Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Создание второго "равноправного" контроллера домена

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Открыть новую тему     Написать ответ в эту тему

das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Развернул таки я Additional domain controller... Все хорошо, перенеслись тут же все юзеры на этот Эдишинал, но вот сейчас, когда на первом добавляешь юзеров, они не реплицируются на второй... где надо что-т подправить, что данные среплицировались? А то я что-то не найду...
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 11:55 12-01-2004
ctolnik



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Смотри в логи репликации там должно быть написано в чём проблема.
Всего записей: 460 | Зарегистр. 25-10-2001 | Отправлено: 12:42 12-01-2004
das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Смотри в логи репликации там должно быть написано в чём проблема.

Поглядел и устранил
Репликация заработала Эт я экспериментатор накуралесил, вернул все в зад - и все стало хорошо!
Теперь "проблема" другого характера. Первый домен нужно изничтожить и оставить на работе пока тот второй... но так что он был главный! Я так понимаю, что роли нужно будет переносить, вот этим чичас и будем заниматься
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 15:14 12-01-2004
ctolnik



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 das Rustle выражайся коректнее домен или контролер домена?
Если второе то роли + ГК + DNS. И желательно коректное выведение с помощью dcpromo.
Всего записей: 460 | Зарегистр. 25-10-2001 | Отправлено: 19:30 12-01-2004
das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ctolnik

Цитата:
выражайся коректнее домен или контролер домена?  

(принял к сведению) я имел ввиду контроллер домена...
Перенес я роли, работают еще два компьютера(два контроллера домена). На одной из машин в качестве одного днс сервера поставил второй домен(который впоследствии останется один) и в сетевом окружении вижу только его и тот первый контроллер домена... даже себя нет...
Конечно, когда набираешь \\имя_компьютера -- на него заходишь, но это же не выход
На первом контроллере домена все было хорошо, и в сетевом окружении все было...

Цитата:
ГК + DNS.

ДНС развернуто на втором контроллере а вот что таке ГК? я что-то не понял, может в нем и проблема? подскажите...
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 20:23 12-01-2004
kibkalo



Убью Билла		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если в итоге должен остаться ОДИН контроллер домена, то на нем должны быть установлены:
1) DNS Server с primary zone (желательно Active Directory Integrated)
2) Все 5 ролей FSMO
3) ГК, он же GC, он же Global Catalog (галка ставится в AD Sites & Services)
 
После того как эти требования выполнены на остальных контроллерах при помощи dcpromo нужно убрать AD (сделать обчными серверами а не контроллерами)
 
Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!!
 
Удачи
Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 00:21 13-01-2004
das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
1) DNS Server с primary zone (желательно Active Directory Integrated)  
2) Все 5 ролей FSMO  

это сделано
а вот
Цитата:
3) ГК, он же GC, он же Global Catalog (галка ставится в AD Sites & Services)  

эту галочку я не могу найти, не подскажете где ее именно нужно поставить?
 
С этим

Цитата:
в сетевом окружении вижу только его и тот первый контроллер домена... даже себя нет...  

я разобрался, ДНС заново перенастроил(точнее настроил, он как оказалось вовсе был не настроен ) и компы появились в сетевом окружении, так что этот вопрос снят с производства
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 15:11 13-01-2004
kibkalo



Убью Билла		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
das Rustle -
Цитата:
эту галочку я не могу найти, не подскажете где ее именно нужно поставить?  
- В Active Directory Sites & Services разверни сайт, сервер, посмотри его свойства репликации и там поставь галку.
Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:50 13-01-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
All
Вы тут обсуждаете актуальную для меня тему, и поэтому хочу уточнинь несколько вопросов:
Немного о себе:
1) Есть сеть из 100 компьютеров на Win2000/XP
2) Поднят домен: mydomen.ru (Домен один)
3) В домене два контроллера домена: PDC (Win2003) и BDC (Win2000) оба в Native mode
4) Все роли находяться на PDC включая Global Catalog
5) DNS интегрированный в AD поднят на PDC
 
Хочу понять следующее:
1) Так ли что, контроллер домена Win2k3 не может быть в Native mode до тех пор, пока в сети существуют контроллеры домена Win2k.
Тогда почему: просматриваю свойства домена в AD Users and Computers он мне четко пишет:
Domain Functional level:
Windows 2000 native
Ну и в каком режиме домен ?
 
2)

Цитата:
Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!!  

У меня сейчас все вместе и вроде все работает корректно, нужно ли переносить Infrastructure Master на PDC ?
 
3) И вообще правильно ли я понимаю, Global Catalog это сокращенная база всего леса, а когда у меня один домен, то нет большой роли где он стоит, т.е. при падении PDC, где GC и находиться, у меня сеть не встанет, просто нужно будет поставить галку Global Catalog на BDC и на этом успокоиться (для начальной работоспособности) ??? Поясните, а то информации по GC много, но не догоняю до конца сути...
 
4) В случае падения PDC (Win2003) у меня вся сеть встанет (backup пока не берем во внимание), так вот хочу услышать ваше мнение по поводу дополнительной настройки на BDC ???
Что нужно поставить: Global Catalog, DNS может еще что ??? Короче чтобы при падении PDC, второй не заткнулся, а обрабатывал пользователей, как будто ничего не случилось
 
Всего записей: 382 | Зарегистр. 13-02-2003 | Отправлено: 10:01 14-01-2004
ctolnik



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 pazdak
1) У 2003 есть режим поддержки домена с контролерами 2000, и домен где все контролеры 2003. В 2000 сервере тоже самое смешанный с контролерами от NT 4.0 и Native где только 2000 или 2003. Если ты на 2003 ничего не нажимал о смене режима то у тебя натив 2000
2) Необязательно
3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.
4) Да всё верно - это настрой + обязательно бэкап. И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.
Всего записей: 460 | Зарегистр. 25-10-2001 | Отправлено: 10:39 14-01-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ctolnik
Спасибо
1) С этим пунктом все ясно...
 
2) По поводу Infrastructure Master и Global Catalog вот что нарыл:

Цитата:
As a general rule, the infrastructure master should be located on a nonglobal catalog server that has a direct connection object to some global catalog in the forest, preferably in the same Active Directory site. Because the global catalog server holds a partial replica of every object in the forest, the infrastructure master, if placed on a global catalog server, will never update anything, because it does not contain any references to objects that it does not hold. Two exceptions to the "do not place the infrastructure master on a global catalog server" rule are:  
Single domain forest:  
 
In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain.
Multidomain forest where every domain controller holds the global catalog:
 
If every domain controller in the domain also hosts the global catalog, then there are no phantoms or work for the infrastructure master to do. The infrastructure master may be placed on any domain controller in the domain.  

Т.е. в моем случае, когда домен в лесу один, неВАЖНО где расположен infrastructure master.
С этим пунктом тоже все ясно...
3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.

Цитата:
Global Catalog Server (сервер Глобального Каталога) – сервер Глобального Каталога – это контроллер домена, который знает о каждом единичном объекте, который существует в Active Directory, в каждом из доменов. Однако, он сохраняет только часть атрибутов каждого объекта, которые считаются наиболее важными. По умолчанию только один контроллер домена во всем лесу выполняет эту роль – первый контроллер домена, созданный в лесу.  

Т.е. когда в лесу один домен, то информация о других доменах отсутствует, поэтому база ntds.dit содержит полную информацию о домене, ТАК ???
4)
Цитата:
Да всё верно - это настрой + обязательно бэкап. И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.  

Значит я поднимаю DNS на BDC и ставлю галку Global Catalog на BDC и все готово для отказа одного из контроллеров ?
А как проверить в нерабочее время, точнее просто методика проверки:
а) Выключаю PDC и домен на BDC должен нормально функционировать
б) Выключаю BDC и домен на PDC должен нормально функционировать
ТАК ?
Всего записей: 382 | Зарегистр. 13-02-2003 | Отправлено: 11:42 14-01-2004
das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo

Цитата:
- В Active Directory Sites & Services разверни сайт, сервер, посмотри его свойства репликации и там поставь галку.

Да нету там вообще галок... можно по-подробнее?
 
ctolnik

Цитата:
3) Эта полная база, после если поставишь галку то откуда он по твоему среплицирует базу? Лучше сразу поставь галку на обоих контролерах.  

Помогите найти эту галку
 
pazdak

Цитата:
Что нужно поставить: Global Catalog, DNS может еще что ??? Короче чтобы при падении PDC, второй не заткнулся, а обрабатывал пользователей, как будто ничего не случилось  

Да вроде как все, но проверять полюбому нужно как говорит ctolnik

Цитата:
И обязательно проверь в нерабочее время как работает сеть в случае отказа одного из контролеров.


Цитата:
Значит я поднимаю DNS на BDC и ставлю галку Global Catalog на BDC и все готово для отказа одного из контроллеров ?  
А как проверить в нерабочее время, точнее просто методика проверки:  
а) Выключаю PDC и домен на BDC должен нормально функционировать  
б) Выключаю BDC и домен на PDC должен нормально функционировать  
ТАК ?

У меня ДНС развернут на двух
проверять можно и просто выдергиванием сетевого шнурка
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 11:52 14-01-2004 | Исправлено: das Rustle, 11:54 14-01-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
das Rustle
Там, Там все раскрывай пока до конца не дойдешь, а именно NTDS Setting и вот там в Свойства и галочку Global Catalog
 
Вот цитата:
Чтобы проверить, не является ли контроллер домена сервером глобального каталога, выполните следующие действия.  
1) Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — сайты и службы.
2) Дважды щелкните на левой панели пункт Сайты и найдите соответствующий узел или, если другие узлы отсутствуют выберите Default-first-site-name.
3) Откройте папку Servers и выделите контроллер домена.
4) В папке контроллера домена щелкните дважды пункт NTDS Settings.
5) В меню Действие выберите команду Свойства.
6) На вкладке «Общие» проверьте, установлен ли флажок Глобальный каталог.
Всего записей: 382 | Зарегистр. 13-02-2003 | Отправлено: 13:00 14-01-2004 | Исправлено: pazdak, 13:14 14-01-2004
das Rustle



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чтобы проверить, не является ли контроллер домена сервером глобального каталога, выполните следующие действия.  
1) Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — сайты и службы.  
2) Дважды щелкните на левой панели пункт Сайты и найдите соответствующий узел или, если другие узлы отсутствуют выберите Default-first-site-name.  
3) Откройте папку Servers и выделите контроллер домена.  
4) В папке контроллера домена щелкните дважды пункт NTDS Settings.  
5) В меню Действие выберите команду Свойства.  
6) На вкладке «Общие» проверьте, установлен ли флажок Глобальный каталог.  

Наконец-то я ее нашел... спасибо
Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 14:04 14-01-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
All
5) У меня DNS был только на PDC (Win2003), я поднял DNS еще на BDC (Win2000) оба интегрированные в AD. Все вроде нормально, только вот вопрос с _msdcs zone: Эта зона появляется если на контроллере стоит Global Catalog, ТАК ?
Если ДА, то тогда не будет конфликтов если я поставлю галку GC на BDC (Win2000), вот источник:
http://support.microsoft.com/default.aspx?scid=kb;en-us;817470
 
ОЙ читаю и, А Это еще что-такое:

Цитата:
After all the DNS servers in the forest root domain are running the Windows Server 2003 DNS Server service, configure your ForestName zone to be stored in an Active Directory-integrated domain-wide application partition. Similarly, configure your DNS records for the _msdcs.ForestName domain name to be stored in a separate _msdcs.ForestName zone that you store in an Active Directory-integrated forest-wide application partition.  

Это что еще такое, что интегрировать DNS в AD можно только когда все DNS стоят на Win2003 ?
 
ПОЯСНИТЕ...
Всего записей: 382 | Зарегистр. 13-02-2003 | Отправлено: 10:06 15-01-2004
PRiM



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не могу поставить дополнительный котроллер выдет следующую ошибку:

Цитата:
Операция не выполнена по следующей причине: Не удалось изменить необходимые свойства компьютера для учетной записи компьютера Х$
"Отказано в доступе"

В чем проблема? Может надо в политиках что-то изменить?

----------
Чтобы дойти до цели, надо идти!
Всего записей: 2259 | Зарегистр. 28-03-2003 | Отправлено: 11:53 17-01-2004
kibkalo



Убью Билла		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pazdak - В Q817470 речь идет о forest-wide partition
В 2003 днс может хранить интегрированную зоны на  
1) всех контроллерах домена  
2) на всех контроллерах леса
3) на всех днс серверах домена
4) на всех контроллерах домена включенных в данный партишен
 
В 2000 всегда все хранилось как в первом случае.
Если есть 2000 и 2003 контроллер в native 2000 mode то можно выбирать из 1-3
При приведении леса в Native 2003 mode становится доступной последняя опция.
 
PRiM
Дай результаты dcdiag и netdom - надо на ошибки посмотреть
Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 14:12 17-01-2004
PRiM



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kibkalo
dcdiag не запускается, ругается на ошибку в dll, а откуда можно слить netdom?

----------
Чтобы дойти до цели, надо идти!
Всего записей: 2259 | Зарегистр. 28-03-2003 | Отправлено: 00:12 20-01-2004
pazdak

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PRiM
Windows 2000 Domain Manager (Netdom.exe) - Это утилита из Support Tools

Цитата:
Use NetDom to:
 
* Join a Windows 2000 computer to a Windows NT 4.0 or Windows 2000 domain, and:  
*** Provide an option to specify the organizational unit for the computer account.  
*** Generate a random computer password for initial join.  
* Manage computer accounts for domain member workstations and member servers:  
*** Add, Remove, Query.  
*** Provide an option to specify the organizational unit for the computer account.  
*** Provide an option to move an existing computer account for a member workstation from one domain to another and maintain the security descriptor on the computer account.  
* Establish (one or two-way) trust relationships between domains, including the following kinds of trust relationships:  
*** from a Windows 2000 domain to an Windows NT 4.0 domain.  
*** from a Windows 2000 domain to a Windows 2000 domain in another enterprise (an "uplevel" external trust).  
*** between two W2K domains in an enterprise (a shortcut trust).  
*** the Windows 2000 half of an interoperable Kerberos realm.  
* Verify and\or reset the secure channel for the following configurations:  
*** Member Workstations and Servers  
*** BDCs in a Windows NT 4.0 domain  
*** Specific Windows 2000 replicas  
* Manage trust relationships between domains  
*** View all trust relationships  
*** Enumerate direct trust relationships  
*** Enumerate all (direct and indirect) trust relationships  
Всего записей: 382 | Зарегистр. 13-02-2003 | Отправлено: 09:12 20-01-2004
Doug



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PRiM
А под какой учетной записью пытаешься это сделать?
Необходимо чтобы ты входил в группу Администраторы схемы и Администраторы предприятия. Иначе - всегда будет посылать...
Всего записей: 75 | Зарегистр. 30-08-2002 | Отправлено: 12:49 20-01-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Создание второго "равноправного" контроллера домена


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru