Перенос ролей контроллера домена

Rolenarim · Конфигурация компьютера

По поводу NTP - службу-то после этого перезапускали ? Что пишется в событиях masterа ?
Лично у себя перенос осуществлял через ntdsutil путем "отбирания" прав (принудительный захват, как будто сервер "уехал", так как RAID сдох). В вашем случае вроде все работает, поэтому будет достаточно понизить его роль в домене до обычного, через DCpromo.
Глобальный каталог может быть на нескольких контроллерах (даже не может, а должен, назначается в оснастке службы и сайты без проблем)

r1sh · Отправлено: **12:56, 14-12-2011** | #3

Вчера перенес роли с помощью ntdsutil transfer'ом, теперь вот как выглядит результат этой компанды:

Код:

Schema owner                isl-master.infostroy.ru

Domain role owner           isl-master.infostroy.ru

PDC role                    isl-tolsty.infostroy.ru

RID pool manager            isl-master.infostroy.ru

Infrastructure owner        isl-master.infostroy.ru

The command completed successfully.

Получилось все, как я хотел. потом с помощью dcpromo я понизил его.
Потом возмникли сложности...

1.На сервере, который я понизил, лежит шара для всех отделов и соответственно служба DNS. Перезагружать сразу сервер я не стал, он штатно ребутится по расписанию в 4 утра. После рестарта с утра он был не доступен не через smb не через rdp ни через remote management, только пинговался и все. При заходе локально выдавал ошибку что не запущена служба netlogon.
После рестарта вроде прошло, но осадок остался.

2.Служба DNS не удалилась. Я вручную удалил его из Компонентов Windows, удалил записи о нем из DHCP, но в записях DNS контроллера домена осталась информация о нем....Я удалил его из вкладки "Серверы имен", удалил из вкладки "WINS" и поставил репликацию "Для всех DNS-серверов, работающих на контроллерах домена" до этого стояло в режиме совместимости с win200.....Где еще могли остаться записи о нем?

3.Судя по логам сервера, к нему до сих пор обращаются клиентские машины для синхронизации времени, хотя я в реестре у него указал, что он не надежный источник, и при этом он уже не PDC, почему к нему обращаются блиН? Можно это както убрать?

4.В AD: Сайты и Службы осталась информация об этом сервере. Можно руками удалить ее или нужно проделать какуюто процедуру?

Как я понимаю сервер не ото всюду себя удалил, возможно изза того что он был на 2000 операционке. Подскажите пожалуйста, как решить эти проблемы?

Здесь есть вообще специалисты по Микрософту?

Rolenarim · Конфигурация компьютера

1. На пользовательских машинах первый DNS основной КД или тот, что понизили ? Подключаются по IP или по Имени ? Попробуйте очистить DNS кэш на одной пользовательской машине и перезагрузить DNS сервер.
2. DNS сервер удаляли через удаление ролей в "управление данным сервером" ? Если нет, то записи могли остаться во всех ветках, проверяйте чтобы в них значился только основной КД. Также нужно указать основным DNS сервером основной КД и очистить DNS кэш (ipconfig /flushdns)
3. Те машины которые обращаются перезагружались или служба перезапускалась ? Что показывает комманда "net time /querysntp" на сервере и на пользовательской машине?
4. Да, можно вручную удалить. Если DCpromo завершился удачно, то там остался так называемый "мусор"

Специалисты по мелкософту есть на http://support.microsoft.com, а здесь опытные пользователи.

r1sh · Отправлено: **15:21, 14-12-2011** | #5

1.на пользовательских первый-основной, он так в настройках DHCP был указан.
Сервера DNS перезагружаются штатно каждую ночь, вот сегодня ночью перезагружались...
2.Удалял DNS через Установку\удаление компонентов...ну вот как раз основным сервером DNS является контроллер домена. А если удалять через роли, какие дополнительные процедуры он проделывает?

3.Те которые обращаются да, перезагружались, обычные клиенты которые тушат\запускают каждый вечер\утро свои рабочие места.

4.Ну на клиентских машинах на win7 эта команда считается устаревшей...я воспользовался w32tm /query /peers

Код:

C:\Users\gmaleev>psexec \\isl-a0dev-saa w32tm /query /peers

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com


#Узлы: 1

Узел партнера: isl_center.infostroy.ru
Состояние: Активный
Осталось времени: 3610.4688162s
Режим: 3 (Клиент)
Страта: 2 (вторичная ссылка - синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 15 (32768s)
УзелИнтервал опроса: 14 (16384s)
w32tm exited on isl-a0dev-saa with error code 0.

Почемуто он в се равно обращается к старому серверу...и обратится по-новой через 3610 секунд...

На тех win xp которые я проверил пишет:

Код:

  Текущее значение SNTP: time.windows.com,0x1

и

Код:

C:\Users\gmaleev>psexec \\isl-gama-vi w32tm /dumpreg /subkey:\Parameters

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com



Имя параметра   Тип параметра       Данные параметра
--------------------------------------------------------------------

ServiceMain     REG_SZ              SvchostEntry_W32Time
ServiceDll      REG_EXPAND_SZ       C:\WINDOWS\system32\w32time.dll
NtpServer       REG_SZ              time.windows.com,0x1
Type            REG_SZ              NT5DS

w32tm exited on isl-gama-vi with error code 0.

хотя в реестре на этой машине w32time\Parameters параметр Type имеет значение NT5DS, как я понимаю, это как раз подразумевает синхронизацию на уровне домена,а то что параметр NTPServer имеет отличное значение, это же не критично?

Где в домене может храниться информация о серверах времени? Может настроить с помощью GPO?

4.Удалил

Надеюсь ничего не развалится) Теперь появилась возможность поднять уровень домена до 2003...

5.Ну вы им льстите немного, один человек который мне "отвечал" по поводу переноса DHCP не знал что виндовая служба дает клиенту свой IP, чтобы он не слал широковещательные а обращался напрямую к этому dhcp-серверу, по этому у меня после переноса сервера dhcp через недельку благополучно поехали клиенты dhcp типа сервера sql баз которые не шатдаунятся никогда))) а другой индивид при переносе ролей сервера "реккомендовал" убрать вообще все контроллеры одмена кроме одного, сделать бэкап, снести на них винду, удалить единственный контроллер домена и восстанвоить бэкап на свежеиспеченном сервере, какой он маладец

))

Rolenarim · Конфигурация компьютера

На самом деле интересно получается, сервер стал рядовым, но при этом FSMO назначает его источником синхронизации...

Хотелось бы увидеть с обоих nltest и dcdiag (только под спойлер)

r1sh · Отправлено: **11:39, 15-12-2011** | #7

да, именно, вот и я о том же) по этому у меня и появилась мысль что в AD может гдето храниться информация о серверах времени, не может же любой сервер после правки в реестре сказать (как??) всем о том что он надежный источник времени. Это же элементарный способ атаки: вызвать рассинхронизацию времени в сети, что нарушит доступ пользователей к рабочим местам изза того что при проверке выданного токена, АД будет видеть разное время и посылать клиента))

nltest на master

The command completed successfully

dcdiag на master: