Версия для печати темы

Автор: Levon Четверг, 08 Декабря 2005, 14:20

В жизни каждого админа, и которого в сети работают доменные контролеры под управлением Windows 2000 Server, возникает мысля "а не перейти ли мне на 2003 ? ", ответ однозначен ...... конечно же перейти ...
Я не сторонник наката новой версии ОС поверх старой, особенно если речь идет о серверах ..... тут все надо селать с нуля .....
Вот решил поделится своим опытом миграции Службы каталогов (ака Active Directory Service) с 2000 на 2003, все это проделанно не раз ... работает на ура ....
Так что мы имеем .... 2 доменных контролера с 2000 SP4 на борту, один из них так же служит файловым сервером (шары, настройки безопасности и все такое на несистемном логическом/физическом диске), назовем его "основной сервер", так же на нем сидит служба глобальных каталогов, и Operations Master . Второй сервер - "вторичный сервер" ..... это условные имена, так как знаем что в 2000-ых доменах не понятия Primari и Secondary.
Если у вас в сети тока один доменный контролер, а переход всетаки надо сделать придется выплакать у начальства еще один комп на время перехода ......
На случай пожарной безопасности снимем образы с рабочих систем ... если что пойдет ни так... хотя бы откат сделаем

Ну что ? .... скрестили пальцы за спиной ... и начали ......
1. Понижаем роль вторичного сервера до рядового сервера .... команда dcpromo
2. После рестарта рядового сервера он пока является членом домена ... так что исключаем его оттуда
3. На основном сервере запускаем команду adprep из папки i386 дистрибутива Windows 2003 сначала с ключем /forestprep затем /domainprep. Все ... домен 2000 готов к подключению к себе доменных контролеров 2003
4. На вторичном сервере инсталируем Windows 2003 в соответствии с документацией и гайдом предоставленным Егором настраиваем его для подключения к домеу
5. Запускаем dcpromo и если все нормально (по крайней мере у меня никаких проблем с этим не было)... новый контролер на 2003 готов к работе ..... У нас получилась этакая смесь домена 2000 и 2003 ... судя по микрософту в таком режиме домен может работать сколько угодно ....
Если у вас больше не осталось пальцев .. можете скрестить пальцы ног ......
6. Чтобы заново не настраивать шары на основном домене экспортируем ветку реестора [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares], что касается прав на вкладках Security для файлов и папок ... о них можно не думать .... так как эта информация храниться на диске благодаря NTFS и не зависит от системмы
7. Отключаем на основном сервере глобальные каталоги и включаем их на вторичном сервере
8. Меняем Operations Masters с основного сервера на вторичный
9. Подождем немного ... чтобы пошла репликация ..... всех изменений
10. Выполняем пункты 1., 2., 4., 5. для основного сервера
11. Проверям установленные права доступа к файлам на вкладках Security .... все в порядке .... как и было после форматирования, нету только шаров ....
11. Запускаем .reg файл который мы экспортировали в пункте 6.
12. Перезагружаем основной сервер (хотя можно и перезагрузить сервис Server), и наблюдаем ....... шары появились ...
13. Ставим на основной сервер роль глобльного каталога, и Operations master
14. Повышаем функциональный уровень домена с Mixed на Windows 2003 Native
15. Наслаждаемся проделанной работой .....

Автор: kenm Четверг, 08 Декабря 2005, 15:08

http://support.microsoft.com/kb/325379

Автор: Dimasik Пятница, 30 Декабря 2005, 14:45

Во первых хотелось бы поблагодарить уважаемого Levona за написание данного опуса
Во вторых хочется обратится к господам модераторам с просьбой прилепить этот тему наверх думаю она многим поможет
Ну и в третьих хочу поделится траблом и возможно получить совет
ситуевина значится такая 3 машинки под ад, 120 клиентов
машинки несут на борту 2- 2003 ось одна w2kAS
w2kAS является хозяином всего чего только можно . при передаче ролей ругается что не может приконектится серверу на который передаются роли ,
второй трабл на пдс стоит днс при установке днс на 2003 серваки идет глюк - служба днс вываливается при старте , в логе посмотреть не могу т.к. он выдаент что у меня - админа домена , недостаточно прав для просмотра логов , такая симптоматика на обоих машинах с 2003
третий трабл в том что я не могу опустить 2003 до стэндалона недостаточно прав
никто кроме меня не ковырялся здесь -100%
я с правами не игрался , может это вирусняк какой но каспер молчит

Автор: Levon Пятница, 30 Декабря 2005, 15:32

У тебя в сетевых настройках все 3 днс сервера прописаны .. .?? Мне иногда помогало избежать ошибок изменение порядка следования DNS серверов ......
Так же очень похоже на то что у тебя проблемма с репликацией ........
А на счет прав .... Глупо звучит ... но всетаки ..... они в действительности у тебя есть ... ?

Автор: Dimasik Пятница, 30 Декабря 2005, 15:56

проверил деиствительно есть все права
вот что то меня тоже гложет сомнение что проблемы с репликациеи , но как она связана справами - не поиму
по поводу днс
второй трабл на пдс стоит днс при установке днс на 2003 серваки идет глюк - служба днс вываливается при старте
не могу поднять днс ошибка и звиздец

Автор: Levon Пятница, 30 Декабря 2005, 17:00

Так выходит .... при подключении к домену на остальных контролерах у тебя не было DNS серверов ... ?
А может до этого с групповыми политиками играли .. .?

Автор: Dimasik Понедельник, 02 Января 2006, 13:56

да не было они все смотрели на один днс
политики стоят но вроде все чисто , как вариант убить политики и пересоздать заново , гиморно конечно но попробую

убил все политики- без толку при поднятии АД на новой машине с 2003 серв выдает -<Операция не выполнена по следующей причине: Мастеру установки Active Directory не удается преобразовать учетную запись компьютера PDC-02$ в учетную запись контроллера домена. "Отказано в доступе."> и запрашивает логин пароль , или туплю я или еще чтото, добавил аадминистратора в о все группы какие есть - не помагает , как можно проверить права администратора ?????

Автор: Egor Суббота, 07 Января 2006, 22:39

Проверь, добавлена-ли группа доменных администраторов в "локальную группу администраторов" (Builtin) на PDC.

Попробуй укажи доменного администратора (домен\administrator)

ЗЫ Информации мало.

Автор: Dimasik Понедельник, 09 Января 2006, 7:13

в локальную группу добавленно ,

ты имеешь ввиду через \ - domen\administrator ????

Автор: Levon Понедельник, 09 Января 2006, 10:02

Dimasik, domen\administrator, или administrator@domain.ru

А может у тебя просто кривой дистрибутив .. и нечего мудрить .... ? Где нибудь он нормально работает ... ?

Автор: Dimasik Понедельник, 09 Января 2006, 12:23

дистр новый, лицензия все как положено , патчил через инет , больше нигде дистр не ставил
да кстати домен поднят на w2k AS английский , а 2003 русский идет , но вроде траблов до этого не наблюдалось

Автор: Levon Понедельник, 09 Января 2006, 14:21

Тоесть как ... патчил ...
А на 2000 ... СП4 стоит ... ?

Автор: Dimasik Понедельник, 09 Января 2006, 14:31

обновления от маикрософт ставил сервис пак 4 стоит , а что из за него могуть быть траблы ????

Автор: Levon Понедельник, 09 Января 2006, 14:50

Не как раз с 4-ым сервиспаком дышать легче ......
Я бы на твоем месте взял бы совершенно чистые компы и попробовал бы поднять на них новую гибридную АД .... чтобы исключить фактор кривой оси ....

Автор: Dimasik Понедельник, 09 Января 2006, 15:23

2003 ставил на совершенно чистую машину , ад гибридный по определению , менять ад - это около 100 машин переподключать на 3 этажах - я просто не потяну все за сутки

Автор: Levon Вторник, 10 Января 2006, 8:08

Нет ... я о том чтобы попробовать создать тестовую гибридную AD ..... тобишь к одному 2000 подключить 2003 ... использовать те же самые дитрибутивы ... которые стоят на серверах ...... Клиентов к этой АД переключать не надо .... просто попробуй протестируй .....
повторяю еще раз ... может у тебя просто кривые дистрибутивы ... с индивидуальной непереносимостью друг друга .....
Давай докажем противное .....

Автор: Egor Вторник, 10 Января 2006, 8:34

Dimasik
Выдай сюда netdiag и dcdiag с 2000 и с любого 2003.

ЗЫ Только не все показывай, а не прошедшие тесты

Автор: Dimasik Вторник, 10 Января 2006, 12:14

dcdiag
REPLICATION LATENCY WARNING
PDC: A full synchronization is in progress
from BAZASK to PDC
Replication of new changes along this path will be delayed.
The full sync is 94,88% complete.
Warning: CN="NTDS Settings
DEL:bc7dc689-6bfd-4e08-98d9-36bbe8e8fa56",CN="PDC01
DEL:0b9bb422-4840-485e-86a5-e540061ff6f5",CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=astana,DC=sk is the Domain Owner, but is deleted.
......................... PDC failed test KnowsOfRoleHolders
* PDC is not trusted for account delegation
......................... PDC failed test MachineAccount
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.

netdiag

Default gateway test . . . . . . . : Failed
[FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other network segments.
If you configured the IP protocol manually then
you need to add at least one valid gateway.

по поводу пдс но трастед - не могу поставить галку в своиствах - политика безопасности говорит не позволяет

Автор: Egor Вторник, 10 Января 2006, 15:46

Поругаться что-ли... Dimasik, ты, вроде, не первый день на форуме, а правильно настраивать DNS так и не научился Три ошибки, и все три, при "неправильной работе DNS".
У тебя DNS сервера даже НЕ ПОДОЗРЕВАЮТ ДРУГ О ДРУГЕ!!!. Это если их больше одного. Если один, то о нем знает только тот DC, на котором он стоит.

Млин. Вот-же сколько пустопорожних вопросов и ответов, пока подобрались к тому, с чего ты должен был начать задавать свой вопрос:
Топологию сети и ipconfig /all с 2000 и 2003 в студию.

Автор: Dimasik Вторник, 10 Января 2006, 16:10

днс один повторюсь , на остальных он указан основным
2000 ipconfig /all

Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : pdc
Primary DNS Suffix . . . . . . . : astana.sk
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : astana.sk

Ethernet adapter Local Area Connection:

Media State . . . . . . . . . . . : Cable Disconnected
Description . . . . . . . . . . . : HP NetServer 10/100TX PCI LAN Adapter
Physical Address. . . . . . . . . : 00-30-6E-12-DC-7D

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : HP NetServer 10/100TX PCI LAN Adapter #2
Physical Address. . . . . . . . . : 00-30-6E-12-DC-7E
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.10.10.11
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.10.10.10
DNS Servers . . . . . . . . . . . : 10.10.10.11

2003 -который не могу ввести в домен
Имя компьютера . . . . . . . . . : pdc-02
Основной DNS-суффикс . . . . . . : astana.sk
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : astana.sk
Подключение по локальной сети 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : HP NetServer 10/100TX PCI адаптер
Физический адрес. . . . . . . . . : 00-30-6E-12-8E-54
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.22
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.10.10.10
DNS-серверы . . . . . . . . . . . : 10.10.10.11
Подключение по локальной сети - Ethernet адаптер:
Состояние сети . . . . . . . . . : сеть отключена
Описание . . . . . . . . . . . . : HP NetServer 10/100TX PCI адаптер #2
Физический адрес. . . . . . . . . : 00-30-6E-12-8E-53

2003 контролер домена с проблеммой что я не могу опустить до стэндалона
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : BazaSK
Основной DNS-суффикс . . . . . . : astana.sk
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : astana.sk
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-0F-1F-6D-AB-7D
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.18
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.10.10.16
DNS-серверы . . . . . . . . . . . : 10.10.10.11
10.10.10.13

Автор: Egor Вторник, 10 Января 2006, 17:37

Прямо клещами из тебя вытягиваю информацию.
Топология где? Что поднято на серверах? nslookup -q=any astana.sk с каждого DC

10.10.10.13 указываешь зачем? Утебя там DNS с интегрированной AD astana.sk? Потом,

Т.е. #1 ты уже устанавливал до этого? С таким-же адресом? Как удалял (если удалял)?
Проверь реестр:
Запускаешь netliag и смотришь результат

NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{3429E228-356C-4092-A78A-245219FAA97C}
1 NetBt transport currently configured.

Надеюсь понятно, что UIN у тебя будет другой.
Проверяешь
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\{3429E228-356C-4092-A78A-245219FAA97C}\Parameters\Tcpip\IPAddress
Должен быть твой IP. Если рядом с {3429E228-356C-4092-A78A-245219FAA97C} есть другие подобные записи с этим IP, удаляешь.
Дальше
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\Tcpip\Parameters\Interfaces
Смотришь, чтобы только у твоего стоял нужный IP

Автор: Dimasik Четверг, 12 Января 2006, 7:09

w2k DHCP DNS AD 10.10.10.11 hostname - PDC
2003 AD 10.10.10.18 hostname - BAZASK
2003 Standalone 10.10.10.22 hostname - PDC-02

13 старый хвост , стоит вторым, уже убрал
по поводу карты - она №2 в серваке, первая пустая стоит
nslookup -позже

Автор: Egor Пятница, 13 Января 2006, 12:34

Активирована? Что-то с ней хочешь сделать? Какой она стоит в дополнительных параметрах?

Автор: Dimasik Понедельник, 16 Января 2006, 15:26

pdc02 2003

C:Documents and Settingsadministrator>nslookup -q=any astana.sk
*** Can't find server name for address 10.10.10.11: Non-existent
Server: UnKnown
Address: 10.10.10.11

astana.sk internet address = 169.254.4.239
astana.sk internet address = 10.10.10.18
astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.14
astana.sk internet address = 10.0.0.1
astana.sk nameserver = pdc.astana.sk
astana.sk
primary name server = pdc.astana.sk
responsible mail addr = administrator.astana.sk
serial = 3242
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
astana.sk
WINS lookup
flags = 0 ( )
lookup timeout = 2
cache TTL = 900
server count = 2
WINS server = (10.10.10.11)
WINS server = (10.10.10.12)
pdc.astana.sk internet address = 10.10.10.11

на остальных также

Автор: Egor Понедельник, 16 Января 2006, 16:13

Это че, это куда?
Смотри, косяки

2000
Host Name . . . . . . . . . . . . . : pdc
IP Address . . . . . . . . . . . . . : 10.10.10.11
Default Gateway . . . . . . . . . : 10.10.10.10
DNS Servers . . . . . . . . . . . . : 10.10.10.11

2003
Имя компьютера . . . . . . . . . : BazaSK
IP-адрес . . . . . . . . . . . . . . . : 10.10.10.18
Основной шлюз . . . . . . . . . . : 10.10.10.16 ???
DNS-серверы . . . . . . . . . . . . : 10.10.10.11, 10.10.10.13 ???

Обращение к домену astana.sk
astana.sk internet address = 169.254.4.239 ???
astana.sk internet address = 10.10.10.18
astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.14 ???
astana.sk internet address = 10.0.0.1 ???
astana.sk nameserver = pdc.astana.sk

Да твой DNS еще и обработать запрос не может

У тебя и WINS поднят?

ЗЫ Правь свой DNS. Вот как выдаст nslookup такое, считай глюки уйдут:

nslookup -q=any astana.sk

Server: pdc.astana.sk
Address: 10.10.10.11

astana.sk internet address = 10.10.10.18
astana.sk internet address = 10.10.10.11
astana.sk nameserver = pdc.astana.sk
astana.sk

Автор: Dimasik Понедельник, 16 Января 2006, 16:48

косяки подправил со шлюзами и вторыми днс
днс подрихтовал вроде теперь воттак
C:>nslookup -q=any astana.sk
Server: pdc.astana.sk
Address: 10.10.10.11

astana.sk internet address = 10.10.10.11
astana.sk internet address = 10.10.10.18
astana.sk nameserver = pdc.astana.sk
astana.sk
primary name server = pdc.astana.sk
responsible mail addr = administrator.astana.sk
serial = 3249
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)
pdc.astana.sk internet address = 10.10.10.11
и все равно идет :
Операция не выполнена по следующей причине: Мастеру установки Active Directory не удается преобразовать учетную запись компьютера PDC-02$ в учетную запись контроллера домена. "Отказано в доступе."
при том что он домен видит , да и видел до этого, репликация проходит то,то , и это реплицированно в ходе работы дспромо

Автор: Egor Понедельник, 16 Января 2006, 18:49

2000 Eng соответственно Administrator, 2003 Rus с Администратором?
Проверь, на всякий случай, домен работает в натив или микшед моде?

Автор: Dimasik Вторник, 17 Января 2006, 9:27

mixed стоит, Administrator при подключении ввожу

Автор: Levon Вторник, 17 Января 2006, 9:51

Вот я пытал сайт микрасофта и накопал
http://support.microsoft.com/?kbid=232070
http://support.microsoft.com/?kbid=250874
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/opsguide/part1/adogd13.mspx#ECAA
http://support.microsoft.com/default.aspx?scid=kb;en-us;308311

Может пригодиться .. .?

Автор: Egor Вторник, 17 Января 2006, 12:14

Levon, прямо как доктор прописал

Dimasik, твоя ошибка. Правда все четыре ссылки про одно и то-же, но зато, под разными углами

Автор: Dimasik Вторник, 17 Января 2006, 14:50

ДА УЖ ......НЕ ДАЕТ ОН МНЕ СДЕЛАТЬ ТРАСТЕД НА PDC - ТВОЯ ПОЛИТИКА ЗАПРЕЩАЕТ ГОВОРИТ , А ПОЛИТИКИ ВСЕ УЖЕ СКИНУЛ Я

Автор: Levon Вторник, 17 Января 2006, 14:59

Я чтото не нашел тут .... ты не написал ..... у тебя во время ошибок логи молчат .. ?

Автор: Dimasik Вторник, 17 Января 2006, 16:01

писал кстати
НА PDC ВСЕ ЧИСТО, на втором контролерре (BAZASK) нет прав на просмотр логов (Administrator) , на том который пытаюсь зацепить - все чисто

Автор: Levon Вторник, 17 Января 2006, 16:17

А ты пробовал ... явно разрешить через груповые политики то что требуется ... ?

Автор: shan Понедельник, 13 Марта 2006, 16:47

Насколько обязательно переходить в nativ режим? У меня был (AD+DNS+DHCP+RAS)Вин2к, потом добавил второй Вин2к3SP1(AD, DNS, DHCP) ,ошибок не было.
Затем первый проапгрейдил тоже до Вин2к3SP1. Сейчас оба W2K3SP1 в Миксед редиме. На обоих ошибка ДНС 6702 через 20 минут после загрузки и далее каждые 24 часа. Оба ДНС настроены по советам этого форума и форума http://winfaq.com.ru/ubb/Forum3/HTML/011099-3.html. Может ли это быть из-за Миксед режима?

Автор: Levon Вторник, 14 Марта 2006, 8:10

Mixed режим используеться тогда когда у тебя в качестве домменных контролеров есть Win2K и Win2K3 ... а если у тебя оба доменных контролера Win2k3 ... то не имеет смысла держать их в натив моде ....
А на счет ошибки .... тебе же в теле ошибки написано что делать ......