|
Контроллеры домена...
Добрый день.
Ребята подскажите пожалуйста у меня возникла вот такая вот проблема: Есть 2 контроллера домена... один из них основной, другой резервный... Так вот основной уже морально устарел... Хотелось бы его заменить... То есть новый сервер я делаю дополнительным контроллером домена и тут возникает вопрос как новому 3-му контроллеру домена делегировать права основного... что бы тот(старый) потом можно было отключить? Заранее спасибо! |
|
А если в двух словах что надо сделать или запустить перед тем как отключить основной контроллер домена?
|
сначала надо поставть новый сервер,
сделать его контроллером домена (dcpromo), перенести на него все роли (ntdsutil), понизить старый контроллер до обычного сервера (dcpromo /forceremoval) вывести его из домена, отформатировать и распылить на атомы не забыть проверить, что всё прошло нормально, все упоминания о старом контроллере вычистить из ad / dns есть второй вариант: тупо переставить хард со старого контроллера на новый, переставить нужные драйвера, и радоваться старой системе на новом железе. третий вариант: ntbackup всего контроллера (с system state'ом) и восстановить на новый сервер |
HLT,
Спасибо))) |
HLT,
А как отреплицировать весь каталог и пользователей? |
aptv,
Когда добавите в домен новый контроллер, данные перенесутся автоматически. Потом только роли перенести, если нужно сделать основным. |
а как его добавить-то?У меня просто когда я добавляю его - мол дочерний домен контроллер....он мне пишет....ошибка RPC
|
aptv,
Ну, во-первых, вы должны его добавлять как добавочный контроллер домена в существующем домене, а не как дочерний. А во-вторых, Цитата:
|
fantik,
А можно пошагово?для начинающих?Если Вас не затруднит fantik, Для начала я его затыкаю просто в домен....а он мне пишет мол не найден сетевой путь.... |
|
fantik, Короче говорит что что-то с ДНС....мол не может домен найти....
|
fantik,
Я его банально даже в просто в домен воткнуть не могу...пишет - При подсоединению к домену "такому то" произошла следующая ошибка: Не найден сетевой путь. |
aptv,
А у вас с сетевыми настройками все в порядке? С фаерволами, с маршрутизацией? ICMP-пакеты проходят? (пинг) Telnet на 389 порт доходит до адресата? |
aptv,
Лично мне помогало вот что: Я думаю если это будет сервер то должен быть статический IP? так вот просто руками пропиши всё в настройка сетевой карты как IP так и шлюх и ДНС все... перезагрузи машину и попробуй ещё раз. |
DarkMaximus,
статичные настройки - это по умолчанию так должно быть.....так что можно сказать не помогло... fantik, Всё вроде впорядке......но всё равно не втыкается... короче поднял новый домен....буду заново делать.....благо пользователей мало.... Всем спасибо. |
Цитата:
Подскажи а с каким параметром запускать данное чудо? А то по справке ничего не понял( P.s. Единственно что понял это надо через ntdsutil подключится к старому контролеру и с него переписать все роли на новый... вот тока как...? |
там обратная зона днс не прописана была....
|
Странно но при попытке передачи зон выдаёт ошибку что нету связи с текущим владельцем FSMO....
Хотя старый сервак доступен... что не так делаю? подскажите пожалуйста... Очень нужна ваша помощь... Вот что я делал: на новом серваке (котрому нужно передать роли) с помощью ntdsutil подключился к самому себе и при попытке трансфера выдаёт ошибку что недоступен "нету связи с текущим владельцем FSMO".... |
Цитата:
Подчеркнутым - приглашения к вводу команд Точные ответы ntdsutil'я на вводимые команды не пишу - там и так всё понятно C:\>ntdsutil ntdsutil: roles fsmo maintenance: connections указываем имя нашего домена server connections: connect to domain domain.ru server connections: quit fsmo maintenance: select operation target select operation target: list domains выдаст список доменов. обычно - один, его номер - 0 select operation target: select domain 0 select operation target: list sites выдаст список сайтов. смотрим номер нужного. например, 0 select operation target: select site 0 select operation target: list servers in site выдаст список серверов. смотрим номер нужного. например, 0 select operation target: select server 0 select operation target: list naming contexts выдаст список контекстов. смотрим номер того, который совпадает с названием нашего домена. например, 1 select operation target: select naming context 1 select operation target: quit и начинаем перетаскивать роли fsmo maintenance: Transfer domain naming master в ответ скажет, что роль перенесена fsmo maintenance: Transfer infrastructure master в ответ скажет, что роль перенесена fsmo maintenance: Transfer PDC в ответ скажет, что роль перенесена fsmo maintenance: Transfer RID master в ответ скажет, что роль перенесена fsmo maintenance: Transfer schema master в ответ скажет, что роль перенесена fsmo maintenance: quit ntdsutil: quit C:\> Если по какой-то причине transfer не пройдет - можно попробовать насильно назначить роли. Соответствующие команды (вместо transfer ...): Seize domain naming master Seize infrastructure master Seize PDC Seize RID master Seize schema master Вот, вроде, и всё. |
to HLT,
Какие ещё есть варианты по поводу данной проблемы?! А то не transfer не seize не проходит постоянно пишет что "нету связи с текущим владельцем FSMO" А сревера в сети и с любой машины я их вижу... может служба какая то не запущена? |
Цитата:
Цитата:
Еще можно попробовать так: открыть оснастку Active Directory Users and Computers, правой мышкой щелкаем на заголовке оснастки -> подключиться к домен-контроллеру -> выбрать тот, НА который будем переносить правой кнопку на имени домена (внизу, в дереве) -> Operational Masters откроется окно с закладками по ролям, на каждой закладке проверяем что внизу имя того сервера, на который надо переносить, и нажимаем кнопку Change Роль глобального каталога убираем/назначаем через оснастку Active Directories Sites and Services: запускаем оснастку, разворачиваем последовательно узлы дерева: sites -> нужный_сайт -> servers -> нужный сервер -> NTDS settings правой мышкой щелкаем на NTDS settings, выбираем Properties, и включаем/выключаем галку "Global Catalog" |
Цитата:
После того как приконектился к старому серваку(там где сейчас роли) и потом набрал connect to server DC01 он отконектился он строго и попытался приконетктится к DC01 и появилася ошибка что сервер RPC не доступен. |
Вроде всё получилось....
Ниже привожу список ролей которые уже стали известны новому контролеру... Вроде так должно быть? fsmo maintenance: select operation target select operation target: list roles for connected server Серверу "fsb.uiae.pib" известно о 5 ролях Схема - CN=NTDS Settings,CN=FSB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=uiae,DC=pib Домен - CN=NTDS Settings,CN=FSB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=uiae,DC=pib PDC - CN=NTDS Settings,CN=FSB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=uiae,DC=pib RID - CN=NTDS Settings,CN=FSB,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN= Configuration,DC=uiae,DC=pib Инфраструктура - CN=NTDS Settings,CN=FSB,CN=Servers,CN=Default-First-Site-Name,C N=Sites,CN=Configuration,DC=uiae,DC=pib select operation target: |
Цитата:
для начала - сделайте dcdiag /s:dc01 /v и результаты сюда Цитата:
Цитата:
теперь на старом контроллере dcpromo /forceremoval http://support.microsoft.com/default.aspx/kb/332199/ru |
Цитата:
Спасибо огромное всем за помощь) |
Цитата:
|
HLT,
Команда dcpromo /forceremoval отработала успешно сервер удалил полностью АД и был выведен с домена... Вот тока есть маленький вопрос сморю на новой серваке в АД в списке Контролеров домена он остался... и я его не могу удалить от туда... почему? |
Цитата:
1) Active directory Sites And Services -> зайти в нужный сайт -> открыть "servers" -> выбрать старый сервер -> правой мышкой - удалить подождать минут 30 - если сейчас в домене больше чем 1 контроллер 2) В DNS проверьте (надеюсь, DNS сервер сейчас один - на новом контроллере) откройте forward lookup zones -> ваш домен отсортируйте список по имени (same as parent folder) Host(A) ip-адрес-старого-сервера - удалить если есть (same as parent folder) Name Server(NS) fqdn-старого-сервера - удалить если есть развернуть в зоне "ваш домен" подпапку _msdcs удалить (если есть) записи типа 75ace008-019f-4dc9-a74f-bb5c0f178f4d Alias(CNAME) fqdn-старого-сервера ну и вообще пройтись по всем подпапкам в зонах DNS и почистить все упоминания о старом сервере если имеется в виду, что компьютер, ранее бывший контроллером домена, остался в контейнере "domain controllers" - так просто его вывести из домена, удалить его учетную запись в AD и заново ввести в домен |
Цитата:
Да именно это я и имел ввиду... Старый контроллер командой dcpromo /forceremoval автоматически вывелся с домена... Но когда я зашёл уже на новом он почему остался в контейнере "domain controllers". Конечно как вариант то может перезагрузка поможет... Если что отпишусь... |
Цитата:
|
Z
Цитата:
|
Цитата:
переместить в другой контейнер тоже не дает? можно попробовать ввести старый DC в домен с тем же именем (как обычный мембер сервер) и вывести снова объект в AD после ввода/вывода должен быть disabled (с красной блямбой на фейсе) |
Вложений: 3
В файле err показано окно оно выскакивает когда я нажимаю удалить с контейнера данный контроллер.
на err2 выскакивает окно когда я выбираю первые 2 варианта удаления... нажимаю ок и всё не удалило((( а на err3 то когда я выбираю 3 вариант... и тоже нажимаю ок и всё окно закрывается и ничего не удаляет... |
Проверьте наличие галки Глобального каталога на оставшемся DC. Проверьте роли. ntdsutil.exe
|
Цитата:
Да действительно... ГК был на старом ДС перенёс жду репликацию_ А по поводу ролей то все уже на новом ДС... |
Помогите плиз, уже три дня мозг сушу.
Поднял новый контролер, передал роли, ГК и днс. При попытке понизить старый говорит что ни один контролер в домене не обнаружен. Старый essrv01 новый essrv04 Код:
C:\Program Files\Support Tools>netdom query fsmo /domain:my.lan |
dcpromo /forceremoval
ntdsutil.exe |
нашел такой специфект: на новом контролере не создались папки NETLOGON и SYSVOL. расшарил вручную SYSVOL и после перезагрузки папка слетела. присвоил параметрам HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer и AutoShareWks значение 1 - не помогло.
dcpromo /forceremoval - заругалось, что ДНС поднят, но все машини уже неделю работають только на новом ДНСе. ntdsutil.exe - все роли я передал, что ещё? |
|
ниасилил.... я так понял это если я пытаюсь подсунуть новый контроллер с именем старого контролера... отойдем от понижения старого контроллера... я установил новый контроллер домена, передал ему все роли, настроил ДНС и передал Глобальный каталог... По всем понятиям при выключении старого, новый должен полноценно выполнять все функции контролера домена, но этого не происходит. Выглядит это так, как будто о новом контроллере знает только старый и больше никто. Контроллеры между собой реплецируются без проблем, но рабочие станции не воспринимают новый контроллер. Было замечено, что на новом контроллере не создались административные шары NETLOGON и SYSVOL. Частично это обясняет почему рабочие станции не восринимают новый контроллер. Пока все что я нашел это http://support.microsoft.com/kb/842715/ru
|
Вопрос не много не в тему, но все же спрошу.
Дано Домен, пользователей 450-500 челов, ну и компов столько же. вопрос какой программой или командой можно определить админ или не админ пользователь на рабочей станции. И как можно определить на какую компьютер зашел ВасяП, зная только его доменное имя ВасяП :) |
1. net localgroup "Administrators" > \\server\LocAdm$\%COMPUTERNAME%.txt
2. PsLoggedOn v1.33 - узнать, кто залогинен на удаленном компьютере. А по вопросу - на какой комп залогинен пользователь - у меня нет ответа. |
dvassilyev, помнится, еще в бытность студентом, написал с другой маленькую программку специально для того, чтобы видеть, где сидит пользователь. :) Ссылочка на архив. в проге в поле Domain надо ввести свое имя домена.
|
Сенкс большое :) как говорится я не волшебник, я только учусь.
|
запустил прогу ввел параметры выдает все кроме имени компа куда зашел юзер :(
Workstation : not logon... |
dvassilyev, значит пользователь не входил в систему.
|
вошел проверил раз 10
|
Цитата:
нажал, без выхода из программы, User Info - и всё ок. |
иногда показывает, а иногда. а так отличная прога
|
Цитата:
вот если автор немного доработает код - будет прекрасная утилитка! суть: не просто идти на первый попавшийся DC, а опрашивать все контроллеры и брать самую старшую по времени запись у меня, например, 8 штук DC в 6 сайтах прога лезет на DC в моем сайте, а юзер залогинился в другом и всё - не находит... |
у меня 4, если один то понятное дело сработает. как можно пофиксить, и сделать чтоб программа опрашивала все сегменты.
|
Господа, вы видели год создания программы? :) Конечно, она многого не учитывает и иногда некорректно работает :). Если вам понравилось, я могу написать утилитку, которая будет все это выводить, с опросом доменов, не проблема. Но сделать это смогу только через пару недель, сейчас пишу другую сетевую мульку для себя, объемная сильно :)
|
не вопрос подождем конечно :) тем болле прога очень удобная для меня, то что искал :)
|
есть команда dsadd user. имя админские прова можно создавать юзера не заходя на домен контроллер, из команндной строки, так же можно добавить описание и много другое, Вопрос можно как нить прикрутить данную команду к небольшой веб форме? я сам не программер не разу :(
|
Цитата:
|
mmc в помощь, dvassilyev,
|
Цитата:
|
adminpack юзаю, а веб форму хотел в тестовом режиме запустить в HR. чтоб они начальную инфу по юзеру вбивали, департамент, хеб офис или бек ну всю такую не критичную инфу.
|
Цитата:
|
идея то хорошая, но как ее в жись воплотить
|
dvassilyev, а надо именно веб приложение или можно и оконное? В принципе то ничего сложного, на основе данных с формы сформировать строку запроса и выполнить команду.
|
я думаю web. прикручу его к страничке HR дам прова на создания юзера, естественно в тестовом режиме :)
|
подскажите как можно убить 0 сессию? может при помощи cmd или через реестр? вроде нормально делаешь logoff и все равно сессия весит, можно как нить ее убить автоматом?
|
|
Уважаемый Delirium, не будет ли у вас время занятся своей программой и немножко ее переделать :)
|
Ну скажем так, ее придется не переделывать, а переписывать с нуля, ибо исходников уже давно нет :) Если вкратце, то чего не хватает в основной версии? Порядка обхода всех контроллеров указанного домена?
|
в точку :)
|
Вложений: 1
Есть одна такая замечательная утилитка от MS - WMICodeCreator, причем с исходниками. ПРограмма выдает код запроса на 3 языках. Очень удобно для того, чтобы, например, просмотреть на удаленной машине какие нибудь параметры. С программкой я поковыряюсь, но только на след неделе, завтра в командировку еду. А пока выкладываю программульку, вдруг понравится :)
|
ок бум ждать :)
|
Вопрос, какие параметры надо прописать в shutdown для вин 2003, для Xp достаточно -r -t 00
|
/r Завершение работы и перезапуск компьютера
/t xxx Задание задержки в xxx секунд перед завершением работы компьютера. /d [p:]xx:yy Указание причины перезапуска или завершения работы p означает запланированный перезапуск или завершение работы xx является основным номером причины (целое положительное число меньшее 256) yy является вспомогательным номером причины (целое положительное число меньшее 65536) Цитата:
|
Уже несколько дней долбусь над одним и тем же - организация перенаправления папок пользователей.
Контроллер домена AD 2008 Server Standard. Создал в корне диска папку UsrFldrs$, расшарил её (для Всех - полный доступ). Далее, в консоли "Управление групповой политикой": Лес - Домены - имя_домена - Объекты групповой политики создаю новую политику Folder Redirection. Далее правой кнопкой - Изменить. В консоли "Редактор управления групповыми политиками": Конфигурация пользователя - Политики - Конфигурация Windows - Перенаправление папки - правой кнопкой мыши на "Документы" - Свойства: Перенаправлять папки всех пользователей в одно место (простая) Создать папку для каждого пользователя на корневом пути. Корневой путь: \\цербер\UsrFldrs$ Задействую следующие параметры: Предоставить права монопольного доступа к "Документы" Перенести содержимое "Документы" в новое место Применить политику перенаправления также к ОС.... После удаления политики перенаправить папку обратно... Кроме того, задействовал политику: Всегда ждать сеть при запуске и входе в систему. Сколько не перезагружался на компе-клиенте под разными учётками, так в папке UsrFldrs$ на серваке и не появилось ни одной папки с именами пользователей. В чём могут быть грабли? Возможно, я где-то чего-то не донастроил... И ещё, объясните пожалуйста, в чём всё-таки разница между перемещаемым профилем и перенаправлением папок? Перемещаемый профиль настроить получилось. Во всём этом деле я чайник - сталкиваюсь впервые, да ещё и 2008-й сразу же... Спасибо. |
\\цербер\UsrFldrs$
Прямо так - русскими буквами? |
Да нет, конечно. Ну, хорошо, уточню:
\\Master\UsrFldrs$ |
Цитата:
|
Вот с NTFS-правами полная неразбериха. Вроде сделал, как рекомендуется на Майкрософте, не припоминаю ссылку, но возможно что-то не совсем правильно выставилось - не уверен. В 2008 винде это несколько по другому как-то делается - меня это совсем запутало...
Если поможете, буду признателен. |
Установка, просмотр, изменение и удаление особых разрешений для файлов и папок в Microsoft Windows XP
Для 2008 принципиальных различий нет. |
случился дизастер упал DС, один из 4, dns, public, schema master. вирус убил винду, паблик бог с ним, dns - подняли другой, как не теперь правильней удалить с него все оставшиеся роли, и корректно убрать его самого? Подскажите.
|
dvassilyev, ntdsutil вам в помощь. Как им пользоваться, на форуме обсуждено до дыр.
|
сенкс
|
DarkMaximus, по форуму лень пробежаться по темам? Данный вопрос расжеван по моему больше некуда.
Опять же повторю - ntdsutil либо стандартными средствами. Либо просто google.ru |
уважаемые господа и дамы!произошла такая мне непонятная вещь:создал на сервере локальный домен,для пробы ввел одну учетную запись,включил этот комп в домен,перезагрузил по требованию-в результате:могу ввойти только в домен с паролем созданной учетной записи,в винду компа войти не получается,требует пароль админа,хотя точно знаю,что пароль админа не устанавливал,в безопасном режиме тоже самое,что произошло пока понять не могу,прошу помощи у просвещенного общества.такой же вопрос задал в ветке по ХР,ответа пока нет,но надо знать-ХР переустанавливать или ХЗ.
|
1. Создаем свои темы!
2. По поводу данной проблемы: в Default Domain Policy запрещен пустой пароль у администратора.После ввода в домен политики применились к компьютеру и вот результат. Войдите в домен с правами Domain Admin и задайте пароль встроенному администратору. |
Цитата:
Цитата:
Цитата:
|
to Oleg Krylov: большое спасибо,теперь стало понятно,что именно произошло.
to monkey:комп требует пароль админа для входа в ХР самого компа, в домен входит с правами пользователя легко. по поводу тем: больше не буду... |
Delirium, по программе есть что нить новое :)
|
dvassilyev, пока ничего нет, загружен сильно написанием проги для начальства.
|
ох уж это начальство :)
вопрос по ходу, как правильно восстановить DC из системстейта. знаю что существует какой то определенный порядок. вопрос какой? |
разобрался
|
Доброго времени алл :)
вопрос есть, есть домен на 2003 и есть группа юзеров, секьюрити, локальная как только этой группе сделать ярлык на определенную прогу? |
1. В bat файл скрипта входа прописать копирование ярлыка.
2. Создать батник и раздать им. 3. Вручную пусть создадут :) |
Цитата:
|
bat не подходит :( у них через бат цепляет кучу всякой гадости то что нужно их депу и так на каждый департамент, были бы они с одного депа не было бы печали, попробую через GPO :)
|
я так понял на группу нельзя применить GPO?
|
Цитата:
|
подскажи :)
|
|
работает, если только юзер в той же OU, может перенести группу в корневую папку?
|
Вложений: 1
есть сервер на него установлены патчи, хот фиксы (ставились ручками). вопрос можно выташить список всех патчей в текстовый файл?
|
пуск - выполнить - cmd - systeminfo. ЛИбо в текстовик systeminfo >C:\1.txt
Пример: Цитата:
|
это делал не подходит, аудиту нужно дату время и прочие радости
|
|
| Время: 19:43. |
Время: 19:43.
© OSzone.net 2001-
