|
[решено] Создание дополнительного контроллера домена Windows 2003
Обьясните или подскажите где прочитать о функциях дополнительного контролера домена. При падении основного контролера перехватит ли он на себя функции основного домена или как?
|
www.networkdoc.ru можете узнать здесь
|
djsdm такое понятие как дополнительный контроллер домена в 2000 и 2003 виндах убрали, т.е. все контроллеры равнозначны и если например падает один контроллер, второй будет обслуживать, но вот только надо будет права ему давать на мастера схемы, и т.д. RaZZoRRo правильно сказал, на networkdocs.ru по этому поводу есть много хорошей инфы
|
fix! Создание дополнительного контроллера домена Windows 2003
Есть сервер, контроллер домена Windpws Server 2003 с DNS и WINS. Купили еще один сервер. Хочется сделать его дополнительным контроллером домена, а также вторым сервером DNS, и вторым WINS. Подскажите какие шаги необходимо сделать. Начал настраивать DNS, испортил зону на основном сервере. Как его вторым DNS сделать?
|
Настроил дополнительный контроллер с помощью мастера. Как проверить его работу?
|
galex
Вы можете редактировать первое сообщение, а не добавлять второе. Что именно Вы хотите проверить в работе второго DC? |
А вы основной сервак отключите, вторичный должен взять на себя его функции
|
monkkey
Я думал увидеть пользователей, компьютеры, записи DNS. В итоге ничего не видно. Dr_Diesel Так и делал. Из чего сделал вывод, что Active Directory не работает. Только выключил я второй сервер (который сделал дополнительным контроллером домена), потом выдернул сеть и включил. Он не дал войти на себя ни одним пользователем, включая Администратора. При подключении сети сразу зашел. Плюс удаленно администрировать себя позволяет только пользователю Администратор (основного контроллера домена), другим пользователям с правами администратора не дает. |
2 galex
проверьте : 1. Правильно ли вы создали DNS зону на втором DC (должна быть дополнительная) 2. Какие роли выдали второму DC (желательно эмулятор PDC и роль global catalog ;)) |
galex
как настроены репликации? Первый контроллер домена с AD интегрировать не пробовали? |
RaZZoRRo
Только что восстановил зону на основном сервере. Удалил роль DNS сервера на втором сервере. Создал снова. Пытаюсь подключиться к этому DNS серверу, пишет недоступен. С основным DNS сервером работает нормально. По моему что то я не то делаю |
Bloodsilver
Первый контроллер интегрирован с AD. |
2 galex
результат выполнения: nslookup "ip_второго_сервера " nslookup "имя_втрого_сервера" что показывает..??? |
1. *** xx.xxx can't find 10.0.0.40: Non-existent domain
2. name: xx1.xxx ip: 10.0.0.40 Т.е. первый случай с ошибкой, второй все хорошо И так с половиной компов, а другая половина и так и так правильно все выдает |
И удалить AD с этого сервера не могу. Пишет ошибка DNS. Как удалить то? Чтобы потом переустановить.
Удалил, dcpromo /forceremoval. Лучше бы не трогал! Комп теперь не в домене, пароля я не знаю от Администратор, я его сразу настраивал с паролем администратора домена. Чего делать? Спасайте! |
galex
Хватит плодить сообщения. Пользуйтесь РЕДАКТИРОВАНИЕМ сообщений |
galex
Почитай здесь. http://support.microsoft.com/default...d=kb;ru;238369 Может поможет. И еще http://support.microsoft.com/default...d=kb;ru;332199 |
galex
Цитата:
Прочитаем: Контрольный список для создания дополнительного контроллера домена в существующем домене
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory. Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов. Важно также отметить - что если первый DNS сервер имел особую дополнительную конфигурацию (например, включенный режим перенаправления (forwarding) запросов на внешние DNS сервера вашего провайдера) - необходимо сделать соответствующие изменения и на втором сервере DNS + если сеть защищена сетевым экраном - внести изменения и в его параметры, разрешая дополнительному серверу DNS выполнят внешние подключения. Если вы хотите теперь удалить первый контроллер домена из вашей сети - теперь сделать это самое время. 1. На первом контроллере домена (Он сейчас является владельцем 5 хозяев ролей и глобального каталога) регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server) 2. Выбираем режим обавления удаления ролей (Add/Rmove role) 3. Выбираем роль - Контроллера домена (Active Directory) (Domain Controller (Active Directory) ) и устанавливаем флаг "удалить эту роль". Нажимаем Далее. 4. Мастер установки Active Directory выдаст запрос о том, является ли этот сервер в сети - поседним контроллером домена, оставляем этот флаг пустым. 5. Задаем новый пароль для учетной записи локального администратора и завершаем работу мастера. и выполняем перезагрузку. 6. При этом все 5 хозяев операций переносятся на второй контролер домена. Роль глобального каталога с первого контроллера - также снимается. 7. После регистрации в системе - необходимо опять обратиться к консоли Управление Данным сервером (Manage Your Server) и удалить остальные роли с этого сервера (если они вам не нужны, или вы планируете выполнить переформатирование/переустановку системы на бывшем контроллере домена 1). 8. На оставшихся контроллерах домена - необходимо выполнить проверку журналов событий и выполнить коррекию конфигурации для DNS сервера. А именно - в свойствах всех зон необходимо удалить упоминания о бывшем контроллере домена (это записи о серверах имен - name Servers). 9. Можно выполнить простую проверку: на любой из систем домена ввести запрос для разрешения имен DNS: nslookup <your.domain> Вы должны получить список только существующих серверов имен (если было всего два контроллера домена и одновременно серверов DNS - то выводиться должен IP адреса последнего ( второго контроллера)). 10. Затем следйет изменить настройки всех систем в домене по использованию DNS в конфигурации TCP/IP (как на рабочи станциях, так и на серверах). Так как у нас больше службы на сервере DNS (который мы только что понизили) - то его IP адрес необхоимо убрать из списка "предпочитаемых DNS серверов", а на его место необходимо "поднять из альтернативных" IP адрес нашего единственного контроллера домена (или поправить весь список, если DNS серверов несколько). 11. После перезагрузки ОС - опять выполните проверку разрешения DNS имен на ваших системах (серверах и клиентах). Через команду nslookup. Выполните анализ системных журналов. 12. Сделайте резервную копию вашего доменного контроллера (ов). Дополню, что если возникает необходимость переустановить коннтроллер домена, можно использовать вот эту тему (в ней обсуждалось именно переустановка первого КД) - fix! Переустановка основного контроллера домена! 2all если кто вспомнит какие операции он выполняет в различных режимах работы домена - кидайте с эту тему. будет полезно всем. сейчас времени нет мне искать. ЗЫ Как это все проверить? очень просто: отключаем от сети первый контроллер, далее: а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.) конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера). ЗЫЫ выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД. ИМХО Примерно так. |
galex
сообщения о ваших дальнейших ошибках перенесены в тему: Ошибки после создания дополнительного контроллера домена Windows 2003 |
SkyF
У меня к Вам еще один большой вопрос. Как правильно настроить ADC чтоб при падении PDC домен был бы полностью работоспособным и соответственно, чтоб в этом случае сеть не падала? |
Что такое ADC?
|
monkkey
Что такое ADC? ADC - Active Directory Connector, устанавливается и настраивается для миграции Exchange 5.5 организации в 2000/2003 Но в данном контексте вообще вроде про Exchange речи небыло. Да и вообще не понятно где автор откапал PDC и BDC на 2003 контроллере, видимо впал в ностальгию по NT4 :) |
Кому непонятно, объясню:
PDC - Primary Domain Controller ADC - Additional Domain Controller |
Zuka каким боком здесь настройка ADC?
создавайте отдельную тему и все там... |
Fighter
Я правила форума знаю и вопрос тут задал потому, что изначально я тут советовался именно по настройке двух контроллеров домена. И этот вопрос является продолжением... |
Zuka
Правда что ли? Объясни плиз тогда чем они отличаются ? Я вот лично знаю 5 FSMO ролей http://networkdoc.ru/files/insop/ad/...ml?234790.html они могут быть сосредоточены и на одном сервере и на разных, не суть вообще. Так какой же из серверов по твоему PDC? Очевидно что который держит хозяина схемы или какой ???? Если уж взялся писать вопрос так распиши свои абстрактные термины, мол этот сервер держит такие роли, другой другие... а то ADC блин, а мы гадай что там у тебя :biggrin: И не забудь еще про одну роль, Global Catalog, тоже не так себе... Это я к тому что давайте не будем мыслить терминами NT4 говоря про Active Directory, хорошо ? |
Zuka
Как правильно настроить ADC чтоб при падении PDC домен был бы полностью работоспособным Оба сервера контроллера домена должны быть глобальными каталогами, DNS интегрированный в AD должен быть на обоих серверах и прописанный у пользователей. Если в сети есть компьютеры под управлением NT4, то при падении сервера держущего роль эмулятора PDC (а он может быть только один в домене), с NT4 не будут отрабатываться запросы. Все осатльные роли для функционирования рабочих станций и серверов до лампочки... |
Цитата:
Так что если взялись отвечать на вопрос, будьте повежливей. Прочитайте предыдущие 3 страницы этой темы, где мне помогал модератор этого форума SkyF. Там вы увидите что сокращения PDC и ADC постоянно использовались, и ни у кого не возникало проблем по этому поводу. |
прекращайте, ибо флем. есть желание прошу в соотв. раздел
или в ПМ Zuka я в этом не сомневаюсь... но мне, как учаснику, а потом уже и.о. модератора - непонятно каким образом решение проблемы с DNS с сопутств. событием, относится к корректной настройке дополнительного контроллера о коем Вы спрашиваете в данном топике. другими словами, п. 3.12 ОП налицо. что касается упомянутого сокращения, в данной ссылке ничего подобного нет. как вы сказали есть понятие, я бы это назвал обозначением, однако, что то мне подсказывает есть оно и в китайском языке... |
Fighter
OK, создам другую тему... Единственное, что непонятно, чего это такая паника устроена из-за сокращений PDC и ADC... Даже в Lingvo можно найти сокращение PDC - Primary Domain Controller |
Zuka Даже в Lingvo можно найти сокращение PDC - Primary Domain Controller Это относится к NT4. чего это такая паника устроена из-за сокращений PDC и ADC Да просто путаница возникает, реально для решения вопросов с DNS пофигу кто есть ху И для меня ADC - это AD Connector от эксчаги, вот и подумай какую кашу видят другие. Ща посмотрим чего там у тебя с ДНС... |
Zuka
Цитата:
Для чего чтобы подчеркнуть суть - для пользователей домена и их приложений не суть важно кто их КД (какая из реплик) будет обслуживать их запросы - главное чтобы обо всех КД было известно ВСЕМ операционным системам в домене. вот: fix! Создание дополнительного контроллера домена Windows 2003 2 All сообщения по дополнительному КД переношу к указанной теме |
fix! Ошибка при добавлении контроллера домена windows 2003 после переименования домен
Обыскал пол инета но так и не нашел ошибку - помогите я просто устал боротся с windows. Ошибка такая
Операция не выполнена по следующей причине: Active Directory не удается создать объект параметров NTDS для данного контроллера домена CN=NTDS Settings,CN=ADM,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=urbus,DC=ru на удаленном контроллере домена cds.urbus.ru. Убедитесь, что заданные сетевые учетные данные обладают достаточными разрешениями. "Службе каталогов не удается выполнить запрошенную операцию, поскольку выполняется операция переименования домена." |
Доброго дня (ночи)
Насколько я понял вопрос - вы пытаетесь создать дополнительный контроллер домена (ADM -?) В большинстве случаев ошибки в этой ситуации возникают по вине неправильной конфигурации самого первого контроллера домена. во-вторых из-за неправильного подключения к домену второй серверной системы. Поэтому, сделайте два хода: - прочитайте правила работы в разделе (они же рекомендации) - прочитайте наш раздел FAQ Windows Server 2003 - Администрирование №1 и №2 |
Пытаюсь создать дополнительный контроллер домена ADM
ipconfig /all, nslookup, netdiag etc - ошибок нет на компьтерах Тип события: Ошибка Источник события: NTDS General Категория события: Внутренняя обработка Код события: 1168 Дата: 17.03.2006 Время: 3:23:49 Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД Компьютер: ADM Описание: Внутренняя ошибка. Возникла ошибка Active Directory. Дополнительные данные Значение ошибки (десятичное): 183 Значение ошибки (шестнадцатеричное): b7 Внутренний ID: 3001183 Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". в событиях на добовляемом контроллере домена Тип события: Ошибка Источник события: NTDS General Категория события: Внутренняя обработка Код события: 1168 Дата: 17.03.2006 Время: 3:23:52 Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД Компьютер: ADM Описание: Внутренняя ошибка. Возникла ошибка Active Directory. Дополнительные данные Значение ошибки (десятичное): -1073741823 Значение ошибки (шестнадцатеричное): c0000001 Внутренний ID: 3000e54 Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp". DNS - BIND 9 настроен для обновления ,ни каких проблем при добовлении или удалении рабочих станций нет. Может быть то что переход на 2003 был осуществен переименованием домена? Но я выполнил все по инструкции. Если есть у кого информация прошу помоч. |
Event ID: 1168
а так же эту статью MS: How to troubleshoot RPC Endpoint Mapper errors ну и: Цитата:
|
Я уже запутался -
portqry -n problem_server -e 135 - отработало нормально portqry -n problem_server -o 1094,1025,1029,6004 TCP port 1094 (unknown service): NOT LISTENING TCP port 1025 (unknown service): LISTENING TCP port 1029 (unknown service): NOT LISTENING TCP port 6004 (unknown service): NOT LISTENING Параметры менял не помогает HKEY_Local_Machine\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Dcpromo.log 03/17 15:49:21 [INFO] Promotion request for replica domain controller 03/17 15:49:21 [INFO] DnsDomainName urbus.ru 03/17 15:49:21 [INFO] ReplicaPartner (NULL) 03/17 15:49:21 [INFO] SiteName (NULL) 03/17 15:49:21 [INFO] DsDatabasePath C:\WINDOWS\NTDS, DsLogPath C:\WINDOWS\N TDS 03/17 15:49:21 [INFO] SystemVolumeRootPath C:\WINDOWS\SYSVOL 03/17 15:49:21 [INFO] Account urbus.ru\administrator 03/17 15:49:21 [INFO] Options 131264 03/17 15:49:21 [INFO] Validate supplied paths 03/17 15:49:21 [INFO] Validating path C:\WINDOWS\NTDS. 03/17 15:49:21 [INFO] Path is a directory 03/17 15:49:21 [INFO] Path is on a fixed disk drive. 03/17 15:49:21 [INFO] Validating path C:\WINDOWS\NTDS. 03/17 15:49:21 [INFO] Path is a directory 03/17 15:49:21 [INFO] Path is on a fixed disk drive. 03/17 15:49:21 [INFO] Validating path C:\WINDOWS\SYSVOL. 03/17 15:49:21 [INFO] Path is on a fixed disk drive. 03/17 15:49:21 [INFO] Path is on an NTFS volume 03/17 15:49:21 [INFO] Start the worker task 03/17 15:49:21 [INFO] Request for promotion returning 0 03/17 15:49:21 [INFO] Поиск контроллера для домена urbus.ru, который содержит уч етную запись ADM$♪ 03/17 15:49:21 [INFO] Найден контроллер cds.urbus.ru для домена urbus.ru♪ 03/17 15:49:21 [INFO] Используется сайт Default-First-Site-Name для сервера \\cd s.urbus.ru♪ 03/17 15:49:21 [INFO] Forcing time sync 03/17 15:49:21 [INFO] Принудительная синхронизация времени с \\cds.urbus.ru♪ 03/17 15:49:22 [ERROR] Failed to get the current time on \\cds.urbus.ru: 5 03/17 15:49:22 [ERROR] NON-FATAL error forcing a time sync (5). Ignoring 03/17 15:49:23 [INFO] Остановка службы NETLOGON♪ 03/17 15:49:23 [INFO] Остановка службы NETLOGON♪ 03/17 15:50:23 [INFO] Configuring service NETLOGON to 1 returned 0 03/17 15:50:23 [INFO] Stopped NETLOGON 03/17 15:50:23 [INFO] Deleting current sysvol path C:\WINDOWS\SYSVOL 03/17 15:50:26 [INFO] Created system volume path 03/17 15:50:26 [INFO] Копирование файла исходной базы данных службы каталогов C: \WINDOWS\system32\ntds.dit на C:\WINDOWS\NTDS\ntds.dit♪ 03/17 15:50:26 [INFO] Установка службы каталогов♪ 03/17 15:50:26 [INFO] Calling NtdsInstall for urbus.ru 03/17 15:50:26 [INFO] Запуск установки Active Directory 03/17 15:50:26 [INFO] Проверка предоставленных пользователем параметров 03/17 15:50:26 [INFO] Определение сайта для установки 03/17 15:50:26 [INFO] Исследование существующего леса службы каталогов Active Di rectory 03/17 15:50:29 [INFO] Настройка локального контроллера домена для несения службы каталогов Active Directory 03/17 15:50:35 [INFO] Создание параметров объекта NTDSA для данного контроллера домена на удаленном контроллере домена cds.urbus.ru: 03/17 15:50:36 [INFO] Error - Active Directory не удается создать объект парамет ров NTDS для данного контроллера домена CN=NTDS Settings,CN=ADM,CN=Servers,CN=De fault-First-Site-Name,CN=Sites,CN=Configuration,DC=urbus,DC=ru на удаленном конт роллере домена cds.urbus.ru. Убедитесь, что заданные сетевые учетные данные обла дают достаточными разрешениями. (8612) 03/17 15:50:37 [INFO] NtdsInstall for urbus.ru returned 8612 03/17 15:50:37 [INFO] DsRolepInstallDs returned 8612 03/17 15:50:37 [ERROR] Failed to install to Directory Service (8612) 03/17 15:50:49 [INFO] Запуск службы NETLOGON♪ 03/17 15:50:49 [INFO] Configuring service NETLOGON to 2 returned 0 03/17 15:50:50 [INFO] Предпринятая контроллером домена операция завершена♪ 03/17 15:50:50 [INFO] DsRolepSetOperationDone returned 0 |
опишите ситуацию полностью. что переименовывали
что обновляли. схему, версии ос и т.д. ибо как то смутно все |
Старый домен был на NT4.
Мои действия по переносу домена: 1.Поднял новый на 2003. 2.Перенес все из старого домена в новый (Ideal Migration). 3.Удалили старый. 4.Новый переименовал в старый (domainrename.exe). Но вот этот новый домен у меня уже пол года работает и не было нариканий, вот только щас с введением доп.контроллера. |
Можно закрывать
rendom /end rendom /clean И все пошло. Похоже я не сделал самый последний шаг - но это было пол года назад. Всем спасибо узнал мого чего нового. |
zavad ну вот пясьянс и сошелся (переименование не закончено) :)
обратите еще вимание на режим работы http://support.microsoft.com/kb/298601/ |
Цитата:
Цитата:
|
Kazak-Sсправедливо =) каюсь грешен, заметил со второго захода :)
|
Позвольте в рамках этого обсуждения привлечь ваше внимание и к своей теме: http://forum.oszone.net/thread-66301-1.html
Суть проблемы в том, что второй контроллер домена не желает им до конца становиться. Т.е. не выполняется репликация системных папок SYSVOL и NETLOGON. Вроде в тему будет... |
А как быть если на первом контролере стоял DHCP-сервер, надо ли сделать его на втором... А что делать с зарезервированными адресами если их много... как перенести...
|
a_filip
http://www.oszone.net/4426/DHCP |
Не понятно а как в этом варианте будут работать DHCP-сервера когда будут включены два контролера... Если кто в курсе - прокоментируйте... Может быть нужна суперобласть...???
|
a_filip
DHCP достаточно одного. |
Предположим DHCP стоит на PDC (на первом контролере)... он вышел из строя... что кстати у меня и случилось... Я не понял как это достаточно одного... Вот что в таком случае делать??? И что будет когда я включу первый контролер после ремонта...???
|
Поднимите DHCP из дампа на любой доступной в сети машины. Не обязательно ему на DC работать.
|
Я так и не понял, два контролера с двумя DHCP с одинаково настроеными областями будут работать или нет... и не будут ли мешать друг другу...???
|
Цитата:
|
А если в области есть резервированные адреса... тоесть я должен определенным клиентам давать определенные адреса по MAC адресу... как тогда будут работать два DHCP сервера... ???
|
Правильно ли я понимаю:
Если я ставлю доп.контроллер домена, то надо купить только покупаю тока server 2003, а cal-лицензии мне докупать не надо? |
Цитата:
|
А еще такой вопрос интерисует:
сколько можно ставить доп.контроллеров домена? например на одном из них разместить почтовик, на другом sql? |
Сколько угодно. Желательно не более 256 на домен 2000, 1024 - домен 2003.
|
monkkey,
огромное спасибо |
| Время: 15:58. |
Время: 15:58.
© OSzone.net 2001-