В жизни каждого админа, и которого в сети работают доменные контролеры под управлением Windows 2000 Server, возникает мысля "а не перейти ли мне на 2003 ? ", ответ однозначен ...... конечно же перейти ...
Я не сторонник наката новой версии ОС поверх старой, особенно если речь идет о серверах ..... тут все надо селать с нуля .....
Вот решил поделится своим опытом миграции Службы каталогов (ака Active Directory Service) с 2000 на 2003, все это проделанно не раз ... работает на ура ....
Так что мы имеем .... 2 доменных контролера с 2000 SP4 на борту, один из них так же служит файловым сервером (шары, настройки безопасности и все такое на несистемном логическом/физическом диске), назовем его "основной сервер", так же на нем сидит служба глобальных каталогов, и Operations Master . Второй сервер - "вторичный сервер" ..... это условные имена, так как знаем что в 2000-ых доменах не понятия Primari и Secondary.
Если у вас в сети тока один доменный контролер, а переход всетаки надо сделать придется выплакать у начальства еще один комп на время перехода ......
На случай пожарной безопасности снимем образы с рабочих систем ... если что пойдет ни так... хотя бы откат сделаем
Ну что ? .... скрестили пальцы за спиной ... и начали ......
1. Понижаем роль вторичного сервера до рядового сервера .... команда dcpromo
2. После рестарта рядового сервера он пока является членом домена ... так что исключаем его оттуда
3. На основном сервере запускаем команду adprep из папки i386 дистрибутива Windows 2003 сначала с ключем /forestprep затем /domainprep. Все ... домен 2000 готов к подключению к себе доменных контролеров 2003
4. На вторичном сервере инсталируем Windows 2003 в соответствии с документацией и гайдом предоставленным Егором настраиваем его для подключения к домеу
5. Запускаем dcpromo и если все нормально (по крайней мере у меня никаких проблем с этим не было)... новый контролер на 2003 готов к работе ..... У нас получилась этакая смесь домена 2000 и 2003 ... судя по микрософту в таком режиме домен может работать сколько угодно ....
Если у вас больше не осталось пальцев .. можете скрестить пальцы ног ......
6. Чтобы заново не настраивать шары на основном домене экспортируем ветку реестора [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares], что касается прав на вкладках Security для файлов и папок ... о них можно не думать .... так как эта информация храниться на диске благодаря NTFS и не зависит от системмы
7. Отключаем на основном сервере глобальные каталоги и включаем их на вторичном сервере
8. Меняем Operations Masters с основного сервера на вторичный
9. Подождем немного ... чтобы пошла репликация ..... всех изменений
10. Выполняем пункты 1., 2., 4., 5. для основного сервера
11. Проверям установленные права доступа к файлам на вкладках Security .... все в порядке .... как и было после форматирования, нету только шаров ....
11. Запускаем .reg файл который мы экспортировали в пункте 6.
12. Перезагружаем основной сервер (хотя можно и перезагрузить сервис Server), и наблюдаем ....... шары появились ...
13. Ставим на основной сервер роль глобльного каталога, и Operations master
14. Повышаем функциональный уровень домена с Mixed на Windows 2003 Native
15. Наслаждаемся проделанной работой .....
http://support.microsoft.com/kb/325379
Во первых хотелось бы поблагодарить уважаемого Levona за написание данного опуса
Во вторых хочется обратится к господам модераторам с просьбой прилепить этот тему наверх думаю она многим поможет
Ну и в третьих хочу поделится траблом и возможно получить совет
ситуевина значится такая 3 машинки под ад, 120 клиентов
машинки несут на борту 2- 2003 ось одна w2kAS
w2kAS является хозяином всего чего только можно . при передаче ролей ругается что не может приконектится серверу на который передаются роли ,
второй трабл на пдс стоит днс при установке днс на 2003 серваки идет глюк - служба днс вываливается при старте , в логе посмотреть не могу т.к. он выдаент что у меня - админа домена , недостаточно прав для просмотра логов , такая симптоматика на обоих машинах с 2003
третий трабл в том что я не могу опустить 2003 до стэндалона недостаточно прав
никто кроме меня не ковырялся здесь -100%
я с правами не игрался , может это вирусняк какой но каспер молчит
У тебя в сетевых настройках все 3 днс сервера прописаны .. .?? Мне иногда помогало избежать ошибок изменение порядка следования DNS серверов ......
Так же очень похоже на то что у тебя проблемма с репликацией ........
А на счет прав .... Глупо звучит ... но всетаки ..... они в действительности у тебя есть ... ?
проверил деиствительно есть все права
вот что то меня тоже гложет сомнение что проблемы с репликациеи , но как она связана справами - не поиму
по поводу днс
второй трабл на пдс стоит днс при установке днс на 2003 серваки идет глюк - служба днс вываливается при старте
не могу поднять днс ошибка и звиздец
Так выходит .... при подключении к домену на остальных контролерах у тебя не было DNS серверов ... ?
А может до этого с групповыми политиками играли .. .?
да не было они все смотрели на один днс
политики стоят но вроде все чисто , как вариант убить политики и пересоздать заново , гиморно конечно но попробую
убил все политики- без толку при поднятии АД на новой машине с 2003 серв выдает -<Операция не выполнена по следующей причине: Мастеру установки Active Directory не удается преобразовать учетную запись компьютера PDC-02$ в учетную запись контроллера домена. "Отказано в доступе."> и запрашивает логин пароль , или туплю я или еще чтото, добавил аадминистратора в о все группы какие есть - не помагает , как можно проверить права администратора ?????
Проверь, добавлена-ли группа доменных администраторов в "локальную группу администраторов" (Builtin) на PDC.
в локальную группу добавленно ,
Dimasik, domen\administrator, или administrator@domain.ru
А может у тебя просто кривой дистрибутив .. и нечего мудрить .... ? Где нибудь он нормально работает ... ?
Тоесть как ... патчил ...
А на 2000 ... СП4 стоит ... ?
Не как раз с 4-ым сервиспаком дышать легче ......
Я бы на твоем месте взял бы совершенно чистые компы и попробовал бы поднять на них новую гибридную АД .... чтобы исключить фактор кривой оси ....
Нет ... я о том чтобы попробовать создать тестовую гибридную AD ..... тобишь к одному 2000 подключить 2003 ... использовать те же самые дитрибутивы ... которые стоят на серверах ...... Клиентов к этой АД переключать не надо .... просто попробуй протестируй .....
повторяю еще раз ... может у тебя просто кривые дистрибутивы ... с индивидуальной непереносимостью друг друга .....
Давай докажем противное .....
Dimasik
Выдай сюда netdiag и dcdiag с 2000 и с любого 2003.
ЗЫ Только не все показывай, а не прошедшие тесты
dcdiag
REPLICATION LATENCY WARNING
PDC: A full synchronization is in progress
from BAZASK to PDC
Replication of new changes along this path will be delayed.
The full sync is 94,88% complete.
Warning: CN="NTDS Settings
DEL:bc7dc689-6bfd-4e08-98d9-36bbe8e8fa56",CN="PDC01
DEL:0b9bb422-4840-485e-86a5-e540061ff6f5",CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=astana,DC=sk is the Domain Owner, but is deleted.
......................... PDC failed test KnowsOfRoleHolders
* PDC is not trusted for account delegation
......................... PDC failed test MachineAccount
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
netdiag
Default gateway test . . . . . . . : Failed
[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.
по поводу пдс но трастед - не могу поставить галку в своиствах - политика безопасности говорит не позволяет
Поругаться что-ли... Dimasik, ты, вроде, не первый день на форуме, а правильно настраивать DNS так и не научился Три ошибки, и все три, при "неправильной работе DNS".
У тебя DNS сервера даже НЕ ПОДОЗРЕВАЮТ ДРУГ О ДРУГЕ!!!. Это если их больше одного. Если один, то о нем знает только тот DC, на котором он стоит.
Млин. Вот-же сколько пустопорожних вопросов и ответов, пока подобрались к тому, с чего ты должен был начать задавать свой вопрос:
Топологию сети и ipconfig /all с 2000 и 2003 в студию.
Прямо клещами из тебя вытягиваю информацию.
Топология где? Что поднято на серверах? nslookup -q=any astana.sk с каждого DC
w2k DHCP DNS AD 10.10.10.11 hostname - PDC
2003 AD 10.10.10.18 hostname - BAZASK
2003 Standalone 10.10.10.22 hostname - PDC-02
13 старый хвост , стоит вторым, уже убрал
по поводу карты - она №2 в серваке, первая пустая стоит
nslookup -позже
pdc02 2003
C:Documents and Settingsadministrator>nslookup -q=any astana.sk
*** Can't find server name for address 10.10.10.11: Non-existent
Server: UnKnown
Address: 10.10.10.11
astana.sk internet address = 169.254.4.239
astana.sk internet address = 10.10.10.18
astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.14
astana.sk internet address = 10.0.0.1
astana.sk nameserver = pdc.astana.sk
astana.sk
primary name server = pdc.astana.sk
responsible mail addr = administrator.astana.sk
serial = 3242
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
astana.sk
WINS lookup
flags = 0 ( )
lookup timeout = 2
cache TTL = 900
server count = 2
WINS server = (10.10.10.11)
WINS server = (10.10.10.12)
pdc.astana.sk internet address = 10.10.10.11
на остальных также
Это че, это куда?
Смотри, косяки
2000
Host Name . . . . . . . . . . . . . : pdc
IP Address . . . . . . . . . . . . . : 10.10.10.11
Default Gateway . . . . . . . . . : 10.10.10.10
DNS Servers . . . . . . . . . . . . : 10.10.10.11
2003
Имя компьютера . . . . . . . . . : BazaSK
IP-адрес . . . . . . . . . . . . . . . : 10.10.10.18
Основной шлюз . . . . . . . . . . : 10.10.10.16 ???
DNS-серверы . . . . . . . . . . . . : 10.10.10.11, 10.10.10.13 ???
Обращение к домену astana.sk
astana.sk internet address = 169.254.4.239 ???
astana.sk internet address = 10.10.10.18
astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.14 ???
astana.sk internet address = 10.0.0.1 ???
astana.sk nameserver = pdc.astana.sk
Да твой DNS еще и обработать запрос не может
косяки подправил со шлюзами и вторыми днс
днс подрихтовал вроде теперь воттак
C:>nslookup -q=any astana.sk
Server: pdc.astana.sk
Address: 10.10.10.11
astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.18
astana.sk nameserver = pdc.astana.sk
astana.sk
primary name server = pdc.astana.sk
responsible mail addr = administrator.astana.sk
serial = 3249
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
pdc.astana.sk internet address = 10.10.10.11
и все равно идет :
Операция не выполнена по следующей причине: Мастеру установки Active Directory не удается преобразовать учетную запись компьютера PDC-02$ в учетную запись контроллера домена. "Отказано в доступе."
при том что он домен видит , да и видел до этого, репликация проходит то,то , и это реплицированно в ходе работы дспромо
2000 Eng соответственно Administrator, 2003 Rus с Администратором?
Проверь, на всякий случай, домен работает в натив или микшед моде?
mixed стоит, Administrator при подключении ввожу
Вот я пытал сайт микрасофта и накопал
http://support.microsoft.com/?kbid=232070
http://support.microsoft.com/?kbid=250874
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part1/adogd13.mspx#ECAA
http://support.microsoft.com/default.aspx?scid=kb;en-us;308311
Может пригодиться .. .?
Levon, прямо как доктор прописал
Dimasik, твоя ошибка. Правда все четыре ссылки про одно и то-же, но зато, под разными углами
Я чтото не нашел тут .... ты не написал ..... у тебя во время ошибок логи молчат .. ?
А ты пробовал ... явно разрешить через груповые политики то что требуется ... ?
Насколько обязательно переходить в nativ режим? У меня был (AD+DNS+DHCP+RAS)Вин2к, потом добавил второй Вин2к3SP1(AD, DNS, DHCP) ,ошибок не было.
Затем первый проапгрейдил тоже до Вин2к3SP1. Сейчас оба W2K3SP1 в Миксед редиме. На обоих ошибка ДНС 6702 через 20 минут после загрузки и далее каждые 24 часа. Оба ДНС настроены по советам этого форума и форума http://winfaq.com.ru/ubb/Forum3/HTML/011099-3.html. Может ли это быть из-за Миксед режима?
Mixed режим используеться тогда когда у тебя в качестве домменных контролеров есть Win2K и Win2K3 ... а если у тебя оба доменных контролера Win2k3 ... то не имеет смысла держать их в натив моде ....
А на счет ошибки .... тебе же в теле ошибки написано что делать ......
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)