групповой политики) для каталогов SYSVOL.

данные об изменениях команды adprep находятся здесь: Изменения, вносимые в возможности средства Adprep.exe исправлением 324392 и пакетом обновления 1 (SP1) для Windows Server 2003


В соседнем разделе Сетевых технологий нашлась рекомендация от Priest_vlad о действиях при возникновении ошибки на этапе adprep /domain - Windows cannot determine the local sysvol location. Upgrade of Domain Group Policy Objects failed. (Не удается найти указанный файл. )


salik_alua

после чего получилось? укажите что у вас было. это поможет решить вашу схожую проблему и другим.


На экране появляется? В журнале Windows 2003? в журналах доменного контроллера?
Номер ошибки какой?

ВНИМАНИЕ! читайте правила конференции и раздела - там указано как в таких случаях поступать. а то приходится все их вас выуживать.

Удачи.

Ощибки Журналах Windows 2000
Приложение
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.
Больше ошибок нет

salik_alua
еще раз переспрошу:

salik_alua


Цитата:Спасибо большое получилось AD в Win2000 обновился все ОК
после чего получилось? укажите что у вас было. это поможет решить вашу схожую проблему и другим.


Цитата:появляется error
The operation failed because:
Active Directory could not replicate the directory partition CN=Schema,CN=Configuration,DC=ALUA-TERMINAL,DC=KZ from the remote domain controller alua.ALUA-TERMINAL.KZ.
"The source server is currently rejecting replication requests."

На экране появляется? В журнале Windows 2003? в журналах доменного контроллера?
Номер ошибки какой?

В журналах системы все события имеют номер. а также еще и время возникновения, имя сервера и другие параметры.
вот НОМЕР ошибки вы опять не сказали..

Возможно у вас событие имеет следующие параметры- Источник: SceCli событие с номером ID - 1202.
Если ответ -ДА, то вперед - к поиску по форуму по ключевым словам SceCli 1202.

SkyF
ошибку я исправил, на сервере 2000 нет ошибок, а на win2003 только одна ошибка
код: 1168,
Internal error: An Active Directory error has occurred.

Additional Data
Error value (decimal):
-1073741823
Error value (hex):
c0000001
Internal ID:
3000e54

For more information, see Help and Support Center at

http://go.microsoft.com/fwlink/events.asp. - тут нет ничего

пробую опять подключять контролер, все равно возникает ошибка перезагружал оба сервера, под разными Логинами

помогите кто нибудь в долгу не останусь! :read:

salik_aluaSalik, уважаемый. Как эту ошибку исправили? В третий раз спрашиваю уже.. Вы нам все время обещаете что не останетесь в долгу, однако сами помогать не желаете.

а вот по этому поводу что ->
?

номер ошибки-то какой? вы тоже уже ее исправили? каким образом?

Я вас спрашиваю, спрашиваю, уже третим сообщением. а вы монологами с нами общаетесь..

Первую ошибку я исправил вот так
зашел Active Directory - сайты и службы > Sites > Default-First-Site-Name > Servers > Server > NTDS Settings >
там было подключение (репликация) на этот же сервер, я удалил этот обьект, обновил домен при помоши adprep режиме Console (не в терминальном режиме), все получилось!

ошибку SceCli 1202 я исправил, в "Локальная политика безопасности" был пользаватель которого довно уже нету в базе AD, там вот такие были пользаватели {S-108....}, удалил их тоже, все

вот только win 2003 не подключается к домену win2000 выходить сообщение

The operation failed because:

Active Directory could not replicate the directory partition CN=Schema,CN=Configuration,DC=ALUA-TERMINAL,DC=KZ from the remote domain controller alua.ALUA-TERMINAL.KZ.

"The source server is currently rejecting replication request

что это кто нибудь с этим сталкивался
в журналах win 2000 нет ни одной ошибки, а вот win 2003 только одна ошибка

Идентификатор: ID 1168
Источник: NTDS General
Internal error: An Active Directory error has occurred.

Additional Data
Error value (decimal):
-1073741823
Error value (hex):
c0000001
Internal ID:
3000e54

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp. - тут ответа нету

salik_aluaэто когда вы новую систему 2003ю добавляете в качестве дополнительного контроллера?

попробуйте сначала ее добавить клиентом в домен 2000, а потом сделать дополнительным контроллером.

а 2000й сервер если попробовать в качестве дополнительного поставить - получится?

PS а вообще, лучше dcdiag /v на контроллере домена 2000 сделать сначала и посмотреть резальтаты.

Клиентом оно добавлялось.

Проблему устранил, во время обновления контролера домена Windows 2000 до 2003, нужно было отключить исходящую репликацию, вот так вот
repadmin /options +DISABLE_OUTBOUND_REPL

Вел эту команду повторно и проблема решилось