ADMT v3. Не виден глобальный каталог... err:7697
 

Камрады, поможите...

Зае..мучался до слез уже... Месяц не могу решить траблу: надо смигрить дочерний домен старой организации для запуска в самостоятельное плавание. Для этого решил воспользоваться Active Directory Migration Tool v3. Сделал все по книшке (мануал о 300 листьях от родителей "ADMT v3 Migration Guide Microsoft Corporation Published: November 2006"). В итоге после вот этих шагов получаю в логе:

2007-11-22 14:05:07 Starting Account Replicator.
2007-11-22 14:05:09 ERR2:7697 Unable to get global catalog server name for forest 'nvutt.ru'. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 ERR3:7585 The account replicator is unable to continue. The specified domain either does not exist or could not be contacted.
2007-11-22 14:05:09 Operation completed.

Домены делегированы друг другу в плане полного доступа группы Domain Admins, на исходном сервере в "Active Directory Users and Computers" свободно подключаю каталог целевого домена с полными правами . LDP тоже пишет все тип-топ. Может кто просветит?


на всякий случай:

1. LDP на исходном домене выдает след:

ld = ldap_open("nvutt.ru", 389);
Established connection to nvutt.ru.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 11/22/2007 14:22:33 Russian Standard Time Russian Daylight Time;
1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> dsServiceName: CN=NTDS Settings,CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
5> namingContexts: DC=nvutt,DC=ru; CN=Configuration,DC=nvutt,DC=ru; CN=Schema,CN=Configuration,DC=nvutt,DC=ru; DC=DomainDnsZones,DC=nvutt,DC=ru; DC=ForestDnsZones,DC=nvutt,DC=ru;
1> defaultNamingContext: DC=nvutt,DC=ru;
1> schemaNamingContext: CN=Schema,CN=Configuration,DC=nvutt,DC=ru;
1> configurationNamingContext: CN=Configuration,DC=nvutt,DC=ru;
1> rootDomainNamingContext: DC=nvutt,DC=ru;
21> supportedControl: 1.2.840.113556.1.4.319; 1.2.840.113556.1.4.801; 1.2.840.113556.1.4.473; 1.2.840.113556.1.4.528; 1.2.840.113556.1.4.417; 1.2.840.113556.1.4.619; 1.2.840.113556.1.4.841; 1.2.840.113556.1.4.529; 1.2.840.113556.1.4.805; 1.2.840.113556.1.4.521; 1.2.840.113556.1.4.970; 1.2.840.113556.1.4.1338; 1.2.840.113556.1.4.474; 1.2.840.113556.1.4.1339; 1.2.840.113556.1.4.1340; 1.2.840.113556.1.4.1413; 2.16.840.1.113730.3.4.9; 2.16.840.1.113730.3.4.10; 1.2.840.113556.1.4.1504; 1.2.840.113556.1.4.1852; 1.2.840.113556.1.4.802;
2> supportedLDAPVersion: 3; 2;
12> supportedLDAPPolicies: MaxPoolThreads; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MaxNotificationPerConn; MaxValRange;
1> highestCommittedUSN: 78928;
4> supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5;
1> dnsHostName: nvutt-dc1.nvutt.ru;
1> ldapServiceName: nvutt.ru:nvutt-dc1$@NVUTT.RU;
1> serverName: CN=NVUTT-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=nvutt,DC=ru;
3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791;
1> isSynchronized: TRUE;
1> isGlobalCatalogReady: TRUE;
1> domainFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> forestFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
1> domainControllerFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );
-----------
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3
{NtAuthIdentity: User='administrator'; Pwd= <unavailable>; domain = 'jrnnvts'.}
Authenticated as dn:'administrator'.

2. настройки DNS вот такие

а так же:
1. Оба домена вместе с контроллерами подняты до уровня 2003,
2. меж ними двусторонние трасты,
3. SID filtering похерен,
4. аудит доступа к объектам в доменах настроен,
5. группы Everyone и Anonymous добавлены в Pre-Windows 2000,
6. локальные группы с долларами, соответствующие NetBIOS именам доменов, созданы,
7. Реестр на сетевой доступ к RPC настроен (TcpipClientSettings=1)
8. в политике безопасности контролллеров доменов : Network Access: Let everyone permission apply to anonymous user включено!

де еще капать ума не приложу... Есть подозрение, что неправильно настроил DNS или недонастроил (смущает серая папка _msdcs)...


... З.Ы. До этого ковырял ADMT 2... Дело продвинулось немного дальше (перетянул группы, учетки пользователей и компьютеров), но с кучей косяков (новый домен писал что пользователи отключены вседствие ограниченности учетной записи в новом домене), посему решил покопать тройку...

смущает что на скриншоте зона utt.luknvn.ru какая-то маленькая =)
удалить нафик, создать её как secondary, реплицировать из "старого" ДНСа
грубо говоря, на обоих ДНС серверах (на старом и новом DC) должны быть обе зоны - с новым и старым доменом


Вот кстати:отсюда: http://forums.techarena.in/showthread.php?t=506927

Зону слепил сам, ручками...

1. запись SOA (соответствует контроллеру домена utt.luknvn.ru)
2. В настройках этой зоны показал NS сервер (nvutt-dc1.nvutt.ru), как DNS сервер по умолчанию для клиентов авторизующихся в домене nvutt.ru и запрашивающих ресурсы домена utt.luknvn.ru
3. запись А (контроллер домена jrutt-dc1.utt.luknvn.ru)
4. запись А (имя домена соответствующее IP адресу jrutt-dc1.utt.luknvn.ru)
5. запись типа SRV (_kerberos) для идентификации пользователей в домене utt.luknvn.ru соответствующая контроллеру домена jrutt-dc1.utt.luknvn.ru
6. запись типа SRV (_ldap) для доступа к каталогу utt.luknvn.ru соответствующая контроллеру домена jrutt-dc1.utt.luknvn.ru

вообще думал что этого достаточно для описания зоны... по крайней мере:



C:\Documents and Settings\Administrator>nslookup utt.luknvn.ru
Server: nvutt-dc1.nvutt.ru
Address: 172.21.31.7

Name: utt.luknvn.ru
Addresses: 172.21.31.12, 172.21.31.9


C:\Documents and Settings\Administrator>nslookup jrutt-dc1.utt.luknvn.ru
Server: nvutt-dc1.nvutt.ru
Address: 172.21.31.7

Name: jrutt-dc1.utt.luknvn.ru
Address: 172.21.31.9


C:\Documents and Settings\Administrator>ping utt.luknvn.ru

Pinging utt.luknvn.ru [172.21.31.9] with 32 bytes of data:

Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128

Ping statistics for 172.21.31.9:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Documents and Settings\Administrator>ping jrutt-dc1.utt.luknvn.ru

Pinging jrutt-dc1.utt.luknvn.ru [172.21.31.9] with 32 bytes of data:

Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128
Reply from 172.21.31.9: bytes=32 time<1ms TTL=128

Ping statistics for 172.21.31.9:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

а _msdtc ? её ручками трудно... =)
Убивай зону, бери нормальную с работающего ДНСа - должно помочь

Если нетрудно, объясни как это "бери с нормально работающего DNS"... Я ниразу не копировал зоны с одного DNS на другой...

и еще... ты про какую _msdcs говоришь: про серую или про _msdcs.nvutt.ru?

да.. и еще... это DNS зоны на таргете, может с сурса кинуть?

HLT, спасибо за то что сказал удалить зону, сделать её secondary и снять с мастера...

Все работает!