Olejka39 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А как прибить бывший контроллер домена? Роли уже перекинул, глобальный каталог - благодаря вам, тоже. Когда я пытаюсь убить его (бывший контроллер домена) он отмазывается тем что у него есть контейнеры и объекты и никак не могу прибить. Где косяк, где править? Всего записей: 28 | Зарегистр. 20-06-2003 | Отправлено: 18:36 22-01-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Никогда не убивай контроллер через AD Users & Computers если он еще есть. Цитата: dcpromo тебе поможет. Запусти и демоутни Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 12:39 23-01-2004

das Rustle Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Бордовцы, совсем что-то плохо стало после убиения первого контроллера домена с интегрированным AD... Все было хорошо, пока было два все было хорошо... Первый был под 192.168.30.20, второй на конце 10 Первый я корректно удалил, как положено через dcpromo Скажу сразу. что на втором я поставил айпишник первого, чтоб не ходить по всему зданию, да всем менять на 192.168.30.10 ДНС И тут началось...   Обо всем по порядку. Event Viewer Категория System Цитата: Event Type:Error Event Source:NETLOGON Event Category:None Event ID:5775 Date:23.01.2004 Time:18:51:22 User:N/A Computer:DOMAIN Description: Deregistration of the DNS record 'e346b632-67f7-4adc-9b35-7840bf6bb7c4._msdcs.indexbank.com. 600 IN CNAME kib1.indexbank.com' failed with the following error:   The data is invalid.     Ругается на старый(первый) контроллер домена - kib1.indexbank.com Потом тут же Цитата: Event Type:Error Event Source:NETLOGON Event Category:None Event ID:5774 Date:23.01.2004 Time:18:47:46 User:N/A Computer:DOMAIN Description: Registration of the DNS record '_gc._tcp.Default-First-Site-Name._sites.indexbank.com. 600 IN SRV 0 100 3268 domain.' failed with the following error:   The data is invalid.     Цитата: Event Type:Error Event Source:NETLOGON Event Category:None Event ID:5774 Date:23.01.2004 Time:18:47:46 User:N/A Computer:DOMAIN Description: Registration of the DNS record '_gc._tcp.indexbank.com. 600 IN SRV 0 100 3268 domain.' failed with the following error:   The data is invalid.       В File Replication Service Цитата: Event Type:Information Event Source:NtFrs Event Category:None Event ID:13516 Date:22.01.2004 Time:20:26:18 User:N/A Computer:DOMAIN Description: The File Replication Service is no longer preventing the computer DOMAIN from becoming a domain controller. The system volume has been successfully initialized and the Netlogon service has been notified that the system volume is now ready to be shared as SYSVOL.     Type "net share" to check for the SYSVOL share. SYSVOL расшарено, все как положено - вовсе не понятно, откуда такая информация, что там проверять, когда все хорошо... я так понимаю, что хотя бы на это можно не обращать внимание   В DNS Server Цитата: Event Type:Error Event Source:DNS Event Category:None Event ID:6702 Date:23.01.2004 Time:08:42:23 User:N/A Computer:DOMAIN Description: DNS Server has updated its own host (A) records.  In order to insure that its DS-integrated peer DNS servers are able to replicate with this server, an attempt was made to update them with the new records through dynamic update.  An error was encountered during this update, the record data is the error code.     If this DNS server does not have any DS-integrated peers, then this error   should be ignored.     If this DNS server's ActiveDirectory replication partners do not have the correct IP address(es) for this server, they will be unable to replicate with it.     To insure proper replication:   1) Find this server's ActiveDirectory replication partners that run the DNS server.   2) Open DnsManager and connect in turn to each of the replication partners.   3) On each server, check the host (A record) registration for THIS server.   4) Delete any A records that do NOT correspond to IP addresses of this server.   5) If there are no A records for this server, add at least one A record corresponding to an address on this server, that the replication partner can contact.  (In other words, if there multiple IP addresses for this DNS server, add at least one that is on the same network as the ActiveDirectory DNS server you are updating.)   6) Note, that is not necessary to update EVERY replication partner.  It is only necessary that the records are fixed up on enough replication partners so that every server that replicates with this server will receive (through replication) the new data.   После этого увиденного я пошел в Мэнэдж ДНС, и там посносил все что было связано со старым контроллером домена... и ничего не помогло... где может собака зарыта??   В Directory Service Цитата: Event Type:Error Event Source:NTDS General Event Category18) Event ID:1126 Date:23.01.2004 Time:19:40:08 User:Everyone Computer:DOMAIN Description: Unable to establish connection with global catalog.     Хотя Глобал Каталог (стоит галочка) на втором и уже единственном контроллере домена Здесь же и вот это Цитата: Event Type:Error Event Source:NTDS Replication Event Category5) Event ID:1411 Date:23.01.2004 Time:19:40:08 User:Everyone Computer:DOMAIN Description: The Directory Service failed to construct a mutual authentication Service Principal Name (SPN) for server domain.  The call is denied. The error was:    A Service Principal Name (SPN) could not be constructed because the provided hostname is not in the necessary format.    The record data is the status code.     Как лечить - ума не приложу....   Что посоветуете?? что можно сделать...??? Самое интересное, что сеть живет своей жизнью... все хорошо заходят в домен, правда большинство компов сидят на вин98, но с правами все хорошо, но вот в логах уж слишком много красного, хотелось бы исправить, и понять где я ошибся, и как все это лечится Хотелось бы услышать ваши вариации на тему исправления... Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 21:22 23-01-2004 | Исправлено: das Rustle, 21:38 23-01-2004

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору После того, как упал ГЛАВНЫЙ КОНТРОЛЛЕР домена, я перенес все роли на другие. НО! Теперь не могу добавить НОВЫЙ КОНТРОЛЛЕР домена из за делегирования. Цитата: Ваши параметры безопасности не разрешают указывать, можно ли доверять этой учетной записи делигирование Облазил все параметры безопасности, везде ПОЛНЫЙ доступ. Подскажите, что делать. Всего записей: 2258 | Зарегистр. 28-03-2003 | Отправлено: 15:31 27-01-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Поставь галку Account Is Trusted for Delegation На аккаунте компа (а заодно и своего юзера можно) Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 17:14 27-01-2004

PRiM Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kibkalo Блин так я ставлю. А точнее. Захожу в ADUaC, нахожу НОВЫЙ еще неКОНТРОЛЛЕР, свойства. Ставлю галочку Доверять компьютеру права представителя. Нажимаю применить. И получаю Цитата: Ваши параметры безопасности не разрешают указывать, можно ли доверять этой учетной записи делигирование ---------- Чтобы дойти до цели, надо идти! Всего записей: 2258 | Зарегистр. 28-03-2003 | Отправлено: 17:29 27-01-2004 | Исправлено: PRiM, 17:36 27-01-2004

das Rustle Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По моим проблемам никто не поможет? Может как-то можно снести ДНС, да его заново настроить? Как побороть репликацию? Всего записей: 158 | Зарегистр. 04-11-2002 | Отправлено: 18:48 27-01-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хорошая ветка, по всему инету такую инфу искал. Вот такие вопросы по резервному контроллеру, думаю многим "чайникам" полезно будет знать: 1) Как настроить на резервном контроллере DNS и DHCP чтобы реплицировалось с основным контроллером? 2) Что такое DNS Server с primary zone  и что такое "желательно Active Directory Integrated"? 3) Обнаружил у себя в DNS такую штуку как она ".", это нужно?   4) Уже было, но: Если хочешь чтобы остался не один а ДВА или более контроллеров, то имей в виду, что в этом случае контроллер не может нести FSMO роль Infrastructure Master и быть глобальным каталогом (Global Catalog) одновременно. В случае нескольких контроллеров, на сервере глобального каталога роль Infrastructure Master работать НЕ БУДЕТ !!! как это понимать и чем это грозит? Т.е. если у меня два контроллера домена и на каждом я поставлю галку ГК, то что будет с Infrastructure Master?   5) Еще непонятен момент с переносом FSMO ролей на BCD при удалении PCD, если просто при отказе основного контроллера всю работу подхватывает резервный, то на кой вообще на него переносить эти роли? Или он после перезагрузки если не найдет основной контроллер то работать не будет? Всего записей: 731 | Зарегистр. 16-02-2004 | Отправлено: 00:02 10-05-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pantalone 1) DNS - просто установить, главное, чтобы зона была AD Integrated и DNS Partition хранился на всех контроллерах леса (в 2000 так по умолчанию) Чтобы заставить DHCP реплицироваться придется поднимать кластер. Так никто почти не делает (у меня стоит кластер, но упаси бог им быть контроллерами), так что просто два дхсп сервера раздают разные диапазоны из одной подсети, чтобы их базы НЕ пересекались. То бишь не стоит раздавать всю подсеть, лучше ограничить ее к-вом твоих хостов * 2. И отмечу отдельно, что DHCP на контроллере, очень некрасивая идея! (если речь не идет о сети из двух серверов и 20 компов) 2) Разница в хранении зоны. Праймари - в файле имя_яоны.днс, ад интегрейтед, та же песня, но хранится в АД и реплицируется вместе с ней. Более защащенная и ресурсоемкая штука. Рекомендую 3) Точка. Она же корень. Если твой домен корневой, то без нее никуда. Если видит инет, ставь roots другие днс.. Кто хостит "реальную" интернетную точку 4) Про GC есть два исключения.. Если почитаешь "корень зла" (майкрософт) http://support.microsoft.com/default.aspx?kbid=223346 То поймешь, что если а) В лесу ОДИН домен. то наплевать на инфраструктурного мастера, т.к. он все равно работать не будет (ну нечго ему, инфраструктурному делать в одном домене) б) Если глобальный каталог есть на ВСЕХ контроллерах леса (сколь угодно большого), то опять все чуки-пуки. Именно это и есть рекомендованное решение для нераспределенных сетей (там где не страшен некоторый лишний трафик) - ибо максимально быстро все работает и меньше точек отказа.. 5) Кто ОН "не найдет основной контроллер" ? Если все (часть) роли были на контроллере А, при существующих В и С, затем А умер (выключили), то для клиентов (нормальных, а не НТ4 и 9х) ничего особо не изменится. Аутентификация и все такое будет проходить, главное, чтобы глобальный каталог был жив (смотри пункт выше и рекомендацию). НО ты не сможешь делать изменений в схеме, создавать новых объектов (на самом деле сможешь несколько штук, со скэшированными RID, но потом обломаешься), старые клиенты, использующи PDC Emulator не смогут жить,... В общем роли придется захватывать. Тут такая история - если отключние контроллера А запланировано, то роли необходимо перенести (transfer), после этого его можно выключить,  а потом опять включить и перенести роли назад. Если контроллер А умер (или его неожиданно унесли), то роли придется захватывать (seize) - в этом случае майкрософт Категорически! не рекомендует возращать контроллер А в сеть без переустановки его..   вопросы есть? Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 11:32 10-05-2004 | Исправлено: kibkalo, 11:38 10-05-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo Вопросов еще больше стало   1) Я правильно понял что если на резервном контроллере просто установить DNS ничего не настраивая, то она сама подхватит все настройки DNS основного контроллера? А на клиентах надо как-то прописывать этот вторичный DNS?   Насчет DHCP это наследие предыдущего админа, собираюсь полностью избавиться от него, контора не такая большая и IP можно прописывать ручками на клиентах, но волнует то как без него поведут себя сетевые принтеры, которые цепляются прямо к свитчу, как им IP тогда будет присваиваться? И волнует как юзеры из инета будут попадать на мой веб-сервер, им по идее тоже выделяется какой-то IP при обращении к моему веб-серваку? Но все же если оставить DHCP, то как я понял нужно чтобы они раздавали IP находящиеся в разных диапазонах, которые между собой не пересекаются? А как быть с зарезервированными IP для некоторых компов, это придется все же прописывать на обоих DHCP? И почему бы DHCP не быть на контроллере домена, если там уже есть DNS?   2) Т.е. DNS нужно делать Active Directory Integrated и тогда она сама реплицируется на свежеустановленный DNS на другом компе?   3) Точка. Она же корень. Если твой домен корневой, то без нее никуда. Если видит инет, ставь roots другие днс.. Кто хостит "реальную" интернетную точку Можно немного расписать это?   5) Значит если у меня вдруг временно вырубается основной контроллер (ну там БП полетел или еще чего), то НТ4 и 9х работать с сетью не смогут при наличии резервного контроллера? Работоспособность их на время отсутствия основного контроллера можно будет восстановить только при захвате резервным контроллером роли PDC Emulator, но тогда при починке основного контроллера учитывая в этом случае майкрософт Категорически! не рекомендует возращать контроллер А в сеть без переустановки его все пойдет вообще наперекосяк, т.е. лучше все же дождаться восстановления основного контроллера не захватывая роли? Но клиенты будут стоять все это время, как быть? Еще, можно немного расписать как запускать перенос и захват ролей, какие утилиты или галки где поставить?   ЗЫ: досадно, купил две толстенные книги по W2k Server, но инфы обсуждаемой в этом топике там нету Всего записей: 731 | Зарегистр. 16-02-2004 | Отправлено: 13:31 10-05-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1) Если ты на второй контроллер ставишь днс, при условии, что зона у тебя на первом АД интегрейтед, то при добавлении зоны, он ее возьмет из АД. Пробуй ручками.. 2) Сама рееплицируется если там создашь одноименную 3) Книжки 4) Читать HELP по утилите NTDSUTIL - можно на офсайте. Все в ней. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 17:37 10-05-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alexgg Из-за этих 5-ти ролей как раз и весь сыр бор и все вопросы, если при пропадании контроллера-держателя этих ролей другой контроллер не может полноценно поддержать домен, то это уже не равноправие, а какое-никакое pdc bdc. Да еще с DHCP так и не понял, придется толстенные толмуды читать, придется на кучу других вопросов на это время забить Всего записей: 731 | Зарегистр. 16-02-2004 | Отправлено: 14:18 11-05-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pantalone - про роли читать и читать, а что непонятно про дхсп ??? он НЕ УМЕЕТ реплицироваться! Если у тебя сеть 192.168.0.0/16  и всего 500 машин, то удобнее на первом дхсп раздавать адреса из диапазона 192.168.1.1 - 192.168.4.255 (исключить 192.168.2.0, 192.168.3.0, 192.168.4.0), а на втором раздавать адреса из диапазона 192.168.5.1 - 192.168.8.255 (исключить 192.168.6.0, 192.168.7.0, 192.168.8.0) Это было для ПРИМЕРА! При этом они нормально существуют параллельно и если один сдохнет, никто ничего не заметит Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:47 11-05-2004

Pantalone Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору kibkalo Это я и пытался выяснить, спасибо! Еще бы узнать зачем исключать вышеозначенные адреса, вообще бы радости моей не было предела Всего записей: 731 | Зарегистр. 16-02-2004 | Отправлено: 09:01 12-05-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Pantalone - реализация DHCP у Microsoft раздает адреса с нулями на конце. То есть комп может получить адрес типа 192.168.2.0/24 - что в принципе есть сеть... Слишком много проблем с такими случаями - потому и рекомендую исключать. В книжке наверное такого не порекомендуют. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 09:59 12-05-2004

kibkalo Убью Билла Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexSSS - нежелательно по причине невысокой безопасности сервиса DHCP (при закручивании гаек он не будет работать), а для онтроллера безопасность превыше всего. К тому же на контроллеры действуют отдельные политики и раздются специальные права - не следует давать право локльного общения с контроллерам dhcp администраторам.   Про статью же скажу, что для новичка оно может и ничего, но больно по детски написана. Автор не копал глубоко в рекомендации от микрософта, путает цели глобального каталога и инфраструктурного мастера, пишет лишь словами из поверхностных документов. Если же копнуть технет глубже, всплывают интересные моменты (типа размещения глобальных каталогов на ВСЕХ контроллерах односайтового домена). А уж идея о том, что мастер схемы и домена нахрен не стоит восстанавливать, если не собираетесь заводить новых доменов  звучит глупо. Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 16:02 27-06-2004

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Создание второго "равноправного" контроллера домена

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование