Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   репликация и как сделать резервный контролер домена (http://forum.oszone.net/showthread.php?t=134099)

aquest 12-02-2002 13:11 25701

репликация и как сделать резервный контролер домена
 
Как поставить резервынй контролер домена под W2K. Или перенести все данные о пользователях (учетные записи, политики) на другой сервер.

misha 12-02-2002 13:51 25702

да ВСЁ ПРОСТО  ставишь новый сервер, потом выполнить и выбираешь сервер в существующем домене , всё остальное он сам сделает и пользователей и политику безопастности

aquest 13-02-2002 12:26 25703

Спасибо!
возникли правда свои проблемы.
Почему-то домен не видно, машина в домене регистрируетсчя, а как создать резервный так сообщает что нет домена в домене лесов.

Добавлено:

Спасибо!
возникли правда свои проблемы.
Почему-то домен не видно, машина в домене регистрируетсчя, а как создать резервный так сообщает что нет домена в домене лесов.

misha 13-02-2002 20:34 25704

А SP 2 поставил ???

aquest 16-02-2002 15:21 25705

Ставил  я SP2. Не помогло... Можно как нибудь в ручную перенести?

Lanwolf 19-12-2002 17:26 25706

проверь во вкладке сетевая идентификация. в домене ты или в рабочей группе.
На вскидку сказать сложно данных для анализа мало.

Fidel 20-12-2002 08:24 25707

aquest
Проверь параметры DNS на новом компе.

KOE 27-05-2003 14:58 25708

Есть сервер Windows2000 SP2 включенный в домен. При попытке поднятия его до резервного контролера домена (основной контролер уже существует) в конце всех вопросов выдает сообщение об ошибке "Операция не выполнена по следующей причине : не удалось изменить необходимые свойства для учетной записи компютера SERVER2$  "Отказанов доступе"
Операция выполняется под именем администратора. DNS на втором сервере не установлен.

Atlantis 28-05-2003 13:21 25709

попробуй свой будующий сервак исключить из домена, снести его учетную запиь вобще, а в процессе установки он у тя попросит заново прописаться, должно помочь

KOE 05-06-2003 13:12 25710

Попробовал. Не помогло. Все равно сначала создается новая учетная запись компютера в домене, а потом она изменяется.
Возникает таже ошибка.
Може быть причина в том, что когда я последний раз переинсталировал сервер (1,5 года назад)
то в журнале событий постоянно появлялись сообщения об ошибках со ссылкой на каталог
C:\WINNT\sysvol\sysvol\Domain.local\Policies который был пуст.
Тогда я скопировал со старого каталого WINNT содержимое этой папки - два каталога типа
{31B2F340-016D-11D2-945F-00C04FB984F9}  со всем содержимым. Сообщения об ошибках исчезли.

Rasmuss 18-12-2007 09:18 699112

Резервный сервер. <Windows 2000, AD, DC>
 
Есть необходимость создания резервного сервера. Задача проста. Сейчас сетка на платформе. win2000 server (он же домен контроллер, DNS сервер, DHCP server), сервер баз данных на платформе Windows 2003 server и рабочие станции на платформе Windows XP. Хотелось бы создать сервер который бы работал в резерве первого сервера, и если вдруг домен ложится, то второй сервер подхватывал бы сетку и работал как основной, а юзверы ничего и не заметили. В связи с этим есть куча вопросов:
1. На какой платформе должен быть резервный сервер?
2. Как правильно его адаптировать в сеть?
3. Как импортировать все настройки основного?
4. Да и еще может кто подскажет какие грабли есть?

Angry Demon 18-12-2007 09:41 699122

Цитата:

Цитата Rasmuss
1. На какой платформе должен быть резервный сервер?

Windows 2003.

Цитата:

Цитата Rasmuss
2. Как правильно его адаптировать в сеть?

При создании второго контроллера домена происходит интеграция в AD.

Цитата:

Цитата Rasmuss
3. Как импортировать все настройки основного?

Он сам возьмет настройки с 1-го контроллера домена. Только DNS настроить придётся.

kim-aa 18-12-2007 09:49 699124

Rasmuss,
Вы определитесь. Вам нужен именно резервный DNS (не представляю зачем ,честно говоря) или резервный контроллер домена + DNS.
Просто в связи со спецификой AD, на DC всегда подымается и DNS

Rasmuss 18-12-2007 10:04 699134

Ну как правильно определиться? Вроде все написал чего хочу. Хочу иметь защиту своей ж .. . Если ложится первый сервер, то автоматом резервный брал на себя все его функции. Что туда ставить и какие роли давать резервному и хочу узнать. С чего начинать какую роль добавить первой и т.д.

kim-aa 18-12-2007 10:36 699147

Rasmuss,
А че на форуме спрашиваете, если не секрет?
Берете книжку производителя ОС и читаете. Вроде Microsoft Press еще не сгорел и регулярно печатает, и на русском, и весьма понятно.

Вам нужен как минимум второй DC c DNS.
А чтобы осознать зачем он вам нужен прочтите например тут http://forum.oszone.net/thread-2559.html

И еще... Купите таки книжку, т.к. никакой форум не заменит литературы от производителя.
AD все таки очень не простая вещь, что бы там не балабонили маркетологи MS или "куль-одмины".

Rasmuss 18-12-2007 10:47 699156

При добавлении роли добавочного контроллера в существующем домене в конце добавления ругнулась
Операция не выполнена по следующей причине -
Продолжение работы мас тера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена.
Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.

Поиск adprep результатов не дал. Что делать?

Angry Demon 18-12-2007 21:19 699561

Rasmuss,
Перечень исправлений, которые следует установить на контроллерах домена Windows 2000 перед выполнением команды Adprep /Forestprep
Обновление контроллеров домена Windows 2000 до Windows Server 2003

Adprep, если память не изменяет, лежит в папке i386 на дистрибутиве Windows 2003.

Pixer 19-12-2007 16:25 700010

Цитата:

Цитата Angry Demon
Он сам возьмет настройки с 1-го контроллера домена. Только DNS настроить придётся. »

Даже настройки расшаренных ресурсов?

Angry Demon 20-12-2007 00:35 700245

Цитата:

Цитата Pixer
Даже настройки расшаренных ресурсов?

Мы пока говорим о следующих требованиях:
Цитата:

Цитата Rasmuss
Сейчас сетка на платформе. win2000 server (он же домен контроллер, DNS сервер, DHCP server), сервер баз данных на платформе Windows 2003 server

Цитата:

Цитата Rasmuss
Хотелось бы создать сервер который бы работал в резерве первого сервера

- Ну и скотина ты, Жеглов - мы насчёт хлеба не договаривались!
- А мы и насчёт сахара не договаривались... (С)

Domen0 24-01-2008 11:32 724364

народ хелп кто-нить с таким сталкивался?!
Устанавливаю на второй комп Win2003-сервер и пытаюсь на нем поднять добавочный DC, все проходит вроде нормально, но в конце пишет:

Операция не выполнена по следующей причине:
Ошибка управления сетевым сеансом с \\server.xxx.xxx

"Множественное подключение к серверу или общим ресурсам одним пользователем с использованием более одного пользователя не разрешено. Отключите все предыдущие подключения к серверу или общим ресурсам и повторите попытку"

Angry Demon 24-01-2008 13:06 724447

Цитата:

Цитата Domen0
Устанавливаю на второй комп Win2003-сервер

А на первом что?
Сюда заглядывал? \WINDOWS\Debug\dcpromoui.*.log

Domen0 24-01-2008 15:05 724537

заглядывал. там тоже самое, т.е. "ошибка управления сетевым сеансом ...", на PDC - стоит 2003 server eng SP1
на 2-ом который щас поднимаю win2003_SP2_EN

sav1978 22-08-2008 18:18 881482

У меня таже проблема, может кто разобрался, а то не очень то хочеться на новый конторлер домена в случае отказа основного.


Есть сервер Windows2000 SP2 включенный в домен. При попытке поднятия его до резервного контролера домена (основной контролер уже существует) в конце всех вопросов выдает сообщение об ошибке "Операция не выполнена по следующей причине : не удалось изменить необходимые свойства для учетной записи компютера SERVER2$ "Отказанов доступе"
Операция выполняется под именем администратора.

пробовал windows 2000 en и windows 2000 rus таже ситуация,

пробовал на windows 2003 ради интереса, момент оказано в доступе не выдает, ругается что не та версия активки ну оно и понятно что не та, но тут же не возникает проблемы с доступом у пользователя (админа).

CASHis 20-02-2009 06:40 1043719

репликация и как сделать резервный контролер домена
 
Всем привет! Есть два сервера в одной ЛВС, но на две разные конторы. понятно что в нынешней ситуации никто мне денег еще на два сервера для резерва не даст. отсюда вопрос если купить тачку помощней и поставить на нее две виртуальных машины VirtualBox с Windows Server 2003 R2 например смогу ли я подключить из в качестве резервных контролеров домена

Delirium 20-02-2009 08:20 1043744

Ну а почему нельзя то? виртуалки будут иметь свой IP, будут полноценными машинами в домене с одним ограничением, конечно - работать смогут только когда включена основная машина :) А так ограничений никаких.

CASHis 20-02-2009 08:23 1043749

:) Возник еще вопрос. А на эти резервные сервера мне тоже нужно будет лицензии покупать или я могу использовать лицензии от основных?

Delirium 20-02-2009 08:24 1043750

Новый сервер - новая лицензия.

CASHis 20-02-2009 08:25 1043751

Все спасибо!

Telepuzik 20-02-2009 09:44 1043794

CASHis
Можно купить Windows Server 2003/2008 Enterprise Edition и бесплатно использовать несколько (до четырех) экземпляров ОС в виртуальных машинах на сервере.

CASHis 20-02-2009 09:45 1043795

Еще раз спасибо!

Michael 23-02-2009 20:46 1046719

Цитата:

Цитата Telepuzik
Можно купить Windows Server 2003/2008 Enterprise Edition и бесплатно использовать несколько (до четырех) экземпляров ОС в виртуальных машинах на сервере. »

А ссылочку можно на первоисточник?

Oleg Krylov 24-02-2009 00:34 1046918

Цитата:

Цитата Telepuzik
Можно купить Windows Server 2003/2008 Enterprise Edition и бесплатно использовать несколько (до четырех) экземпляров ОС в виртуальных машинах на сервере. »

Нельзя. Нарушение лицензионного соглашения. У Microsoft есть некоторые послабления для виртуальных сред, но лицензируются все действующие машины. Лицензии может не быть на выключенную виртуалку. Удобно для хранения Root CA, например.
Описано здесь, например: http://www.microsoft.com/rus/licensi...alization.mspx
Есть прикольная презентация Кибкало http://hyper-v.ru/default.aspx?ContextForm=Subject[i51] (требуется Silverlight)

Telepuzik 24-02-2009 12:28 1047314

Может чего то и не допанимаю:
Серверная лицензия Windows Server 2008 Enterprise:
Требуется для каждого сервера, работающего под управлением Windows Server 2008 Enterprise. По одной лицензии разрешается запускать 5 копий программного обеспечения: одну в физической и 4 в виртуальных ОС. Разрешается запускать копии Windows Server 2008 Standard вместо Windows Server 2008 Enterprise в любой операционной среде на лицензированном сервере. Первоисточник

Windows Server 2008 Enterprise лицензируется также «per Server» и требуются CAL для доступа к ресурсам. При этом,
одна лицензия дает возможность использовать один запущенный экземпляр на одном физическом сервере И еще до четырех запущенных экземпляров ОС в виртуальных машинах на этом сервере. А также возможность создавать и хранить неограниченное число незапущенных экземпляров ОС.
на физическом сервере должна быть установлена Windows Server издания Enterprise или ОС другого производителя. В виртуальных машинах может быть установлена Windows Server 2008 изданий Enterprise или Standard, а также предшествующие им версии. Первоисточник

Лицензирование виртуальных машин — введение

artem_ 24-02-2009 13:25 1047381

А есть еще Windows Server 2008 Hyper-V - шаровая, Бил официально раздает. На эту штуку вообще лицензий не нужно. Правда работает только в режиме ядра.
Можете использовать как хостовую машину - она вообще то для этого и предназначена.

nvrsk23 07-03-2009 23:39 1057675

репликация и как сделать резервный контролер домена
 
Ситуация такая
Есть контроллер домена на котором так же терминал 1с 7 на 2003 r2 стандарт
есть так же 2й комп на котором только служба терминалов на 1с 8 2003 r2 стандарт

Предвидя выход из строя основного контроллера домена было принято решения сделать дочерний с последующим переводом его в роль основного.
дочерний основан на 2003 r2 стандарт. Роль АД на нем была подьнята с репликацией данных с основного домена, так же на нем терминальная служба для 1с 7
все прошло хорошо выключая основной домен этот берет роль на себя и все могут на него подключатся по терминалу.
Но тут выяснилось что 2й сервер на котором только терминал и 1с 8 не может подключится к домену и соответственно к нему не могут подключится по терминалу при выключенном основном КД.
Когда его включаешь соответственно все работает.
Вопрос как заставить его идентифицироваться в дочернем домене что бы к нему могли подключаться по терминалу? в АД он прописан

wertyg 08-03-2009 01:31 1057787

внизу моего сообщения есть подпись, читай её не стесняйся.)

Цитата:

Цитата nvrsk23
принято решения сделать дочерний »

а зачем дочерный, нужно было делать добавочный.)

если я не ошибаюсь то ситуация такая.
если создаёться дочерный КД то у него с родителем устанавливаються транзитивные двусторонние отношения доверия. т.е. он доверяет родителю, родитель ему. если ты зайдёшь в "пользователи и компьютеры" дочерного КД то ты не увидишь там пользователей, т.к. дочь не зависима.) отсюда при попытки подключения к дочери она идёт к родителю и смотрит есть ли там такой пользователь если родитель не доступен а в её базе нет такого пользователя вход невозможен. так что у тебя система работает правильно, просто ты реализовал не совсем то что хотел, а точнее совсем не то что тебе нужно было. или я что то не так понял?

nvrsk23 08-03-2009 10:14 1057884

дочерний для того что бы не идентифицировать всех пользователей в новом домене если его создавать.
Я создавал и новый домен и оно не работало, приходилось нажимать кнопочку идентифицировать и при след. входе на локальном компе создавался новый пользователь с новы раб столом, а переносить все данные новых пользователей бегая по всему зданию не хочется, а при дочеренем они работают нормально (раб станции) а вот там где 1с 8 не хочет гад работать со всеми

Oleg Krylov 08-03-2009 12:53 1057989

Цитата:

Цитата nvrsk23
Предвидя выход из строя основного контроллера домена было принято решения сделать дочерний с последующим переводом его в роль основного. »

Сравните это и это:
Цитата:

Цитата nvrsk23
как заставить его идентифицироваться в дочернем домене »

Вы с терминами определитесь, пожалуйста. Первый случай - добавление ДОБАВОЧНОГО контроллера домена в ТОТ ЖЕ САМЫЙ домен.
Второй - создание дочернего домена. Т.е. нового домена, который будет иметь родителем основной. Это две большие разницы, как говорят в Одессе.
Судя по описанию проблемы в первом посте вполне достаточно первого варианта.
По поводу аутентификации при выключенном основном контроллере: http://blogs.technet.com/vladygin/ar...3/ad-fsmo.aspx
Неплохая статья. Проблема в ролях PDC и Global Catalog.

wertyg 08-03-2009 13:01 1057995

Цитата:

Цитата nvrsk23
Я создавал и новый домен »

а зачем новый, нужно было создавать добавочный.)

слушай nvrsk23, вот ты слабо представляешь что делаешь, я понимаю что "тыком" это как раз "по-админски"..) но иногда всё же нужно учить и мат.часть.) ели тебе всё же интересно есть как минимум две книги которые стоит прочитать ActiveDirectoryДляMSWindowsServer2003.СправочникАдминистратора.[РеймерС-МалкерМ] и ActiveDirectory-ПодходПрофессионала.[Зубков]. первая меньше, всё основное в ней есть. вторая наверно после прочтения первой, иначе немного сложна к пониманию. это лично моё субьективное мнение.

Цитата:

Цитата nvrsk23
Предвидя выход из строя основного контроллера »

что бы такого не случилось нужен добавочный КД! обрати внимание не новый, не дочерный а добавочный!

nvrsk23 08-03-2009 13:31 1058019

Ситуация следующая
Предвидя выход основного домена из строя, ставится 2й с репликацией данных с первого. Так же на втором терминальная служба для 1с 7. Клиенты работают замечательно. Но есть еще один сервак с 1с 8 и при выключении основного КД к нему не могут подключится по терминалу.

Т.е при подключении он пишет что в данный момент домен **** недоступен.

Делаю это первый раз, так что может чего и недопонимаю

nvrsk23 08-03-2009 23:20 1058349

Ну же ребята мне проблему надо во вторник решить я же не прочитаю кучу литературы за это время
я знаю что надо было готовиться до того, но кто же может предсказать когда здохнет комп.

Oleg Krylov 09-03-2009 18:33 1058956

Да рады бы помочь, но никак в толк не возьмем, что именно Вы делаете. Давайте попробуем зайти с другой стороны:
1. Какое имя у первого "домена"
2. Какое имя у второго "домена"
3. В какой домен происходит вход пользователя (содержимое третьей строчки в окне ввода пароля))

wertyg 09-03-2009 19:22 1058987

о блин. придётся мысли читать.)

речь идёт о трёх машинках.
Цитата:

Цитата nvrsk23
Предвидя выход основного домена из строя, ставится 2й с репликацией данных с первого. Так же на втором терминальная служба для 1с 7. Клиенты работают замечательно. Но есть еще один сервак с 1с 8 и при выключении основного КД к нему не могут подключится по терминалу. »

по моему в этом предложении три машины ага? две из которых КД и одна просто терминальный сервер. я правильно понял? если я понял правильно и машин действительно три(хотя неважно сколько машин), то что то мне подсказывает что служба DNS поднята только на первом КД.

в любом случае опишу то что нужно было сделать, а там автор пусть читает и приминяет это к своей ситуации или вносит коррективы.

1 - поднимаем DNS на первом сервере.
1а - в настройках TCP\IP первого сервера указываем себя в качестве DNS сервера.
2 - поднимаем AD на первом сервере.(эти два этапа можно впринципе сделать одновременно в мастере кстановки AD помоему.)
3 - поднимаем DNS на втором сервере. зону копируем с первого. т.е выбираем в мастере создания зоны создать не основную, а дополнительную зону и указываем IP сервера её содержащего. но перед этим в свойствах зоны на первом КД на вкладке серверыИмён добавляем имя и IP второго КД, иначе первый КД зону второму не отдаст.)
3а - в настройках TCP\IP второго сервера указываем первый КД как пердпочитаемый DNS сервер и себя как альтернативный.
3б - опционально. в параметрах TCP\IP первого КД указываем предпочитаемый DNS IP второго КД а альтернативный свой IP.
4 - делаем второй сервер добавочным КД.
5 - также на станциях необходимо указать два DNS сервера предпочитаемый первый КД и альтернативный второй КД.

это для простого случая где DNS зона не храниться в AD. всё сказанное попробую проверить сегодня и дополнить\исправить это сообщение в случае необходимости.

как я и предпологал создание любого не первого КД кроме нового дерева в существующем лесу, из мастера не устанавливает DNS сервер, это значит что его нужно поднимать вручную. иначе при отказе первого КД и сервер DNS тоже уйдёт в отказ, отсюда проблема логина.) негде будет разрешить имя AD для входа.

nvrsk23, ты явно не создавал новое дерево в существующем лесе, а значит что служба DNS у тебя только одна и работает на том КД который ты поднимал первый, от того после его отключения у тебя проблемы со входом.)

nvrsk23 11-03-2009 08:31 1060311

DNS поднимал и зону копировал с основного КД. И адреса прописывал.

Angry Demon 11-03-2009 08:43 1060318

nvrsk23, ты можешь в конце концов сделать то, что тебя просят?! По шагам рассказать, что делал, какие кнопки нажимал и т.д. А то создаётся впечатление, что нам это надо, а не тебе, когда ты так путаешь людей незнанием терминологии. "В каком произведении какого автора какого героя как зовут?"

nvrsk23 11-03-2009 08:47 1060321

Ситуация следующая
1й сервер с AD он же является КД ,терминальной службой для 1с 7.7 и ДНС
2й сервер только с терминальной службой для 1с 8
3й сервер прокси с Кирео фаерволом который берет список пользователей с AD 1вого сервера.

Задача: сделать 4й сервер для замены 1го в случае выхода его из стороя (старый он уже) с минимальными потерями и как можно меньше бегать по юзерам всего здания.

Что было сделано:
Поднимался КД с тем же именем но т.к SID юзеров менялся при идентификации его в домене при входе создавался новый профиль что не очень устраивает.

все сновилось

Попытка 2я: поднимался КД добавочный с репликацией данных с основного КД и подимался так же терминал для 1с 7. Юзеры подключаются к нему и все работает. Но теряют возможность подключаться ко 2му серверу с 1с 8 по терминалу. При подключении пишет домен недоступен. И прокси не подхватывает их с АД авторизация не работает, в инет никто выйте не может. Это при том что основной сервер выключали для проверки работоспособности 4го взять на себя роль основного КД. Так же поднималась служба ДНС и переносом зоны с 1го сервера. Адреса ДНС везде менялись на новые.

wertyg 11-03-2009 11:50 1060441

Цитата:

Цитата nvrsk23
решения сделать дочерний с последующим переводом его в роль основного. »

Цитата:

Цитата nvrsk23
дочерний для того что бы не идентифицировать »

Цитата:

Цитата nvrsk23
Попытка 2я: поднимался КД добавочный с репликацией »


ты нас то не путай.) так дочерний или дополнительный? обрати внимание, что это совсем разные вещи, а слово дополнительный\добавочный появилось только в твоём последнем посте!

в любом случае читай мой пост выше, тебе соответственно нужно начинать с 3-го пункта.

nvrsk23 12-03-2009 23:27 1062209

А возможно что проблема в том что стоит 2003 Р2 стандарт?

Возможно он не полноценно поддерживает роль добавочного
Ну это как вариант

wertyg 13-03-2009 09:01 1062398

R2 это дополнения а не переделка\обновление как например SP. хотя ни на одном из моих тестовых контроллерах небыло R2. что-то сказать сложно. чёрт его знает.)

но в твоём случае я всё же думаю что дело в настройке. ты много АД поднял? хотябы теоретические знания есть? думаю R2 - маловероятно.

требую коментария! был ли у когото добавочный контроллер с R2 или вообще какой либо контроллер с R2.

monkkey 13-03-2009 15:02 1062747

Цитата:

Цитата wertyg
R2 это дополнения а не переделка\обновление как например SP »

Вы неправы. R2 меняет схему AD.

nvrsk23 13-03-2009 18:08 1062905

я уже писал что это первый КД в моей практике за 6 лет работы (ну не требовалось у нас этого в деревне) что ж поделать

petro89 22-04-2009 16:05 1101079

Резервный контроллер домена
 
Уважаемые админы, контрибуторы, модераторы.
Помогите нормально разобраться с темой резервный контроллер домена.
И может эту тему стоит прикрепить? Она часто у многих возникает и многие задают вопросы по этой теме.
1_Резервный контроллер домена, который работает параллельно с основным, или который настроен и выключен на случай краха основного.
2_Резервный контроллер домена, который настроен и выключен на случай краха основного. Который нужно просто включить чтобы он взял на себя права и все продолжало работать.
Можно ли максимально развернуть эту тему? Мне кажется будет полезно для многих. Спасибо.

illznn 22-04-2009 16:25 1101095

Цитата:

Цитата petro89
или который настроен и выключен на случай краха основного. »

А с чего же он тогда реплицироваться будет если будет выключен? А когда главный DC завалится то не с чего будет реплицироваться.
Лучше все же не допустить падения основного DC.
Цитата:

Цитата petro89
Который нужно просто включить чтобы он взял на себя права и все продолжало работать. »

Читайте выше написанное.
Кстати идейка, держать MainDC на виртуальной машине, регулярно делать резервные копии.

monkkey 22-04-2009 17:43 1101172

Цитата:

Цитата petro89
который настроен и выключен на случай краха основного. »

Это не есть резервный (дополнительный) контроллер домена. Это зря стоящее железо. Без репликации хранение такового не имеет смысла.

Delirium 23-04-2009 01:24 1101590

Цитата:

Цитата wertyg
требую коментария! был ли у когото добавочный контроллер с R2 или вообще какой либо контроллер с R2. »

У меня был. Необходимо обновить схему AD перед заводом R2 в качестве дополнительного контроллера домена. Работает нормально.


petro89, как правило, в случае краха контроллера домена берется в зубы ntdsutil + adsiedit(в крайнем случае) и перелопачиваются данные на новые сервер. Изучив подробно работу этих утилит, можно поднять практически любой домен. Ну, конечно, если он не один был и не умер, оставив бекапа :)

vovanj7 23-04-2009 15:05 1102104

добрый день всемогущий All
начну попорядку

домен filial.com.ua - - осн домен
otd1.filial.com.ua - - дочерние домены
otd2.filial.com.ua - -
.....
otd19.filial.com.ua

Все на 2003 сервере. Незнаю, кто делал до меня, но этот контроллер(на осн домене) единственный. решил установить резервный КД.
Установка вроде прошла без ошибок, во всяком случае в логах ничего не было


а вот дольша начались приколы.
1. заметил что не работает репликация между осн и дочерними(судя по всему она и не работала, но об это позже)

2.самое обиное, что не работает репликация между осн и резервным КД. При попытке сделать вручную репликацию выдает следующее


в логах появляется следующее
читать дальше »

Цитата:

NTDS Replication
1988

Локальный контроллер домена предпринял попытку репликации следующего объекта со следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, поскольку он уже удален и собран в качестве мусора.

Исходный контроллер домена:
50ba501a-6abb-43ae-8642-3a71d3b05133._msdcs.FILIAK.COM.UA
Объект:
DC=35.0,DC=120.10.in-addr.arpa,CN=MicrosoftDNS,DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
GUID объекта:
4b668f8c-b383-4ec5-a917-13ccc009ac83

Пока эта ситуация не будет разрешена, репликация с исходным контроллером домена выполняться не будет.


Действие пользователя
Убедитесь, этот объект был удален на этом контроллере домена или в лесе. Если требуется восстановить этот объект, принудительно восстановите его на исходном контроллере домена. Если восстановление не требуется, установите средства поддержки, имеющиеся на установочном компакт-диске "repadmin /removelingeringobjects", на исходный контроллер домена, чтобы удалить объект из леса и продолжить репликацию. Чтобы разрешить автоматическое восстановление этого и похожих объектов, установите следующий параметр реестра.

Параметр реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

читать дальше »

Цитата:

Локальный контроллер домена предпринял попытку репликации следующего объекта со следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, поскольку он уже удален и собран в качестве мусора.

Исходный контроллер домена:
f4d15ddc-d487-4ca1-a6af-8f2b0babb8f3._msdcs.FILIAL.COM.UA
Объект:
DC=otd17.filial.com.ua,CN=MicrosoftDNS,DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
GUID объекта:
aee64160-9fa6-47aa-a9d4-293da78d4483

Пока эта ситуация не будет разрешена, репликация с исходным контроллером домена выполняться не будет.


Действие пользователя
Убедитесь, этот объект был удален на этом контроллере домена или в лесе. Если требуется восстановить этот объект, принудительно восстановите его на исходном контроллере домена. Если восстановление не требуется, установите средства поддержки, имеющиеся на установочном компакт-диске "repadmin /removelingeringobjects", на исходный контроллер домена, чтобы удалить объект из леса и продолжить репликацию. Чтобы разрешить автоматическое восстановление этого и похожих объектов, установите следующий параметр реестра.

Параметр реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".




пробовал запускать repadmin /removelingeringobjects - не помогло. Параметр реестра тоже пробовал ставить

Netdiag проходит без ошибок, а вот dcdiag (привожу тока ошибки)

Цитата:

Starting test: Replications
[Replications Check,DC1] A recent replication attempt failed:
From SERVER8 to DC1
Naming Context: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
The replication generated an error (8524)
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.
The failure occurred at 2009-04-22 19:16:44.
The last success occurred at 2005-07-08 15:46:06.
15082 failures have occurred since the last success.
The guid-based DNS name 51361d51-8493-4be7-9029-f0cfa78cf623._msdcs.FILIAL.COM.UA
is not registered on one or more DNS servers.
[SERVER8] DsBindWithSpnEx() failed with error 1722,
Сервер RPC недоступен..
[Replications Check,DC1] A recent replication attempt failed:
From SERVER1 to DC1
Naming Context: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
The replication generated an error (8524):
Операция DSA не смогла быть выполнена, т.к. произошла ошибка поиска в DNS.
The failure occurred at 2009-04-22 19:16:44.
The last success occurred at 2008-10-21 11:51:46.
317 failures have occurred since the last success.
The guid-based DNS name 5fed24c0-918d-4ed9-a36c-54549fd6e503._msdcs.FILIAL.COM.UA
is not registered on one or more DNS servers.



An Error Event occured. EventID: 0xC00007D0
Time Generated: 04/22/2009 18:43:08
Event String: The server's call to a system service failed



......................... DC1 failed test systemlog

Server1, Server2,...,Server19 - это ДК дочерних доменов
насколько я понимаю это все относится к репликации с дочерними доменами.

В логах ДНС ошибок нет

как удаить эти объекты из базы. Пробовал разобраться с LDP, но как искать там нужные объекты, чтобы попытаться их восстановить, а потом снова удалить


на всякий случай настройки серверов
Dc1
10.120.0.35--------IP
255.255.255.0-----MASK
10.120.0.5---------GW cisco
10.120.0.35--------DNS1
10.120.0.45--------DNS1
10.120.0.35--------WINS(нужен для W98)


BDC
10.120.0.45--------IP
255.255.255.0-----MASK
10.120.0.5---------GW cisco
10.120.0.35--------DNS1
10.120.0.45--------DNS2
10.120.0.35--------WINS(нужен для W98)



пробовал делать так
читать дальше »

repadmin running command /showconn against server localhost



Base DN: CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
==== KCC CONNECTION OBJECTS ============================================
Connection --
Connection name : DC1
Server DNS name : server18.OTD18.FILIAL.COM.ua
Server DN name : CN=NTDS Settings,CN=SERVER18,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Source: Default-First-Site-Name\DC1
******* 53605 CONSECUTIVE FAILURES since 2008-04-25 01:43:00
Last error: 8614 (0x21a6):
Репликация Active Directory с этим сервером невозможна, поскольку время с момента последней репликации с этим сервером превышает время жизни захоронения.
TransportType: intrasite RPC
ReplicatesNC: CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
ReplicatesNC: CN=Schema,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
ReplicatesNC: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
Replica link has been added.
Connection --
Connection name : 0a090d85-ec4b-4c91-b23d-9340bde8c2dd
Server DNS name : newserver2.OTD2.FILIAL.COM.UA
Server DN name : CN=NTDS Settings,CN=NEWSERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
DsBindWithCred to NEWSERVER2 failed with status -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
Source: Default-First-Site-Name\SERVER7
No Failures.
TransportType: intrasite RPC
options: isGenerated
ReplicatesNC: CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
ReplicatesNC: CN=Schema,CN=Configuration,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology
ReplicatesNC: DC=ForestDnsZones,DC=FILIAL,DC=COM,DC=UA
Reason: StaleServersTopology


Цитата:

nltest /sc_query:filial.com.ua
Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
repadmin/syncall
читать дальше »



CALLBACK MESSAGE: Error contacting server 51361d51-8493-4be7-9029-f0cfa78cf62b._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server 5fed24c0-918d-4ed9-a36c-54549fd6e500._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server b463984e-0431-4ce8-b567-5e4ac71d42dd._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server 41c521d3-cdff-4b62-93f5-bafc95608b99._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: Error contacting server cf496452-d902-46f2-804b-cd1c9365bd85._msdcs.FILIAL.COM.UA (network error): -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
CALLBACK MESSAGE: Error contacting server 5ebba45a-ff6e-42ea-8229-27405c3ad7b8._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
CALLBACK MESSAGE: The following replication is in progress:
From: 4e15de51-6c9f-41ec-870a-e42ce921ffe8._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 4e15de51-6c9f-41ec-870a-e42ce921ffe8._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: 50ba501a-6abb-43ae-8642-3a71d3b05197._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 50ba501a-6abb-43ae-8642-3a71d3b05197._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: 141c059a-6317-4bde-a17a-f54c2f8fc3b2._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: 141c059a-6317-4bde-a17a-f54c2f8fc3b2._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: f4d15ddc-d487-4ca1-a6af-8f2b0babb8f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: f4d15ddc-d487-4ca1-a6af-8f2b0babb8f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication is in progress:
From: b1704056-04a8-4862-8b6d-dd1a1ed1a1f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: The following replication completed successfully:
From: b1704056-04a8-4862-8b6d-dd1a1ed1a1f7._msdcs.FILIAL.COM.UA
To : 9e96aa3d-b1bf-4d32-9d20-1bb2cd4fd8ec._msdcs.FILIAL.COM.UA
CALLBACK MESSAGE: SyncAll Finished.

SyncAll reported the following errors:
Error contacting server 51361d51-8493-4be7-9029-f0cfa78cf62b._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server 5fed24c0-918d-4ed9-a36c-54549fd6e500._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server b463984e-0431-4ce8-b567-5e4ac71d42dd._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server 41c521d3-cdff-4b62-93f5-bafc95608b99._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.
Error contacting server cf496452-d902-46f2-804b-cd1c9365bd85._msdcs.FILIAL.COM.UA (network error): -2146892976 (0x80090350):
Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.
Error contacting server 5ebba45a-ff6e-42ea-8229-27405c3ad7b8._msdcs.FILIAL.COM.UA (network error): 1722 (0x6ba):
Сервер RPC недоступен.

petro89 30-04-2009 16:50 1108090

Ребят давайте соберем нормальный, полный список статей, для проведения репликации.
Предложение к примеру такое.
1_Начальные сведения, для чего и т.д.
2_Чтобы сделать резервный сервер для репликации, устанавливаем дополнительный контроллер домена в существующем домене.... взято от сюда
3_Что делать в случае падения основного контроллера.
4_Какие могут быть проблемы.

Что нахожу на разных форумах, как-то слабенько.

advin 01-05-2009 20:49 1108755

Как правильно создать и настроить дополнительный контроллер домена Windows Server 2003
Источник

1 . Выполняем проверку конфигурации первого контроллера домена
Например как указано в этой статье MS KB: "Рекомендации по настройке контроллеров домена Windows" конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес.
проверяем Журналы событий на предмет наличия ошибок при настройке этого КД
также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)

2 . Делаем резервную копию первого КД
(Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)

3 . На новый сервер устанавливаем ОС

4 . Выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.

5 . Выполняем подключение этой системы к домену по DNS имени домена (Servers - - [NTDS Settings] -> Servers - your.domain.local - [NTDS Settings]).
Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.

6 . Регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)

7 . Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
(Если есть необходимость развернуть новый контроллер удаленно можно использовать резервную копию первого КД для операции загрузки базы AD )

8 . В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена

9 . Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных

10 . Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)

11 . Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена)

12 . На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)

13 . Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.your.domain.local> и your.domain.local). Иначе перезагружаем сервер.

14 . Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:

15 . В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.

16 . Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты.
(Если только не используется особые режимы настрйки инфраструктыры DNS)

17 . Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - ДК2 - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.

18 . Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.
Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а . перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу

б . перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять

в . можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.)
конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).
выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.

trojan86 08-05-2009 17:42 1113851

Здравствуйте! НЕ подскажете как удалить репликация Aktiv Directory с резервного ДК на ДК? Так как ДК вышел из сроя! Сервер 2003 СП2

advin 11-05-2009 15:43 1115482

Цитата:

Цитата trojan86
Aktiv Directory »

Active Directory
---------------------
Удаление потерянных доменов из Active Directory
Удаление данных из Active Directory после неудачного понижения роли контроллера домена

skull 28-05-2009 10:55 1129301

Всем привет! Возник вопрос:

Есть КД на Windows 2003 Server, хочу сделать дополнительный КД на Windows 2003 R2.

При добавлении роли добавочного контроллера ругнулась:

Операция не выполнена по следующей причине -
Продолжение работы мас тера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена.
Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере.

С этим понятно, что тут нужно adprep'om пошаманить. Я прав?

При прочтении статьи про adprep, стало интересно посмотреть current domain functional level на основном КД, увидел что в статусе стоит Windows 2000 mixed. Теперь вопросы:

1) стоит ли текущий статус домена менять на Windows 2003 server?
2) какие подводные камни меня ждут и как себя обезопасить?

monkkey 28-05-2009 15:28 1129535

Цитата:

Цитата skull
что тут нужно adprep'om пошаманить. Я прав? »

Да. Со второго диска дистрибутива запустить adprep /forestprep, потом /domainprep
Цитата:

Цитата skull
1) стоит ли текущий статус домена менять на Windows 2003 server? »

Да.
Цитата:

Цитата skull
2) какие подводные камни меня ждут и как себя обезопасить? »

Нет таких.

skull 28-05-2009 15:54 1129556

Уровень домена поднялся без проблем, дополнительный домен сделал :) У меня вот вопросик возник - а на основном КД в настройках TCP/IP не надо указывать второй КД в DNS серверах??

skull 01-06-2009 18:41 1132450

Вообщем так:

Стоит у меня основной КД на Windows 2003 Server
имя домена ntv.local
имя сервера alkasar
IP: 192.168.1.10, статический естественно
в настройках TCP/IP DNS сервером стоит IP этого же интерфейса
в самом DNS сервере поставлена пересылка неизвестных запросов на DNS'ы провайдера

Все работало без проблем, пока не начал настраивать второй КД.

Что делал:
поставил Windows Server 2003 R2, включил сервак в домен.
имя сервера: server
IP: 192.168.1.2, статический
Установил DNS сервер, скопировал зону с основного КД, настроил пересылку запросов на DNS провайдера.
Далее, в настройках TCP/IP в качестве первого DNS указал IP основного КД, в качестве альтернативного указал IP этого же интерфейса.
далее установил роль дополнительного контроллера домена.
потом установил глобальный каталог на дополнительном КД.
Перезагрузился.

Собственно на дополнительном КД в оснастке "Active Directory: пользователи и компьютеры" появились юзвери, группы и т.д. с основного КД.
И я было уже обрадовался и полез смотреть в журналы как все прошло и обнаружил следующие предупреждения:

на основном КД:

в журнале службы каталогов:

Код:

Event Type:        Warning
Event Source:        NTDS Replication
Event Category:        Replication
Event ID:        2092
Date:                29.05.2009
Time:                19:50:52
User:                NT AUTHORITY\ANONYMOUS LOGON
Computer:        ALKASAR
Description:
This server is the owner of the following FSMO role, but does not consider it valid. For the partition which contains the FSMO, this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role.
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
FSMO Role: CN=Schema,CN=Configuration,DC=ntv,DC=local

Event Type:        Warning
Event Source:        NTDS Replication
Event Category:        DS RPC Client
Event ID:        2088
Date:                29.05.2009
Time:                18:51:27
User:                NT AUTHORITY\ANONYMOUS LOGON
Computer:        ALKASAR
Description:
Active Directory could not use DNS to resolve the IP address of the source domain controller listed below. To maintain the consistency of Security groups, group policy, users and computers and their passwords, Active Directory successfully replicated using the NetBIOS or fully qualified computer name of the source domain controller.
 
Invalid DNS configuration may be affecting other essential operations on member computers, domain controllers or application servers in this Active Directory forest, including logon authentication or access to network resources.
 
You should immediately resolve this DNS configuration error so that this domain controller can resolve the IP address of the source domain controller using DNS.
 
Alternate server name:
 server
Failing DNS host name:
 3bc660c2-37fd-42c4-90c6-440577401455._msdcs.ntv.local
 
Event Type:        Warning
Event Source:        NTDS KCC
Event Category:        Knowledge Consistency Checker
Event ID:        1925
Date:                28.05.2009
Time:                23:08:27
User:                NT AUTHORITY\ANONYMOUS LOGON
Computer:        ALKASAR
Description:
The attempt to establish a replication link for the following writable directory partition failed.
 
Directory partition:
CN=Configuration,DC=ntv,DC=local
Source domain controller:
CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ntv,DC=local
Source domain controller address:
3bc660c2-37fd-42c4-90c6-440577401455._msdcs.ntv.local
Intersite transport (if any):
 
 
This domain controller will be unable to replicate with the source domain controller until this problem is corrected.

в журнале службы репликации фалов:

Код:

Event Type:        Error
Event Source:        NtFrs
Event Category:        None
Event ID:        13568
Date:                29.05.2009
Time:                18:51:50
User:                N/A
Computer:        ALKASAR
Description:
The File Replication Service has detected that the replica set "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" is in JRNL_WRAP_ERROR.
 
 Replica set name is    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
 Replica root path is  : "c:\windows\sysvol\domain"
 Replica root volume is : "\\.\C:"
 A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found.  This can occur because of one of the following reasons.
 
 [1] Volume "\\.\C:" has been formatted.
 [2] The NTFS USN journal on volume "\\.\C:" has been deleted.
 [3] The NTFS USN journal on volume "\\.\C:" has been truncated. Chkdsk can truncate the journal if it finds corrupt entries at the end of the journal.
 [4] File Replication Service was not running on this computer for a long time.
 [5] File Replication Service could not keep up with the rate of Disk IO activity on "\\.\C:".
 Setting the "Enable Journal Wrap Automatic Restore" registry parameter to 1 will cause the following recovery steps to be taken to automatically recover from this error state.
 [1] At the first poll, which will occur in 5 minutes, this computer will be deleted from the replica set. If you do not want to wait 5 minutes, then run "net stop ntfrs" followed by "net start ntfrs" to restart the File Replication Service.
 [2] At the poll following the deletion this computer will be re-added to the replica set. The re-addition will trigger a full tree sync for the replica set.
 
WARNING: During the recovery process data in the replica tree may be unavailable. You should reset the registry parameter described above to 0 to prevent automatic recovery from making the data unexpectedly unavailable if this error condition occurs again.
 
To change this registry parameter, run regedit.
 
Click on Start, Run and type regedit.
 
Expand HKEY_LOCAL_MACHINE.
Click down the key path:
  "System\CurrentControlSet\Services\NtFrs\Parameters"
Double click on the value name
  "Enable Journal Wrap Automatic Restore"
and update the value.
 
If the value name is not present you may add it with the New->DWORD Value function under the Edit Menu item. Type the value name exactly as shown above.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

на дополнительном КД:

в журнале службы каталогов:

Код:

Тип события:        Предупреждение
Источник события:        NTDS Replication
Категория события:        DS RPC-клиент
Код события:        2088
Дата:                29.05.2009
Время:                18:58:20
Пользователь:                NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер:        SERVER
Описание:
Active Directory не может использовать DNS для разрешения указанного ниже IP—адреса исходного контроллера домена. Чтобы сохранить согласованность групп безопасности, групповой политики, пользователей и компьютеров и их паролей, Active Directory была успешно реплицирована с помощью NetBIOS или полное доменное имя исходного контроллера домена.
 
 Неправильная настройка DNS может влиять на другие важные операции на рядовых компьютерах, контроллерах домена или серверах приложений в лесе этой службы каталогов Active Directory, включая проверку подлинности при входе или доступ к сетевым ресурсам.
 
 Следует как можно скорее исправить ошибку настройки DNS, чтобы этот контроллер домена мог выполнять разрешение IP—адреса исходного контроллера домена с помощью DNS.
 
 Имя альтернативного сервера:
 alkasar.ntv.local
 Ошибочное имя узла DNS:
 aa7915e8-053a-4416-9df0-8fb888ab8956._msdcs.ntv.local

Код:

Тип события:        Предупреждение
Источник события:        NtFrs
Категория события:        Отсутствует
Код события:        13508
Дата:                31.05.2009
Время:                21:13:01
Пользователь:                Н/Д
Компьютер:        SERVER
Описание:
Служба репликации файлов столкнулась с проблемами при включении репликации с "\\alkasar.ntv.local" на "SERVER" для "c:\windows\sysvol\domain", использующего DNS-имя "\\alkasar.ntv.local". Служба репликации файлов (FRS) продолжит повторные попытки.
 Ниже указаны причины, по которым может выдаваться это предупреждение.
 
 [1] FRS не может разрешить DNS-имя "\\alkasar.ntv.local" с этого компьютера.
 [2] FRS не запущена на "\\alkasar.ntv.local".
 [3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

Папочка sysvol так и не появилась на втором сервере. Службы DFS и репликации включены и работают на обоих КД.

Когда набираю \\ntv.local на основном КД, то попадаю на дополнительный, но не могу зайти ни в одну расшаренную папку.
Когда набираю \\ntv.local на дополнительном КД, то попадаю на основной, могу зайти в папочки sysvol и netlogon, а в остальные расшаренные папки не могу попасть.

Подскажите в чем дело, плиз. Почему то кажется, что в DNS. Какие данные необходимо еще привести?

hnsk 11-06-2009 15:52 1141043

доброго времени суток!

win2k3 st.ed.
состояние:
dc - 10.3 ad + dns
sdc - 10.4 dns

настроки днс на серверах
dc
dns: 10.3

sdc
dns: 10.3
10.4


в логах ошибок нету
dcdiag и netdiag проходят нормально на обоих серверах
dns прекрасно реплецируется


пробую повысить sdc до DC

1dcpromo /adv
2дополнительный контроллер домена в этом домене
3по сети с контроллера домен
4user
pass
domianname

5 обзор - domianame
6 папка располежения БД
папка расположения журнала
оставляю по умолчанию
7 размещение папки sysvol - по умолчанию


идет процесс повышения роли
ребут

dc - netdiag, dcdiag - ok

sdc- netdiag, dcdiag - ok


далее создаю учетку проверяю появится ли она на дополнительном dc


учетка создалась!

теперь иммитирую выход их строя dc


перезагружаю sdc

очень долго ждет "настройка сетевых подключений"



вопрос если же они независимые, а только копируются друг с друга, то в чем собственно проблема?!)

на sdc
источник ntds replication
кактегория ds rpc-клиент
код 2087
вопрос это нормальное поведение серверов в такой ситуации?


после ребута обоих серверов dcdiag'и ругаются на репликацию
sdc

ntds perlication
репликация
1586

ntds kcc
проверка согласований знаний
1308

ntds replication
ds rpc-клиент
2088

dc
ntds replication
ds rpc-клиент
2088

ntds kcc
проверка согласований знаний
1308


вопрос как проходит репликация?
есть ли еще какие-нибудь методы проверки правильности работы серверов кроме dcdiag и netdiag?
имеет ли смысл делать дополнительный КД владельцем ГК?

как сделать принудительную синхронизацию серверов?
и вообще какое нормально повоеденеи КД при неисправности другого? репликация синхронизация времени это понятно, а что еще?!
на сайте микрософта ответ на свой вопросы я не нашел :-(

hnsk 17-06-2009 13:05 1144986

up!

Delirium 18-06-2009 01:06 1145581

hnsk, само собой, что у вас не будет авторизации при отключении первого контроллера. Для того, чтобы второй сервер смог обслуживать вход в систему, необходимо на этом сервере установить галку "Глобальный каталог" в оснастке "Сайты и службы" - ntds settings. Только после этого второй контроллер будет обслуживать клиентов.

hnsk 18-06-2009 08:53 1145711

Delirium,
спасибо!
а в остальном, что еще необходимо сделать?

Delirium 18-06-2009 09:46 1145734

hnsk, да в принципе ничего :) если DNS работает корректно, AD работает, то в принципе можно ничего и не трогать.

hnsk 18-06-2009 20:49 1146244

Delirium, dcdiag и netdiag ругаются только когда один из серверов отключен

foxbat 13-07-2009 17:11 1166531

Подмена PDC
 
Добрый час ! Задача такая нынешний PDC поставить на новый комп. Прошу консультации по действиям в этом случае. На данный момемент план действий такой. В сети 9 доп DC (backup) и 1 PDC. Я добавляю новый дополнительный DC (10 ый). И передаю роли FSMO ему (через хозяева операций) тем самым делая его PDC. Затем снимаю галку "глобальный каталог" ("АД: Сайты и службы" NTDS properties) и переставляю её на новый контроллер. Всё так, ничего не забыл ?

Delirium 15-07-2009 01:12 1167871

foxbat, галка Глобального каталога может стоять хоть на всех контроллерах, не обязательно на одном. Просто без этой галки все контроллеры - не более чем реплика AD, услуг по авторизации пользователей они не проводят. В вашем случае порядок примерно такой:
1. Передача ролей на новый сервер (или на несколько других, как угодно).
2. Выставление галки "глобального каталога" на новом контроллере. Дожидаемся окончания репликаций и операции.
3. Понижаем старый контроллер до уровня рядового сервера(без AD). Все, старый сервер можно тушить.

jabob 21-07-2009 17:16 1173755

помогите советом - запутался!

два сервака - новый new и старый old? нужно старый перенести на новый, делаю:
на new ставлю ОС, ввожу в домен, а дальше уже проблемы и путаница у меня(. запутался до того, что не понимаю, где присваивать и кому роли...

разъясните подробно, пожалуйста как делать... на new установить роль AD? или на old установить роль для new?
проблемы, которые возникали в обоих случаях: 1 - не получается создать дочерний Контроллер Домена (ошибка DNS имени), 2 - еще одну AD нельзя создать, только удалить...
old сервер - win2k3 sp2.
ps - цель - перенести все настройки и данные так, чтобы пользователи этого и не заметили) и старый сервак списать в утиль.

hnsk 21-07-2009 18:09 1173807

jabob,

http://support.microsoft.com/kb/324801


30 секунд гугления ;)

jabob 21-07-2009 19:56 1173923

это малость не то, я даже не дошел до этого... не могу установить дополнительный контроллер. кто может по пунктам объяснить, заплутавшему?

hnsk 21-07-2009 20:08 1173932

jabob,
Устанавливаете на втором компьютере windows server (любую кроме web edition)
задаете настройки сетевой карточки
в моем случае было 192.168.10.3 на первом
192.168.10.4 на втором
dns у дополнительного контроллера домена(на втором компе) задаете:
приоритетный ip первого сервера
альтернативный ip свой
на втором компе: через мастер ролей устанавливаете dns-сервер
на первом компе в консоле dns добовляете в ns записи(сервера имен) ip адресс второго компа
на вкладке перессылка задаете ip адресс второго компа
на втором компе: заходите в консоль dns и жмете на зоны и жмете f5 (обновить)

все с первого сервера должно появится на втором!

вообщем сейчас я троплюсь! приду и напишу как с AD быть

jabob 21-07-2009 20:14 1173941

hnsk, спасибо на этом даже! завтра буду пробовать... сейчас дома, нет возможэности тестировать

hnsk 21-07-2009 20:19 1173948

jabob,
на рабочем сервере, не советую пробовать!

пробуйте на виртуальных машинах, если есть возможность!
НЕ СТАВЬТЕ ВИРТАЛЬНУЮ МАШИНУ НА КД!!!!

jabob 21-07-2009 20:56 1173984

возможности нет и сроки поджимают.... еще переносить базы 1С и CRM нужно будет... но это проще, насколько известно

Delirium 22-07-2009 00:57 1174193

jabob, http://forum.oszone.net/thread-145390.html

hnsk 22-07-2009 17:43 1174821

jabob,
нуу, это не оч хорошо! есть возможность еще больше проблем поиметь!


вот по КД
значит мы щас находимся на этапе когда у нас уже есть дополнительный рабочий dns сервер

на втором сервере: идем опять в мастрер настройки сервера

жмем Контроллер домена либо запускаем dcpromo /adv
когда спросит "где мне искать базу AD" ответьте "скопировать по сети"
выбираем из списка дополнительный контроллер домена
вбиваем то что нужно имя домена подчеркнутое nameserver.local вообщем ту часть без имени сервера
вбиваем логин и пароль
далее он сам вам втянет его в домен
в AD во "пользователи и компьютеры" он у вас должен появится в "domain controllers"
далее делаем его владельцем GC это в "active directory домены " где-то на вкладках поищите. точно не помню!

далее запускам dcdiag, netdiag с правами администратора (из можно найти на диске с вашей windows server)
проверяем логи!

если есть проблемы с репликацией, то реплицируем их принудительно утилиткой replmon которую можно найти там же!

далее все делаете по статье ссылку на которую я уже давал!

удачи!


Если я что-то забыл или ошибся - поправьте меня

Michael 22-07-2009 20:16 1174935

jabob, Как правильно создать и настроить дополнительный контроллер домена Windows 2003? и не забывай про бэкапы перед началом таких глобальных работ

hnsk 23-07-2009 00:30 1175148

Michael,
хорошая статья

jabob 04-08-2009 10:22 1185001

подскажите, пжста. такая ситуация - подключил дополнительный контроллер домена, включил функцию глобального каталога, завел пользователей, группы, все сидят в новом домене.
вопрос - как повысить его до главного контроллера домена, удалить старый?
после удаления старого, не произойдет ли какого либо сбоя при входе в домен?

hnsk 09-08-2009 00:37 1189148

jabob, все ли ты тесты у вас проходят нормально?!
а чем собственно проблема?! почему бы не оставить два контролле домена - лишняя отказоустойчивать никогда бы не помешала

jabob 11-08-2009 06:31 1190707

дело в том, что главный пережил пожар и очень нестабильно работает (то сам по себе отлючит питание, то просто висит)
тесты - единственное, что смущает - http://forum.oszone.net/showthread.p...54#post1185954

clin 12-08-2009 22:53 1192271

Подскажите мне на счёт резервного контроллера домена... Т.к. его копии, хз как назвать. В общем объясняю, что мне необходимо. Есть сейчас w2k3, AD, DNS. Пользователи, права, всё настроено. Не хочется всё потерять когда ляжет винт, или ещё что-то... Инфа (файл-серв) бекапится. А вот как быть с контроллером домена? Есть ещё одна машина, хочется сделать так, чтобы если ляжет первый КД, то пользователи питались со второго. Или, если первый выключить, на второй смогут зайти? Нужно именно это... Спасибо.

hnsk 12-08-2009 23:10 1192289

clin,


чуть выше давали ссылку на вот это Q: Как правильно создать и настроить дополнительный контроллер домена Windows 2003?

A:

1. Выполняем проверку конфигурации первого контроллера домена
Например как указано в этой статье MS KB:
"Рекомендации по настройке контроллеров домена Windows"
конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес.
проверям Журналы событий на предмет наличия ошибок при настройке этого КД
также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)

2. Делаем резервную копию первого КД
(Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)

3. На новый сервер устанавливаем ОС

4. Выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.

5. Выполняем подключение этой системы к домену по DNS имени домена (Servers - - [NTDS Settings] -> Servers - your.domain.local - [NTDS Settings]).
Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.

6. Регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)

7. Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
(Если есть необходимость развернуть новый контроллер удаленно можно использовать резервную копию первого КД для оперции загрузки базы AD)

8. В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена

9. Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных

10. Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)

11. Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена)

12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)

13. Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.your.domain.local> и your.domain.local). Иначе перезагружаем сервер.

14. Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:

15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.

16. Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты. (Если только не используется особые режимы настрйки инфраструктыры DNS)

17. Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - ДК2 - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.

18. Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.

Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу
б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять
в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.) конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).

выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.

Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума:
Создание дополнительного контроллера домена Windows 2003


http://www.oszone.net/3644/#1

hnsk 28-08-2009 19:15 1205752

возможно я сейчас задам очень глупый вопрос:
есть два контроллера домена win2003
dcdiag и netdiag везде проходят успешно
при изменении на одном из КД чего либо на другом КД изменения тоже видны

НО почему-то в логах "службы репликации файлов" нету сообщений с того времени как сервера были включены!
но тем не менее репликация есть.

объясните пожалуйста или тыкните носом в логах я могу увидеть только предупрждения и ошибки? или все таки уведомления о каждой репликации должны регистрироваться?!

foxbat 07-09-2009 17:25 1213457

за счёт чего контроллер домена имеет статус Primary ? роли FSMO ? а если эти роли раскидать по нескольким контроллерам ?

Delirium 08-09-2009 01:18 1213758

Цитата:

Цитата foxbat
за счёт чего контроллер домена имеет статус Primary ? »

Нет такого понятия в доменах 2003. Это название осталось по привычке от доменов NT. В 2003 все домены равны между собой, просто один может быть глобальным каталогом и обслуживать вход клиентов в систему, а другой просто репликой AD ну и, может быть, нести какую либо роль FSMO.

foxbat 08-09-2009 11:05 1213920

а если глобальных каталогов будет несколько ?
P.S. например в моей сети утилита Dame Ware определяет один DC так - Windows NT Primary, а остальные NT Backup (все серверы 2003). это на том основании что первый является глобальным каталогом ?

Delirium 09-09-2009 00:57 1214445

Цитата:

Цитата foxbat
в моей сети утилита Dame Ware определяет один DC так - Windows NT Primary, а остальные NT Backup »

Dameware может определять как угодно, как разработчики решили, так и нарисовали надпись. Принцип, как DameWare определяет сеть, мне неизвестен :)
Цитата:

Цитата foxbat
а если глобальных каталогов будет несколько ? »

Значит их будет несколько. Помимо реплик AD они будут еще и обслуживать вход клиентов в систему.

Oleg Krylov 09-09-2009 00:58 1214446

:)
Цитата:

Цитата Delirium
Принцип, как DameWare определяет сеть, мне неизвестен »

По носителю роли PDC эмулятор :)

Delirium 09-09-2009 02:23 1214459

Цитата:

Цитата Oleg Krylov
По носителю роли PDC эмулятор »

Ну если только так, через WMI запрашивает и выводит :)

foxbat 22-09-2009 12:03 1224629

Добрый час ! есть вопрос... преамбула к вопросу: собираюсь переносить контроллер домена, основные операции "согласованы" тут , общая схема переноса Delirium-a :). ОДНАКО, моя схема отличается в том что я собираюсь вернуть новый DC на место старого (в смысле IP). Т.е. на том IP где сейчас работает "старый" будет новый DC с новым именем. На сколько я понял нельзя просто взять и поменять IP на контроллере. Или можно ? на данный момент я уже сделал новый сервак доп контроллером и видмо зря. я полагаю правильно всё это сделать можно с помощью 3 ёх компов
1. делаем промежуточный DC репликой главного и передаём ему все роли DNS и т.д.
2. понижаем и тушим старый сервант
3. включаем с его IP новый сервер и делаем пункт 1 только обратно.

есть какие мысли по этому поводу ?

Oleg Krylov 22-09-2009 12:32 1224649

Есть. Во-первых нет никаких ролей DNS. Есть роли FSMO. И это абсолютно не то.
Во-вторых третий шаг лишний. Не надо поднимать дополнительный промежуточный сервер. Достаточно сменить новому контроллеру адресацию, и выполнить netdiag /fix. Этой командой Вы перерегистрируете ресурсные записи, ивсе будет хорошо. Но это будет работать при условии наличия ПРАВИЛЬНО настроенного DNS.

foxbat 22-09-2009 12:42 1224656

Цитата:

Цитата Oleg Krylov
Есть. Во-первых нет никаких ролей DNS. Есть роли FSMO. И это абсолютно не то.»

пардон, я запятую не поставил между ролями и DNS :)

далее хотелось бы поподробнее, о "смене новому контроллеру адресации". и как понять что DNS настроен правильно.

спасибо заренее

Oleg Krylov 22-09-2009 13:30 1224694

Цитата:

Цитата foxbat
поподробнее, о "смене новому контроллеру адресации »

Тут подробнее некуда. Меняете адреса на сетевом интерфейсе нового контроллера на те, котоые были у старого. Естественно, старый должен быть понижен и отключен от сети, или иметь уже другую адресацию. Затем выполняете netdiag /fix (не уверен, есть ли команда в дистрибутиве, вполне возможно нужно будет установить Support Tools). Для верности можно еще и DNS перезапустить. Но это лишнее.
Цитата:

Цитата foxbat
как понять что DNS настроен правильно »

Он должен принимать безопасные обновления (читай разрешать запись компьютерам - членам домена) и иметь зону обратного просмотра.

foxbat 22-09-2009 15:27 1224768

понятно я когда спрашивал накануне я и имел ввиду это, просто думал это недопустимо для контроллера домена, ввиду привязки ДНС к старому IP

Цитата:

Цитата Oleg Krylov
Он должен принимать безопасные обновления (читай разрешать запись компьютерам - членам домена) и иметь зону обратного просмотра. »

каким способом можно проверить ? в сети есть 10 DC, 3 DNS, обратная зона не настроена вроде бы

P.S. еслия вношу измененения в ДНС одного сервера и эти изменения отображаются на нужно, считаем что он (сервер) принимает безопасные обновления ?

mr.Brightside 28-09-2009 23:50 1229873

1. Ставите Support tools - и гоняешь до посинения dcdiag, netdiag, пока не будет никаких ошибок и все будет successful
2. Запускаете на старом КД adprep /forestprep и adprep /domainprep - если версии серверных ОС отличаются и устанавливаемая более новая, чем старая
3. Устанавливаете ось
4. Добавляете в существующий домен новый КД. Причем в качестве предпочитаемого ДНС у нового КД надо указать ай пи старого КД
5. Ставите на новый КД АД и ДНС (сервисы с диска) при помощи dcpromo
6. На старом кд предпочитаемый ДНС - свой айпи, альтернативный - ай пи нового КД. На новом КД также (свой ай пи - основной ДНС, альтернативный - ай пи второго КД)
7. На новый КД ставите опять Support tools и опять гоняешь, пока не будет никаких ошибок
8. Если надо перенести Глобальный каталог - ставите галочку)
9. Если надо передать/получить роли - читаешь http://support.microsoft.com/kb/255504

Если я не правильно понял, что требуется, то объясните получше пожалуйста...

Если после пункта №7 не будет никаких ошибок - у Вас два КД.

foxbat 08-10-2009 19:17 1237873

было: 192.168.0.1 (КД носитель всех FSMO + АД, ДНС ДШЦП),+ 10 периферйных КД (топология звезда. реплицируются только периферия с центром). т.к. разделения на сайты нет, а периферия пытаются реплицироваться др6уг с другом - возникает ошибка. тем не мене проблем с репликацией не наблюдается. т.е. ошибки есть но всё работает. + к этому есть ещё 2 ДНС, 2 ВИНС.
есть: 192.168.0.3 - добавлен новый КД, перенесены все роли FSMO на него, ДНС ещё не настроен.
нужно: 192.168.0.3 сделать 192.168.0.1, а тот который сейчас есть ***0.1 сделать рядовым сервером с другим ИП (***0.2)

p.s. репликация нормально проходит на новый КД, netdiag и dcdiag критичческих ошибок недаёт. как буду делать. понижаю нынешний ***0.1 до сервера. настраиваю ДНС на 192.168.0.3. выключаю ***0.1. меняю IP 192.168.0.3 на 192.168.0.1 (вот этот момент меня пугает.). иду в ОК за трудовой книжкой (шутка :)).. надеюсь

Angry Demon 09-10-2009 09:15 1238199

Цитата:

Цитата foxbat
меняю IP 192.168.0.3 на 192.168.0.1 (вот этот момент меня пугает.)

Ничего страшного тут нет. Производилось. Работает.

SteeL192 01-02-2010 15:38 1335971

Я извеняюсь, может и не вту тему, но возникла проблемма.
Есть сеть вней два сервера контроллера доменов, на резервном стоит windows server 2003 EE анг., а на главном контроллере доменов windows server 2003 SE SP2 + R2 рус.,
и вот в чем проблемма не проходит репликация.
Точнее с резервного на основной проходит, а с основного на резервный нет.

Angry Demon 01-02-2010 15:56 1335986

SteeL192, логи?

SteeL192 01-02-2010 15:59 1335991

Angry Demon, какие?

Angry Demon 01-02-2010 20:49 1336275

SteeL192, системные, вестимо.

SteeL192 02-02-2010 11:24 1336775

Вложений: 1
Angry Demon, на основном контролере доменов в "служба коталогов" две ошибки постоянно
1
The description for Event ID ( 1925 ) in Source ( NTDS KCC ) could not be found. It contains the following insertion string(s): .
CN=Schema,CN=Configuration,DC=Axioma
3324136b-4513-4ba4-aa07-b1a34ce787c0._msdcs.Axioma
Репликация Active Directory с этим сервером невозможна, поскольку время с момента последней репликации с этим сервером превышает время жизни захоронения.
CN=NTDS Settings,CN=DELTA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Axioma

8614

2
The description for Event ID ( 2042 ) in Source ( NTDS Replication ) could not be found. It contains the following insertion string(s): .
2008-11-26 19:31:42
0393f820-f810-0393-0100-000000000000
3324136b-4513-4ba4-aa07-b1a34ce787c0._msdcs.Axioma
60
Allow Replication With Divergent and Corrupt Partner

В системе никаких ошибак связаных нет с этим

на резервном контролере доменов в системе ошибки лог прикрепил

SteeL192 05-02-2010 16:17 1339851

помогите пожалуйста очень буду благодарен

pesherov 31-03-2010 11:08 1381373

Добрый день всем!
Нужна ваша помощь!
Хочу полностью заменить домен контроллеры,так как старые домены уже глючат!
опишите весь процесс.
с,уважением.

Erossy 19-09-2010 15:42 1499117

Вопрос:

Имеется 2 сетки 192.168.1.0\24 и 192.168.0.0\24, cоединенные по IPSec поверх очень узкого канала (спутникового).
В сетке 192.168.1.0\24 стоит контроллер домена srv1.domain.local (он же DNS\DHCP). В сетке 192.168.0.0\24 серверов нет (рабочая группа).

Необходимо подключить сетку 192.168.0.0\24 к домену domain.local, при этом в сетке 192.168.0.0\24 необходимо поставить контроллер домена srv2.domain.local таким образом, чтобы между ним и srv1.domain.local происходила репликация, а пользователи в сетке 192.168.0.0\24 за обновлением групповых политик, с DNS\DHCP запросами, обращались в первую очередь к srv2.domain.local, а не захламляли и без того узкий канал запросами к srv1.domain.local

Возможно ли реализация данного требования без создания дополнительного дерева\леса доменов?

monkkey 27-09-2010 09:35 1505371

Цитата:

Цитата Erossy
Возможно ли реализация данного требования без создания дополнительного дерева\леса доменов? »

Да, если подсети будут в разных сайтах.

C-n1x 08-10-2010 12:35 1514223

Суть вопроса: Есть сервер под винд 2003 ент, поднят домен. в домене зареганы юзеры. При отключении сервера, пользователи все равно свободно логинятся в свой комп, хотя локальный профиль не содержит такого пользователя.

Например: локальный профиль содержит только учетную запись под именем - "юзер". А в ад, у него заведена учетка - "пользователь". При отключении сервака, или при физическом отключении компа юзера от сети, он все ртавно имеет возможность входить под учетной записью "пользователь" на свой пэвм.

Объясните мне как это возможно?

monkkey 08-10-2010 16:05 1514390

C-n1x,
Первое: Это возможно, если разрешено кэширование паролей.
Второе: Важно не название профиля, а SID пользователя.

Diesel315 28-12-2010 15:27 1576327

Всем добрый день. Хотелось бы уточнить кое-какие нюансы. Есть два КД основной и резервный, оба крутятся на WS2003SP2. Задача вместо резервного WS2003SP2 развернуть на гипервизоре WS2003SP2R. Вопрос касательно различий версий. Почитав разные статьи понятно, что нужно обновить лес командой adprep /forestprep итак первый вопрос:
1) нужно ли применять остальные команды -
adprep /domainprep
adprep /domainprep /gpprep
adprep /rodcprep
Вопрос 2) При обновлении со второго диска не слетят ключи.
Вопрос 3) Данные команды надо выполнять на полном держателе ролей или сойдет просто на резервном КД.
Вопрос 4) Данные команды просто расширят функционал леса, но не обновят до R2

Заранее спасибо за внимание.

monkkey 29-12-2010 12:51 1576934

1.
Цитата:

Цитата Diesel315
adprep /domainprep »

Это вторая и заключительная команда.
1.2. Read-Only DC возможен только в 2008.
Цитата:

Цитата Diesel315
При обновлении со второго диска не слетят ключи. »

Нет.
3. На любом действующем контроллере домена.
4. R2 к лесу отношения не имеет, только к ОС, но функционал леса и домена расширяется.

Anaska 28-04-2011 05:09 1666979

ребята подскажите такой вопрос.
Контора решила купить новый сервак на базе win 2008 R2, старый был на Win 2003.
Вопрос такой, надо перенести все настройки с 2003 на 2008.

Подскажите как для чайника все это дело сделать. какую-нибудь пошаговую инструкцию?
если не сложно.

AkP 28-04-2011 08:53 1667014

Цитата:

Цитата Anaska
Вопрос такой, надо перенести все настройки с 2003 на 2008. »

А что подразумевается под переносом настройки? Согласно теме "......контролер домена"?

Тогда все просто:

- ввести новый сервер в доме
- повысить его до КД
- перевести все роли на него
- отключить старый сервер и проверить работоспособность
- включить старый КД и понизить его уровень до обычного сервера

http://technet.microsoft.com/ru-ru/l...8WS.10%29.aspx

Veseliy 27-01-2012 15:28 1845635

Всем сдрасте.
Требуется помощь в решении следующих задач.
Есть контроллер на 2003 r2(SRVDC1) - он является основным, был восстановлен из бэкапа
был второй контроллер - резервный -на 2008 r2(SRVDC2).
начались проблемы после восстановления основного контроллера.
не могу создать учетку - пишет: служба каталогов не смогла выделить относительный идентификатор.
репликация не проходит между КД
не могу создать доверие между доменами...
Погуглив - набрел на то что надо убирать резервный КД. Убрал при помощи dcpromo /forceremoval
Но в итоге проблемы не решило. Как мне Основной КД сделать работоспособным?
dcdiag :

Z:\>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\SRVDC1
Starting test: Connectivity
......................... SRVDC1 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site\SRVDC1
Starting test: Replications
[Replications Check,SRVDC1] A recent replication attempt failed:
From SRVDC2 to SRVDC1
Naming Context: DC=ForestDnsZones,DC=Mogisp,DC=local
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
The failure occurred at 2012-01-27 13:48:06.
The last success occurred at 2012-01-20 17:14:17.
60 failures have occurred since the last success.
[SRVDC2] DsBindWithSpnEx() failed with error 1753,
В системе отображения конечных точек не осталось доступных конечных точ
ек..
[Replications Check,SRVDC1] A recent replication attempt failed:
From SRVDC2 to SRVDC1
Naming Context: DC=DomainDnsZones,DC=Mogisp,DC=local
The replication generated an error (1256):
Удаленная система недоступна. За информацией о разрешении проблем в
сети, обратитесь к справочной системе Windows.
The failure occurred at 2012-01-27 13:48:06.
The last success occurred at 2012-01-20 17:14:20.
60 failures have occurred since the last success.
[Replications Check,SRVDC1] A recent replication attempt failed:
From SRVDC2 to SRVDC1
Naming Context: CN=Schema,CN=Configuration,DC=Mogisp,DC=local
The replication generated an error (1753):
В системе отображения конечных точек не осталось доступных конечных
точек.
The failure occurred at 2012-01-27 13:48:06.
The last success occurred at 2012-01-20 16:46:20.
60 failures have occurred since the last success.
The directory on SRVDC2 is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.
[Replications Check,SRVDC1] A recent replication attempt failed:
From SRVDC2 to SRVDC1
Naming Context: CN=Configuration,DC=Mogisp,DC=local
The replication generated an error (1753):
В системе отображения конечных точек не осталось доступных конечных
точек.
The failure occurred at 2012-01-27 13:48:05.
The last success occurred at 2012-01-20 16:51:50.
64 failures have occurred since the last success.
The directory on SRVDC2 is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.
[Replications Check,SRVDC1] A recent replication attempt failed:
From SRVDC2 to SRVDC1
Naming Context: DC=Mogisp,DC=local
The replication generated an error (1753):
В системе отображения конечных точек не осталось доступных конечных
точек.
The failure occurred at 2012-01-27 13:48:06.
The last success occurred at 2012-01-20 17:20:03.
72 failures have occurred since the last success.
The directory on SRVDC2 is in the process.
of starting up or shutting down, and is not available.
Verify machine is not hung during boot.
REPLICATION-RECEIVED LATENCY WARNING
SRVDC1: Current time is 2012-01-27 14:24:37.
DC=ForestDnsZones,DC=Mogisp,DC=local
Last replication recieved from SRVDC2 at 2012-01-20 17:14:17.
DC=DomainDnsZones,DC=Mogisp,DC=local
Last replication recieved from SRVDC2 at 2012-01-20 17:14:20.
CN=Schema,CN=Configuration,DC=Mogisp,DC=local
Last replication recieved from SRVDC2 at 2012-01-20 16:46:20.
CN=Configuration,DC=Mogisp,DC=local
Last replication recieved from SRVDC2 at 2012-01-20 16:51:50.
DC=Mogisp,DC=local
Last replication recieved from SRVDC2 at 2012-01-20 17:20:03.
......................... SRVDC1 passed test Replications
Starting test: NCSecDesc
......................... SRVDC1 passed test NCSecDesc
Starting test: NetLogons
......................... SRVDC1 passed test NetLogons
Starting test: Advertising
......................... SRVDC1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SRVDC1 passed test KnowsOfRoleHolders
Starting test: RidManager
The DS has corrupt data: rIDPreviousAllocationPool value is not valid
No rids allocated -- please check eventlog.
......................... SRVDC1 failed test RidManager
Starting test: MachineAccount
......................... SRVDC1 passed test MachineAccount
Starting test: Services
......................... SRVDC1 passed test Services
Starting test: ObjectsReplicated
......................... SRVDC1 passed test ObjectsReplicated
Starting test: frssysvol
......................... SRVDC1 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... SRVDC1 failed test frsevent
Starting test: kccevent
An Warning Event occured. EventID: 0x8025082C
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000747
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000747
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x8025082C
Time Generated: 01/27/2012 14:18:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000747
Time Generated: 01/27/2012 14:18:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000747
Time Generated: 01/27/2012 14:18:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0000747
Time Generated: 01/27/2012 14:18:06
(Event String could not be retrieved)
......................... SRVDC1 failed test kccevent
Starting test: systemlog
......................... SRVDC1 passed test systemlog
Starting test: VerifyReferences
......................... SRVDC1 passed test VerifyReferences

Running partition tests on : TAPI3Directory
Starting test: CrossRefValidation
......................... TAPI3Directory passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... TAPI3Directory passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : Mogisp
Starting test: CrossRefValidation
......................... Mogisp passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Mogisp passed test CheckSDRefDom

Running enterprise tests on : Mogisp.local
Starting test: Intersite
......................... Mogisp.local passed test Intersite
Starting test: FsmoCheck
......................... Mogisp.local passed test FsmoCheck


netdiag:
KB2530548-IE8
KB2535512
KB2536276
KB2536276-v2
KB2544521-IE8
KB2544893
KB2555917
KB2559049-IE8
KB2562485
KB2566454
KB2567680
KB2570222
KB2570791
KB2570947
KB2571621
KB2607712
KB2616676-v2
KB923561
KB924667-v2
KB925398_WMP64
KB925876
KB925877
KB925902-v2
KB926139-v2
KB926141
KB927891
KB929123
KB930178
KB931836
KB932168
KB933729
KB933854
KB935839
KB935840
KB936357
KB936782
KB938127
KB938127-IE7
KB938464
KB941569
KB942830
KB942831
KB943055
KB943460
KB943485
KB943729
KB944338-v2
KB944653
KB945553
KB946026
KB948496
KB948590
KB949014
KB950762
KB950974
KB951066
KB951072-v2
KB951698
KB951746
KB951748
KB952004
KB952069
KB952954
KB953298
KB954155
KB954211
KB954550-v5
KB954600
KB955069
KB955759
KB955839
KB956390
KB956390-IE7
KB956391
KB956572
KB956744
KB956802
KB956803
KB956841
KB956844
KB957095
KB957097
KB958215-IE7
KB958644
KB958687
KB958690
KB958869
KB959426
KB960225
KB960714-IE7
KB960803
KB960859
KB961063
KB961118
KB961260-IE7
KB961371
KB961371-v2
KB961373
KB961501
KB963027-IE7
KB967715
KB967723
KB968389
KB968537
KB968816
KB969059
KB969805
KB969883
KB969897-IE7
KB969947
KB970238
KB970483
KB971029
KB971032
KB971468
KB971486
KB971557
KB971633
KB971657
KB971737
KB971961
KB971961-IE8
KB972260-IE7
KB972270
KB973037
KB973346
KB973354
KB973507
KB973525
KB973540
KB973687
KB973815
KB973825
KB973869
KB973874-IE8
KB973904
KB973917
KB973917-v2
KB974112
KB974318
KB974392
KB974455-IE7
KB974571
KB975025
KB975467
KB975558_WM8
KB975560
KB975562
KB975713
KB976098-v2
KB976325-IE7
KB976325-IE8
KB976662-IE8
KB977165
KB977290
KB977816
KB977914
KB978037
KB978207-IE8
KB978251
KB978262
KB978338
KB978542
KB978601
KB978695
KB978706
KB979309
KB979482
KB979559
KB979683
KB979687
KB979907
KB980182-IE8
KB980195
KB980218
KB980232
KB980436
KB981322
KB981332-IE8
KB981550
KB981957
KB982132
KB982214
KB982381-IE8
KB982666
KB982802
Q147222


Netcard queries test . . . . . . . : Passed



Per interface results:

Adapter : ╧юфъы■ўхэшх яю ыюъры№эющ ёхЄш

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : SRVDC1
IP Address . . . . . . . . : 192.168.192.6
Subnet Mask. . . . . . . . : 255.255.254.0
Default Gateway. . . . . . : 192.168.192.1
Dns Servers. . . . . . . . : 192.168.192.6
194.158.196.137


AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{3823AE0A-D21D-411F-8516-2F0710C74C79}
1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server '192.168.192.
6' and other DCs also have some of the names registered.
[WARNING] The DNS entries for this DC are not registered correctly on DNS se
rver '194.158.196.137'. Please wait for 30 minutes for DNS server replication.


Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{3823AE0A-D21D-411F-8516-2F0710C74C79}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{3823AE0A-D21D-411F-8516-2F0710C74C79}
The browser is bound to 1 NetBt transport.


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Passed


Trust relationship test. . . . . . : Skipped


Kerberos test. . . . . . . . . . . : Passed


LDAP test. . . . . . . . . . . . . : Passed
[FATAL] Cannot open an LDAP session to 'SRVDC2.Mogisp.local' at '192.168.192
.16'.
[WARNING] Failed to query SPN registration on DC 'SRVDC2.Mogisp.local'.


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

datsun 09-02-2012 11:45 1854704

Всем добрый день!
Два сервера 2003 r2 (основной и резервный) на которых поднят файловый севрер. Подскажите как понизить приоритет второго сервака. Знаю что у них максимальный приритет 255 но убейте не могу вспомнить где настраивать. Заранее благодарю.

Angry Demon 09-02-2012 12:36 1854730

Цитата:

Цитата datsun
Подскажите как понизить приоритет второго сервака.

Приоритет в чём?

genkoo 02-04-2012 17:25 1892028

Товарищи! У меня вот какой вопрос
Есть домен contoso.com с 2 контроллерами домена. 1-й основной и 2-й дополнительный. На первом в dns в разделе forwarders стоят 2 dns сервера провайдера. На 2 в dns в разделе forwarders ничего не стоит. Если 1 контроллер домена выйдет из строя(сервер отключили), то пользователи обращаясь ко второму контроллеру(к dns) не смогут разрешать имена в интернете. Надо на нем в разделе forwarders поставить dns сервера провайдера сейчас?
Если 1 контроллер выходит из строя, то второй контроллер надо делать основным?
Как делать? В Active Directory Domains and Trusts Change Active Directory Domains Controller?
Если первый контроллер умирает навсегда то в Active Directory Sites and Services в Default-First-Site-Name нужно просто его удалить?

Angry Demon 02-04-2012 19:28 1892110

Цитата:

Цитата genkoo
1-й основной и 2-й дополнительный.

Неверно. Они равноправны, есть термин "эмулятор PDC".

Цитата:

Цитата genkoo
Надо на нем в разделе forwarders поставить dns сервера провайдера сейчас?

Надо.

Цитата:

Цитата genkoo
Если 1 контроллер выходит из строя, то второй контроллер надо делать основным?

См. первый ответ.

Цитата:

Цитата genkoo
Если первый контроллер умирает навсегда то в Active Directory Sites and Services в Default-First-Site-Name нужно просто его удалить?

Захват и передача ролей FSMO

genkoo 03-04-2012 03:43 1892306

Можешь объяснить термина "эмулятор PDC"? Это основной контроллер домена в домене? Как тогда дополнительный называется?
Другой вариант
Три контроллера домена в домене contoso.com. 1-й основной 2-ой и 3-й дополнительные. 2-ой выходит из строя(отключили). Как его удалить? В Active Directory Sites and Services удалить?

Angry Demon 03-04-2012 08:29 1892346

Цитата:

Цитата genkoo
Можешь объяснить термина "эмулятор PDC"?

Дам ссылку: FSMO Расписано всё.

Цитата:

Цитата genkoo
Три контроллера домена в домене contoso.com. 1-й основной 2-ой и 3-й дополнительные. 2-ой выходит из строя(отключили). Как его удалить?

Нужно удалить из сайта и домена. Для этого используйте инструмент Active Directory Users And Computers (Active Directory - Пользователи и компьютеры) и удалите объект, связанный с этим компьютером, из OU Domain Controllers (Контроллеры домена). В инструменте Active Directory Sites And Services (Сайты и службы Active Directory) удалите объект, связанный с этим компьютером, из контейнера Servers (Серверы) того сайта, в котором он был расположен.

genkoo 28-11-2012 09:48 2034471

Здравствуйте друзья!
На работе четыре AD(Active Directory) и на каждом стоит роль DNS. Один главный и три
дополнительных. Все они находятся в одном сайте. Решил оставить только один дополнительный. Два сервера на
которых расположены AD старые и буду списываться в ближайшее время. На всех ПК указано 2 DNS сервера - stwserv и vmware. Опыта понижение контроллера домена до
рядового сервера у меня нет так что есть пару вопросов у меня.
Вот текущая схема репликации

Как должно получится

Порядок моих действий
1 Полный бэкап на серверах backup и agibuba(на нем еще стоит MS ISA 2006. Если это как то может повлиять.)
2 На сервере backup удаляю AD
3 На сервере agibuba удаляю AD
Теперь у меня репликация между главным AD(stwserv) и дополнительным(vmware) потеряна.
4 На главном AD захожу в Active Directory Sites/Sites/defailt-first-site-name/servers и захожу в объект
stwserv и создаю New Active Directory Connection указываю vmware
Потом выбираю объект vmware создаю New Active Directory Connection и выбираю stwserv
5 Удаляю пустые объекты backup и agibuba в Active Directory Sites
Это всё? После этого все должно работать корректно?

Если после 2 пункта зайти на главный AD -> Active Directory Sites и создать New Active Directory Connection с
vmware, и в объекте vmware создать с stwserv. Что бы в 4 пункте не делать. Такой вариант подойдет?

genkoo 01-12-2012 06:31 2036377

4й пункт делать не надо. Все сделает KCC. Сегодня понизил. Все работает

natalypovar 26-12-2012 03:34 2053521

Все заработало :yahoo:

Wahorezko 12-07-2013 10:17 2183501

Всем добрый день, вот поставили такую задачку на работе: разобраться можно ли(если "да" то "как") , сделать репликацию с
win server 2003 на server 2008r2. Восьмерка чистая. На 2003 днс, дхчп нет.

Много читал про DFS , но как я понял мне в таком случае нужна 2003r2?
Если можно мануальчик, или книжечку где это описано.

Зы. спасибо за ранее.

fli 18-09-2013 22:44 2220100

Wahorezko, репликацию чего Вам нужно сделать? DFS? тут тема о КД.

Wahorezko 19-09-2013 10:29 2220261

fli
http://forum.oszone.net/thread-265176-3.html
если в кратце, то хозяин доменна помер, остался репликант без прав, нада ввести еше один домен, и сделать на него репликацию с старого репликанта, но не могу подготовить схему adpref так нужен хозяин схемы.

sls2001i 27-02-2014 00:35 2316393

Подскажите, как вернуть роль PDC домен контроллеру ? случайно на DC2 ткнул захвата роли ,когда DC1 был в офлайне, теперь не проходит реприкация у dc2. NETDOM пишет на dc1 что ему принадлежит все 5 ролей, на DC2 пишет ,что 4 роли принадлежат dc1 ,а PDC role - dc2.

sls2001i 27-02-2014 18:11 2316884

решил проблему включением входящей и исходящей репликацией на dc1.
Repadmin /options DC1 -disable_outbound_repl
Repadmin /options DC1 -disable_inbound_repl

winbond 01-05-2014 00:27 2345453

Алгоритм тут один (практически):
1) поставить второй контроллер (чистый), проверить репликацию и прочее (время, DNS, сеть), если поехало - идём дальше
2) вычистить первый
3) проверить на время, репликацию и днс
4) вынести первый, поедет автомат на второй
5) при желании повторить, в обратку

6) ОНО же ПЕРВОЕ. Нельзя на DC что-то ещё ставить. Нельзя!!!! Неважно насколько загружен сервер. НЕЛЬЗЯ! Вынесите на ВМ. Можно. Но всё равно ставить что-то в диси - упаси ктулху, если у вас нет хотя бы трех-пятилетнего опыта работы с АД. Нормального повседневного опыта, а не как у моего предшественника - раз в месяц.

7) Обязательно подразумевается DHCP, ибо заколебетесь статики править при числе клиентов более 20-30.
8) TMG и DC - отдельный случай. Это проблема TMG. Решается.

Могу пояснить пункты, хотя что ещё тут пояснять - не вижу особо, кроме п.8. Либо вы сисадмины, либо - нет.

cristiano_ross@vk 08-01-2016 13:12 2592395

Добрый день. Есть сервер 2003 , он является контроллером домена, нужно сервер 2012 сделать дублирующим контроллером домена, возможно ли это? И как это происходит просто указать при установке роли на 2012 на старый домен и все?

user67 13-04-2016 22:45 2625865

Всем привет! Ситуация следующая:

Имеются два контроллера домена на Windows 2003 (DC1 и DC2), настроена репликация между ними, оба глобальные каталоги в общем все как и положено. Сегодня обнаружились проблемы в работе HDD DC1 - обнаружились 2 бэд блока а также 7 "кандидатов" в эти бэд блоки (проверялось Victoria).
Дожидаться окончательного краха DC1 очень не хочется, в связи с этим мне видятся два пути решения :
1. Снять образ системы Акронисом и залить его на новый HDD
2. Поднять новый контроллер домена и передать ему роли с DC1 пока он еще живой

Какой вариант предпочтительнее?

Насчет Акрониса не уверен, что он сделает образ с бэд-блоком так как не сможет прочесть данные и не будет ли в дальнейшем ошибок в репликации, так как новый HDD будет в системе, пусть того же объема...

Ну и если все же поднимать новый AD то лучше поднять на 2003 или и с 2008 проблем при передаче ролей не возникнет?

Если у кого то есть опыт в решении данной проблемы, поделитесь плиз!
Заранее всем благодарен за советы и помощь!

Angry Demon 14-04-2016 09:52 2625971

Цитата:

Цитата user67
Какой вариант предпочтительнее?

Если быстро делать, то 1-й.

На будущее, учитесь использовать зеркальные RAID-массивы.

kot488 17-05-2016 10:24 2635345

Очень нужна ваша помощь. Имею КД на win 2003, поднял на виртуалке win 2003, через dcpromo добавил врезервный КД. Теперь старый нужно убрать из системы, но не проходит репликация. Если выключить основной КД то пользователи не могут залогинится. Принудительную репликацию не проходит, говорит Исходный сервер в настоящий момент отвергает запросы.
Полная синхронизация базы данных диспетчера учетных записей (SAM) с контроллерами домена, работающими под управлением Windows NT версии 4.0 или более ранней, будет выполнена, если роль эмулятора PDC будет передана локальному контроллеру домена до следующей успешной контрольной точки.

Процесс сохранения контрольной точки будет повторен позже в течение четырех часов.

основной mail.mag.local, резервный rezerv.mag.local

dcdiag mail.mag.local

Скрытый текст
Microsoft Windows [Âåðñèÿ 5.2.3790]
(Ñ) Êîðïîðàöèÿ Ìàéêðîñîôò, 1985-2003.

C:\Documents and Settings\kot>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\MAIL
Starting test: Connectivity
......................... MAIL passed test Connectivity

Doing primary tests

Testing server: Default-First-Site\MAIL
Starting test: Replications
[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=ForestDnsZones,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 10:00:20.
The last success occurred at 2016-05-17 09:51:04.
3 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=DomainDnsZones,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:11.
The last success occurred at 2016-05-17 09:51:04.
1 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: CN=Schema,CN=Configuration,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:10.
The last success occurred at 2016-05-17 09:51:05.
1 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: CN=Configuration,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:10.
The last success occurred at 2016-05-17 09:51:05.
2 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 10:18:58.
The last success occurred at 2016-05-17 09:51:06.
10 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

......................... MAIL passed test Replications
Starting test: NCSecDesc
......................... MAIL passed test NCSecDesc
Starting test: NetLogons
......................... MAIL passed test NetLogons
Starting test: Advertising
......................... MAIL passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MAIL passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MAIL passed test RidManager
Starting test: MachineAccount
......................... MAIL passed test MachineAccount
Starting test: Services
......................... MAIL passed test Services
Starting test: ObjectsReplicated
......................... MAIL passed test ObjectsReplicated
Starting test: frssysvol
......................... MAIL passed test frssysvol
Starting test: frsevent
......................... MAIL passed test frsevent
Starting test: kccevent
......................... MAIL passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:42:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:43:27
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:48:32
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:49:27
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:54:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:55:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:00:34
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:01:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:07:01
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:07:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:13:34
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:19:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:19:38
(Event String could not be retrieved)
......................... MAIL failed test systemlog
Starting test: VerifyReferences
......................... MAIL passed test VerifyReferences

Running partition tests on : TAPI3Directory
Starting test: CrossRefValidation
......................... TAPI3Directory passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... TAPI3Directory passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : mag
Starting test: CrossRefValidation
......................... mag passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... mag passed test CheckSDRefDom

Running enterprise tests on : mag.local
Starting test: Intersite
......................... mag.local passed test Intersite
Starting test: FsmoCheck
......................... mag.local passed test FsmoCheck




dcdiag rezerv.mag.local


Скрытый текст

Microsoft Windows [Âåðñèÿ 5.2.3790]
(Ñ) Êîðïîðàöèÿ Ìàéêðîñîôò, 1985-2003.

C:\Documents and Settings\kot>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\MAIL
Starting test: Connectivity
......................... MAIL passed test Connectivity

Doing primary tests

Testing server: Default-First-Site\MAIL
Starting test: Replications
[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=ForestDnsZones,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 10:00:20.
The last success occurred at 2016-05-17 09:51:04.
3 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=DomainDnsZones,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:11.
The last success occurred at 2016-05-17 09:51:04.
1 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: CN=Schema,CN=Configuration,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:10.
The last success occurred at 2016-05-17 09:51:05.
1 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: CN=Configuration,DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 09:58:10.
The last success occurred at 2016-05-17 09:51:05.
2 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

[Replications Check,MAIL] A recent replication attempt failed:
From REZERV to MAIL
Naming Context: DC=mag,DC=local
The replication generated an error (8456):
Èñõîäíûé ñåðâåð â íàñòîÿùèé ìîìåíò îòâåðãàåò çàïðîñû íà ðåïëèêàöèþ.
The failure occurred at 2016-05-17 10:18:58.
The last success occurred at 2016-05-17 09:51:06.
10 failures have occurred since the last success.
Replication has been explicitly disabled through the server options.

......................... MAIL passed test Replications
Starting test: NCSecDesc
......................... MAIL passed test NCSecDesc
Starting test: NetLogons
......................... MAIL passed test NetLogons
Starting test: Advertising
......................... MAIL passed test Advertising
Starting test: KnowsOfRoleHolders
......................... MAIL passed test KnowsOfRoleHolders
Starting test: RidManager
......................... MAIL passed test RidManager
Starting test: MachineAccount
......................... MAIL passed test MachineAccount
Starting test: Services
......................... MAIL passed test Services
Starting test: ObjectsReplicated
......................... MAIL passed test ObjectsReplicated
Starting test: frssysvol
......................... MAIL passed test frssysvol
Starting test: frsevent
......................... MAIL passed test frsevent
Starting test: kccevent
......................... MAIL passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:42:05
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:43:27
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:48:32
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:49:27
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:54:20
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 09:55:23
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:00:34
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:01:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:07:01
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:07:24
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:13:28
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:13:34
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:19:06
(Event String could not be retrieved)
An Error Event occured. EventID: 0x000003E9
Time Generated: 05/17/2016 10:19:38
(Event String could not be retrieved)
......................... MAIL failed test systemlog
Starting test: VerifyReferences
......................... MAIL passed test VerifyReferences

Running partition tests on : TAPI3Directory
Starting test: CrossRefValidation
......................... TAPI3Directory passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... TAPI3Directory passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : mag
Starting test: CrossRefValidation
......................... mag passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... mag passed test CheckSDRefDom

Running enterprise tests on : mag.local
Starting test: Intersite
......................... mag.local passed test Intersite
Starting test: FsmoCheck
......................... mag.local passed test FsmoCheck


Как оказалось контроллер домена когда то востанавливали с помощью acronis, походу из-за этого не проходит репликация? Если попробовать захватить просто роли, чем это плачевно?

avi81 12-02-2017 16:17 2711167

Вложений: 1
Прошу совета. Два контроллера с win 2003 server standart на борту, физическая машина DC1 (PDC) и виртуальная DC2 (второй кд). После некорректного выключения DC1, в его логах появилась ошибка: (Служба репликации файлов обнаружила ошибку JRNL_WRAP_ERROR для набора репликации "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)".

Имя набора репликации: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Корневой путь репликации: "c:\windows\sysvol\domain"
).
А в логах DC2:
"Служба репликации файлов столкнулась с проблемами при включении репликации с "DC1" на "DC2" для "c:\windows\sysvol\domain", использующего DNS-имя "fadas.ugm.local". Служба репликации файлов (FRS) продолжит повторные попытки.
"
Выполнил советы, приведенные в описании ошибки из журнала «Служба репликации файлов», а именно:
На КД DC1, в журнале которого я обнаружил эту ошибку, в реестре, по адресу «System\CurrentControlSet\Services\ntFrs\Parameters» создал параметр типа DWORD с именем «Enable Journal Wrap Automatic Restore» и значением «1». Затем рестартнул службу репликации файлов. Подождал несколько минут и вернул значение «Enable Journal Wrap Automatic Restore» реестра на «0». На всякий случай после рестарнул службу репликации еще раз. После этого ошибка JRNL_WRAP_ERROR с DC1 ушла, на DC2 ругань также прекратилась, НО появились папки со словом «NTFRS» и штампом времени в названии (см.рис). Что с ними делать? Пишут, что удалить те что со штампом, предварительно сравнив содержимое с папками policies и script. Я сравнил, они абсолютно идентичны. Каков все таки правильный порядок действий в моем случае??


Время: 14:16.

Время: 14:16.
© OSzone.net 2001-