|
Переход со старого сервера с ролью контроллера домена на новый сервер 2016:
Подскажите планирую поменять контроллер домена с сервера 2008 на 2016
Расписал этапы перехода Подскажите все ли верно ничего я не упустил? и где может всплыть подводный камень который заранее мне нужно учесть? Переход со старого сервера с ролью контроллера домена на новый сервер 2016: 1. Устанавливаем новый сервер 2016, назовём его ADnew 2. Указываем ему IP адрес 192.168.4.3 и DNS указываем IP от старого домена 192.168.4.1 3. Добавляем роль DNS сервера 4. Добавляем роль AD и на одном из пунктов выбираем "Добавить контроллер домена в существующий домен" 5. DHCP у меня настроено на роутере, поэтому в настройках DHCP на роутере указываем новый DNS ip от нового сервера, т.е 192.168.4.3 6. Передаем роли FSMO со старого домена на новый, через «Хозяева операций…» где указываем новый сервер 7. Понижаем старый домен до рядового сервера. Т.е удаляем роль контролера домена со старого сервера и DNS то же. 8. Все старый сервер можно отключать! 9. Меняем IP для сервера ADnew на 192.168.4.1 и DHCP в настройка на роутере указываем данный IP как - DNS сервер. 10. На этом все. |
Почти после каждого пункта: "дожидаемся завершения репликации"
Цитата:
|
|
У меня еще вопрос (или идея фикс), может кто подскажет:
Вообщем у меня 2 филиала (Ф1, Ф2) соединены они VPN от провайдера с хорошим пингом и скоростью, но мы платим за трафик между филиалами. Сейчас у меня: на одном Ф1 стоит домен с сетью 192.168.3.0/24 на втором Ф2 стоит домен с сетью 192.168.4.0/24 встал необходимость в том что нужно сотрудникам кататься с буками и работать то в Ф1 то в Ф2 по 2 недели и иметь общий доступ к общим папкам, файлам и серверам Теперь сам вопрос: - Связать 2 домена и настроить репликацию между ними по VPN и оставить подсети как они сейчас и есть - Либо сделать на Ф1 и Ф2 одинаковые подсети например 192.168.3.0/24 с двумя контролерами домена находящихся на Ф1 и Ф2 с репликацией Большой ли трафик уходит на репликацию если пароли и пользователей заводим редко как и подключаем новые ПК (3-5 пользователей в месяц и столько же ПК)? Какая из 2х предложенных схем более правильная? |
Добрый день
Развернул новый контроллер, и затык произошел на пункте 6 передача FSMO. А именно захожу на новый сервер (AD2) - кликаю в AD хозяева операции, а там только мой старый контроллер нового AD2 нет: https://s.mail.ru/Hfua/QkVDRmdRu На новом и старом сервер запустил проверку: dcdiag На старом контроллере все норм ошибок нет, а вот на новом вылезло немного: Запуск проверки: Advertising Внимание: DsGetDcName вернул сведения для \\HO***.k***.local при попытке получения доступа к AD2. СЕРВЕР НЕ ОТВЕЧАЕТ или НЕ СЧИТАЕТСЯ ПРИЕМЛЕМЫМ. ......................... AD2 - не пройдена проверка Advertising Запуск проверки: FrsEvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... AD2 - пройдена проверка FrsEvent Запуск проверки: NetLogons Не удается подключиться к общему ресурсу NETLOGON. (\\AD2\netlogon) [AD2] Сбой операции net use или LsaPolicy с ошибкой 67, Не найдено сетевое имя.. При запуске репликации вручную все норм ошибок нет!. И еще по чему то нет на новом сервере AD2 общих папок: NETLOGON SYSVOL Кто то может подсказать что дальше сделать? :dont-know |
Сделал так:
перед тем как выбрать "Хозяева операции", выбрал "Сменить контроллер домена AD" после этого в "Хозяева операции" появился мой новый сервер и я его изменил Сделал проверку: netdom query fsmo Хозяин схемы________________AD2.k***.local Хозяин именования доменов____AD2.k***.local PDC________________________AD2.k***.local Диспетчер пула RID __________AD2.k***.local Хозяин инфраструктуры ______AD2.k***.local Команда выполнена успешно. Правильно ли я поступил? не будет ли в дальнейшем проблем? |
решение проблемы с NETLOGON и SYSVOL:
На старом AD останавливаем "Службу репликации файлов", в реестре - « HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NtFrs \ Parameters \ Backup / Restore \ Process at Startup » меняем атрибут BurFlags и измените значение на D4 запускаем "Службу репликации файлов" На новом AD останавливаем "Службу репликации файлов", в реестре - « HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NtFrs \ Parameters \ Backup / Restore \ Process at Startup » меняем атрибут BurFlags и измените значение на D2 запускаем "Службу репликации файлов" После этого шары NETLOGON и SYSVOL появляются! |
Цитата:
|
Вообшем роли FSMO переданы успешно, ошибок на новом AD нет, на новом сервере при выборе "Пользователи и компьютеры AD" Сменить контроллер домена указан мой новый домен.
Перехожу к старому домену что бы его понизить, запускаю dcpromo и на одном из шагов галка: Удалить этот домен поскольку данный сервер является в нем последним контроллером домена https://s.mail.ru/EXoZ/gUCaBLFY4 Подскажите нужно ли в моем случае ее ставить? (напоминаю я перехожу со старого контроллера домена 2008 на новый сервер 2016 и стары буду отключать) И сейчас при перезагрузки всех серверов и ПК юзеров и при выполнении на ПК юзеров команды set выходит сервер аутентификации мой старый домен, это так и должно быть пока я старый не удалю? |
Цитата:
Цитата:
|
Цитата:
Цитата:
Завтра выведу из домена и буду выключать! Спасибо. Дальше буду менять IP и доменное имя. По результатам подробно все напишу, может кому будет интересно... |
Добрый день.
Собираюсь заменить контролер домена в другом офисе, ситуация следующий: Есть сервер 10.10.0.6 SERVER1 - старый контроллер домена сервер 10.10.0.3 SERVER2 - планируем перенести контроллер домена на этот сервер в итоге подготовили SERVER2 все репликации сделали ошибок с двух серверов небыло (dcdiag /e), в итоге выявился дефект материнки пришлось снять образ акронисом и перенести готовый образ системы на новый сервер (новое железо) После запуска и установки всех драйверов и настройки IP сервера с двух сторон не могут пройти проверку (dcdiag /e) целая куча ошибок. ipconfig /all SERVER1
ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : ad Основной DNS-суффикс . . . . . . : SERVER1.local Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : SERVER1.local Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab it Физический адрес. . . . . . . . . : 00-25-90-64-40-A1 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 10.10.0.6(Основной) Маска подсети . . . . . . . . . . : 255.255.0.0 Основной шлюз. . . . . . . . . : 10.10.0.1 DNS-серверы. . . . . . . . . . . : 10.10.0.3 127.0.0.1 NetBios через TCP/IP. . . . . . . . : Включен Туннельный адаптер isatap.{4DC09142-3BDC-4D6C-B28B-97636783DB95}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер Подключение по локальной сети* 3: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да dcdiag /e SERVER1
dcdiag /e Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = ad * Идентифицирован лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\AD Запуск проверки: Connectivity ......................... AD - пройдена проверка Connectivity Сервер проверки: Default-First-Site-Name\AD1 Запуск проверки: Connectivity ......................... AD1 - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\AD Запуск проверки: Advertising ......................... AD - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... AD - пройдена проверка FrsEvent Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... AD - не пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... AD - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... AD - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... AD - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... AD - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... AD - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... AD - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... AD - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... AD - пройдена проверка Replications Запуск проверки: RidManager ......................... AD - пройдена проверка RidManager Запуск проверки: Services ......................... AD - пройдена проверка Services Запуск проверки: SystemLog ......................... AD - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... AD - пройдена проверка VerifyReferences Сервер проверки: Default-First-Site-Name\AD1 Запуск проверки: Advertising ......................... AD1 - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... AD1 - пройдена проверка FrsEvent Запуск проверки: DFSREvent Не удалось запросить журнал событий DFS Replication на сервере AD1.SERVER1.local, ошибка 0x6ba "Сервер RPC недоступен." ......................... AD1 - не пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... AD1 - пройдена проверка SysVolCheck Запуск проверки: KccEvent Не удалось запросить журнал событий Directory Service на сервере AD1.SERVER1.local, ошибка 0x6ba "Сервер RPC недоступен." ......................... AD1 - не пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... AD1 - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... AD1 - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... AD1 - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... AD1 - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... AD1 - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... AD1 - пройдена проверка Replications Запуск проверки: RidManager ......................... AD1 - пройдена проверка RidManager Запуск проверки: Services ......................... AD1 - пройдена проверка Services Запуск проверки: SystemLog Не удалось запросить журнал событий System на сервере AD1.SERVER1.local, ошибка 0x6ba "Сервер RPC недоступен." ......................... AD1 - не пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... AD1 - пройдена проверка VerifyReferences Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок разделов на: SERVER1 Запуск проверки: CheckSDRefDom ......................... SERVER1 - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... SERVER1 - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: SERVER1.local Запуск проверки: LocatorCheck ......................... SERVER1.local - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... SERVER1.local - пройдена проверка Intersite ipconfig /all SERVER2
Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : AD1 Основной DNS-суффикс . . . . . . : SERVER2.local Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Порядок просмотра суффиксов DNS . : SERVER2.local Адаптер Ethernet Ethernet 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2 Физический адрес. . . . . . . . . : 04-D4-C4-03-C4-E9 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 10.10.0.3(Основной) Маска подсети . . . . . . . . . . : 255.255.0.0 Основной шлюз. . . . . . . . . : 10.10.0.1 DNS-серверы. . . . . . . . . . . : 10.10.0.6 127.0.0.1 NetBios через TCP/IP. . . . . . . . : Включен Туннельный адаптер isatap.{E4F9E260-3A25-4766-8ABD-A466A0A37341}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да dcdiag /e SERVER2
Диагностика сервера каталогов Выполнение начальной настройки: Выполняется попытка поиска основного сервера... Основной сервер = AD1 * Определен лес AD. Сбор начальных данных завершен. Выполнение обязательных начальных проверок Сервер проверки: Default-First-Site-Name\AD Запуск проверки: Connectivity ......................... AD - пройдена проверка Connectivity Сервер проверки: Default-First-Site-Name\AD1 Запуск проверки: Connectivity ......................... AD1 - пройдена проверка Connectivity Выполнение основных проверок Сервер проверки: Default-First-Site-Name\AD Запуск проверки: Advertising ......................... AD - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... AD - пройдена проверка FrsEvent Запуск проверки: DFSREvent За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации SYSVOL могут стать причиной проблем групповой политики. ......................... AD - не пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... AD - пройдена проверка SysVolCheck Запуск проверки: KccEvent ......................... AD - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... AD - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... AD - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... AD - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... AD - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... AD - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... AD - пройдена проверка Replications Запуск проверки: RidManager ......................... AD - пройдена проверка RidManager Запуск проверки: Services ......................... AD - пройдена проверка Services Запуск проверки: SystemLog ......................... AD - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... AD - пройдена проверка VerifyReferences Сервер проверки: Default-First-Site-Name\AD1 Запуск проверки: Advertising ......................... AD1 - пройдена проверка Advertising Запуск проверки: FrsEvent ......................... AD1 - пройдена проверка FrsEvent Запуск проверки: DFSREvent ......................... AD1 - пройдена проверка DFSREvent Запуск проверки: SysVolCheck ......................... AD1 - пройдена проверка SysVolCheck Запуск проверки: KccEvent Возникло предупреждение. Код события (EventID): 0x80000B46 Время создания: 07/04/2019 18:33:58 Строка события: Безопасность данного сервера каталогов можно существенно повысить, если настроить его на отклонение привязок LDAP SASL (согласование, Kerberos, NTLM или дайджест), не требующих подписи (проверки целостности), и простых привязок LDAP, которые выполняются через открытое (не зашифрованное с помощью SSL/TLS) подключение. Даже если клиенты не используют такие привязки, настройка сервера на их отклонение улучшит его безопасность. ......................... AD1 - пройдена проверка KccEvent Запуск проверки: KnowsOfRoleHolders ......................... AD1 - пройдена проверка KnowsOfRoleHolders Запуск проверки: MachineAccount ......................... AD1 - пройдена проверка MachineAccount Запуск проверки: NCSecDesc ......................... AD1 - пройдена проверка NCSecDesc Запуск проверки: NetLogons ......................... AD1 - пройдена проверка NetLogons Запуск проверки: ObjectsReplicated ......................... AD1 - пройдена проверка ObjectsReplicated Запуск проверки: Replications ......................... AD1 - пройдена проверка Replications Запуск проверки: RidManager ......................... AD1 - пройдена проверка RidManager Запуск проверки: Services ......................... AD1 - пройдена проверка Services Запуск проверки: SystemLog ......................... AD1 - пройдена проверка SystemLog Запуск проверки: VerifyReferences ......................... AD1 - пройдена проверка VerifyReferences Выполнение проверок разделов на: DomainDnsZones Запуск проверки: CheckSDRefDom ......................... DomainDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... DomainDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: ForestDnsZones Запуск проверки: CheckSDRefDom ......................... ForestDnsZones - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... ForestDnsZones - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Schema Запуск проверки: CheckSDRefDom ......................... Schema - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Schema - пройдена проверка CrossRefValidation Выполнение проверок разделов на: Configuration Запуск проверки: CheckSDRefDom ......................... Configuration - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... Configuration - пройдена проверка CrossRefValidation Выполнение проверок разделов на: SERVER2 Запуск проверки: CheckSDRefDom ......................... SERVER2 - пройдена проверка CheckSDRefDom Запуск проверки: CrossRefValidation ......................... SERVER2 - пройдена проверка CrossRefValidation Выполнение проверок предприятия на: SERVER2.local Запуск проверки: LocatorCheck ......................... SERVER2.local - пройдена проверка LocatorCheck Запуск проверки: Intersite ......................... SERVER2.local - пройдена проверка Intersite Подскажите что не так. Почему после снятия образа сервера некорректно реплицируются ? команды repadmin /syncall с двух сторон отрабатывают без ошибок Вопрос можно ли с этими ошибками передать роли ФМСО??? |
Цитата:
Цитата:
Вывод команды nslookup <имя Вашего домена> с обоих КД покажите. |
суффиксы одинаковые это я подмену неверно сделал (в суффиксе зашито название организации)!
есть два сервера AD AD1 суффикс у них один SERVER |
Цитата:
|
Цитата:
В прошлый раз мне не ответили. Подскажите сейчас передали роли фсмо на новый сервер. Все работает отлично. Старый сервер еще не понизили Вопрос: Сейчас при запуске на клиентских ПК команды set LOGONSERVER=\\AD1 а некоторые пишут все то же старый сервер LOGONSERVER=\\SERVERAD ПК и сервера перезагружали. Сейчас со старого сервера удаляю роль актив директори и все будет норм, остальные машины подхватят новый или нет? |
Цитата:
|
DHCP я настроил заранее и в ДНС выдается следующее:
Dns1 новый АД (это было прописано 3 дня назад, пк перезагружали) DNS2 старый АД 1. т.е сейчас смело можно удалить старый контролер домена и новый все должен подхватить? 2. на новом контролере приписан сначала ДНС старого контролера а потом замыкание на себя, или то же можно уже просто делать замыкание на себя? просто рабочих станций больше сотни, опасаюсь понижать старый (((( поэтому прошу помощи! подскажите если не сложно |
На новом сервере первым DNS-ом ставишь его адрес, хоть 127.0.0.1, хоть 10.10.0.x. Второй днс удаляешь и затем удаляешь роли AD и DNS со старого сервера. Если бывший AD сервер будет ещё работать как обычный, то у него в днс прописываешь адрес нового сервера. В DHCP удаляешь адрес днс старого сервера. Делаешь dcdiag, если всё хорошо, то пьёшь чай с пряниками. Если нет, то гуглишь ошибки, либо ждёшь пару дней и потом ещё раз dcdiag.
|
paranoya, спасибо. Вообщем прописали и удалили роли со старого сервера, все работает нормально проблем нет!
|
Вот и замечательно!
|
| Время: 14:48. |
Время: 14:48.
© OSzone.net 2001-