Переустановка контроллера домена Windows 2003 Server
 

Вообще в наследство остался мне контроллер домена с упавшими политиками безопасности, не суть важно, надо переставлять.
Домен с 1 DC + 22-25 Windows 2000/XP. У каждого пользователя доменный пользователь с локальным профилем(на машине хранится, то есть всякие Outlook, Мои документы, Рабочий стол, специфические настройки профиля). Вообщем после переустановки контроллера домена без вывода рабочих станций зачастую рабочая станция не может войти в домен, а логах DC появляется ошибка NetLogon - 5513:
The computer name <name> connected to server \\<server name> using the trust relationship to the <domain name> domain. However, the computer doesn't properly know the security identifier (SID) for the domain. Reestablish the trust relationship.
Решение этой проблемы просто - заводишь машину в домен по новой и связь восстановлена. Да вот только профиль пользователя домена будет уже вида [имя_пользователя.имя_домена]. Совершенно другой профиль.
Всё бы ничего, если там мои документы да рабочий стол с Outlook.
Но там различные программы отчетности в налоговую, на установку которых тратится приличное количество времени.
Как то можно восстановить доверительные отношения между сервером и рабочей станцией безболезненно?

Зайдя под админом, скопировать старый профиль на новый, либо использовать User Migration Tool

User Migration Tool - можно поподробнее?
погуглил, понял, что она почти все настройки переносит в новый профайл? Нужно зайти в тот профайл и запустить ее оттуда?

Скопировать -> просто с замещением файлов?

Не трогая папку user.domain копируем всё, находящееся внутри нее, в корне.

попробуем. Не думаю, что всё настолько просто.

После повторного ввода компа в домен - загрузиться под администратором (не работавшим ранее ПОЛЬЗОВАТЕЛЕМ, имеющим админские права, а АДМИНИСТРАТОРОМ, лучше доменным).
Найти каталог пользовательского профиля
Зайти в "свойства папки" -> "безопасность"
Удалить старый SID пользователя (из "прежнего" домена)
Добавить права "новому" пользователю - Full control
Сбросить (на всякий случай) наследование прав

Если login "нового" пользователя совпадает с прежним - система подхватит имеющийся пофиль как свой родной.

Или, как раньше соватовалось, простое копирование - но ПЕРЕД вводом в домен имеющийся пофиль переименовать, например, в user.123 - иначе новый пофиль будет действительно иметь имя user.domain, и когда мы в него скопируем всё из старого профиля - наверняка где-нибудь в рестре/ярлыках останется стрый путь ...\user\какая-то-папка\какой-то-файл, в то время как действительный путь будет уже ...\user.domain\какая-то-папка\какой-то-файл

Спасибо, буду пробовать. Пока сервер переставлять не будем, хочется сохранить Active Directory. Будем добавлять дополнительный контроллер, передавать ему все роли и потом переставлять.
Но идея хорошая, спасибо :-)

Причем дополнительный контроллер, коль уж он будет временным, можно поднять на какой-нибудь виртуалке, и после всех манипуляций с передачей ролей туда-сюда просто убить. В этом случае не надо будет искать какой-то новое железо для временного сервера - поднять временную виртуалку прям на админской рабочей станции...

Я там аутсорсер, приду с ноутбуком своим, там vmware с уже установленным 2003 сервером.
Вопрос такой еще - роли лучше передавать через ntdsutil? Есть разница в каком порядке осуществлять transfer ?
Какое время должно пройти, чтобы прошли все репликации в АД, глобальном каталоге?

У меня при подобной ситуации репликация и тд и тп прошло быстро достаточно (но для надежности после передачи роли стал кавырятся с ним только на следующий день, на всякий случай:) ).

А с ДНС что делать? я тут смоделировал ситуацию,репликация вроде прошла между ДНС серверами,потом замучался с ДНС записи выносить ручками, так у всех?
Разумеется роли передавал ntdsutil через transfer RID и т.п. Все прошло успешно вроде. но в ДНС потом такой хаос :)

Ну как...да:) А что делать...

И последний вопрос - собственно зачем переставляется сервер - как то утром я пришел а папка SYSVOL пуста :(
мудрил с обнулением групповых политик, ничего толком не вышло.
сейчас куча ошибок в логах.
Так вот я что думаю, при поднятии второго контроллера домена толк какой то будет? или групповые политики также перенесутся и будут криво работать?

Реплицируется всё. Если что-то кривое - так и реплицируется.

Так что если Вам не трудно переставить - значит, переставляйте.
Могу только порекомендовать почитать первоисточник на тему импорта/экспорта объектов AD.
Выгрузить пользователей/группы/и.т.д., переставить домен, импортировать обратно- чтоб не геморроиться с созданием учетных записей.

Хотя, если есть время и желание, лучше бы разобраться - откуда ноги растут у Вашей проблемы, да вылечить всё...
Если проблема только с политиками - может, имеет смысл с ними поковыряться?
Почитайте эту тему: [решено] GPO - Восстановление настроек по умолчанию

[добавлено:]
У Вас домен 2000 - значит вместо Dcgpofix, который только для w2k3, будете использовать RecreateDefpol

Вот после этого всё и началось, конкретно что за ошибка не припомню, но я делал сброс политик в дефолт. Сейчас политики вообще не обрабатываются - ошибки прут на клиентах и на сервере одинаково.
в принципе - мне политики то и не нужны, пусть сбросятся в дефолт только.
Да и как бы переставить сервер не проблема совсем, лишь бы с профайлами все получилось, как Вы советовали :-) Пробовать буду в субботу, отпишусь о результате ;)

Попробовал сегодня вот это:
Не вышло, домен упрямо создает пользователь.домен
Сброс прав имеется ввиду на вкладке дополнительно?

Это происходит если уже имеется каталог с именем пользователя.
Пробовали переименовать старый, а потом логиниться?
Все равно создает пользователь.домен?
Не должен этого делать =(

Короче я вышел из ситуации вторым методом:
когда вы рекомендовали переименовывать старый профиль, заходить админом и перекидывать туда с перезаписью все содержимое.

Правда у пользователя на скриншоте увы нету аутлука и прочей фигни. А в целом вроде работает нормально.
Я правильно понимаю, что мы таким образом как будто загружаем перемещаемый профиль с сервера?

Всё субботу с напарником убили на переустановку домена. Вроде заработало, зашуршало :)

Совет: никогда не забывайте пароли от почты - outlook, outlook express = они при лаком методе теряются.

В очень грубой прикидке - да. За исключением NTFS-разрешений.
Если мы из старого переименованного профиля копируем в новый - то всё нормально. А если переносим - то NTFS-права остаются теми, которые были в старом каталоге, и надо будет на каталоге нового профиля сбрасывать наследование прав на дочерние каталоги.

Спасибо всем кто помогал! Проблема решена, без вас бы не справился :-)

Вопрос про перенос КД можно?
Имеется сервер - Win2003EE+AD+DNS+DHCP+WINS.
Называется, допустим, server1, IP адрес - 192.168.1.1
Надо перенести сервер на другое железо с сохранением имени и IP адреса. Можно это сделать без использования промежуточного железа?
Т.е. перенести сразу на новое железо под именем server2, IP адресом 192.168.1.2, убрать из сети старый сервер и переименовать новый с заменой его IP адреса? Или только перенести на промежуточное железо (server2, 192.168.1.2), убрать старый сервер и на новом железе поднимать с параметрами server1, IP адрес 192.168.1.1?

P.S.Если одной строкой - то можно ли у действующего сервера Win2003EE+AD+DNS+DHCP+WINS изменить IP адрес и сменить имс?

qwerty123123, я думаю, никак. По крайней мере я бы использовал виртуальный сервер, забрал бы роли и потом бы их вернул бы новому серверу.