Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Rimuovere Trust - Bella domanda

87 views
Skip to first unread message

Cristian

unread,
Nov 29, 2001, 5:43:59 AM11/29/01
to
Salve a tutti!
vi pongo il mio problema, magari qualcuno c'è già passato !
Ho un DC di un vecchio dominio che sto dismettendo (sia il dominio, che il
DC). Qualche tempo fa ho realizzato un nuovo dominio e in fase di DCPROMO
del primo DC del dominio nuovo questo l'ho integrato nella struttura
esistente (li ho messi in trust).

Fino a qui tutto ok. Ora che devo dismettere od DC del vecchio dominio tra
le tante volevo rimuovere la TRUST tra i due domini ma in Domini e trust di
Active Directory il bottone RIMUOVI relativo alla trust di cui sopra appare
inibito... forse per via della sua realizzazione in fase di DCPROMO del
nuovo DC del nuovo dominio ???

Esiste un qualsiasi tool (anche da riga di comando) in grado di ROMPERE le
trust tra domini ???
Se mi aiutare mi fate un favore immenso che c'ho già schiacciato diverso
tempo sopra l'MSDN x trovare una soluzione senza arrivare a niente... : °°|


Inltre appunto sul nuovo DC continuo a rilevare sull'event viewer (Registro
eventi di sitema) il seguente errore (NB: Dante è il nome del DC del nuovo
dominio che si chiama FIRENZE, GRP_FI era il nome del vecchio dominio da
dismettere).

Tipo evento: Errore
Origine evento: NETLOGON
Categoria evento: Nessuno
ID evento: 5774
Data: 29/11/2001
Ora: 10.29.25
Utente: N/D
Computer: DANTE
Descrizione:
Registration of the DNS name
_gc._tcp.Nome-predefinito-primo-sito._sites.grp_fi.miodominio.it. 600 IN SRV
0 100 3268 dante.firenze.miodominio.it. failed with the following error:
Il server DNS non è in grado di interpretare il formato.
Dati:
0000: 29 23 00 00 )#..


GRAZIE E CIAO A TUTTI
Cristian

wh...@libero.it


Salva

unread,
Nov 29, 2001, 7:13:14 AM11/29/01
to
"Cristian" <wh...@libero.it> wrote in message
news:9u52uh$ihm$1...@pegasus.tiscalinet.it...

> Salve a tutti!
> vi pongo il mio problema, magari qualcuno c'č gią passato !


> Ho un DC di un vecchio dominio che sto dismettendo (sia il dominio, che il
> DC). Qualche tempo fa ho realizzato un nuovo dominio e in fase di DCPROMO
> del primo DC del dominio nuovo questo l'ho integrato nella struttura
> esistente (li ho messi in trust).

Ciao,
vorrei darti una mano se ci riesco....
forse non ho capito bene, ma in DCPROMO non ricordo la possibilitą di creare
trust fra foreste.
Hai creato un child domain?
potresti dirmi esattamente nome Netbios e nome Dominio dei due server?

--
Posted from [80.234.10.240]
via Mailgate.ORG Server - http://www.Mailgate.ORG

Cristian

unread,
Nov 29, 2001, 11:07:49 AM11/29/01
to

"Salva" <samu...@supereva.it> ha scritto nel messaggio
news:960f171d5e86b137c7e...@mygate.mailgate.org...

> "Cristian" <wh...@libero.it> wrote in message
> news:9u52uh$ihm$1...@pegasus.tiscalinet.it...
>
> > Salve a tutti!
> > vi pongo il mio problema, magari qualcuno c'è già passato !

> > Ho un DC di un vecchio dominio che sto dismettendo (sia il dominio, che
il
> > DC). Qualche tempo fa ho realizzato un nuovo dominio e in fase di
DCPROMO
> > del primo DC del dominio nuovo questo l'ho integrato nella struttura
> > esistente (li ho messi in trust).
> Ciao,
> vorrei darti una mano se ci riesco....
> forse non ho capito bene, ma in DCPROMO non ricordo la possibilità di
creare
> trust fra foreste.

Non lo dice esplicitamente che farà una trust tra foreste ma la chiama in
un'altra maniera... è la schermata successiva a quella durante la quale ti
chiede se vuoi o meno creare un dominio FIGLIO...


> Hai creato un child domain?

noe : )
come hai detto tu sono due foreste distinte in trust!

> potresti dirmi esattamente nome Netbios e nome Dominio dei due server?
>

Dominio 1 (il vecchio)
nome dominio: GRP_FI
nome DC: w2ksdc01

Dominio 2 (il nuovo)
nome dominio: firenze
nome DC: dante

Unpo campanilista eh ? ; )
Grazie mille x l'aiuto!

Ciao
Cristian

wh...@libero.it

Salvatore Munafò

unread,
Dec 2, 2001, 12:41:19 AM12/2/01
to
Ti dico la mia esperienza con le relazioni di fiducia di 2000 + quello che ho
studiato:
test di laboratorio
ho un dominio che si chiama sd.y2k.it
ho creato un nuovo server dicendogli che era il primo server di un nuovo
dominio orga.y2k di un nuovo insieme di struttura (foresta)
sono andato in AD Domains and Trust (nel DC di ogni dominio) ed ho creato una
relazione di fiducia monodirezionale in cui orga.y2k concedeva la fiducia a
sd.y2k.it
quando ho terminato le mie prove sono andato in AD Domains and Trust (nel DC di
ogni dominio)ed ho tolto le relazioni di fiducia.

Io penso che tu abbia fatto una trust tra domini all'interno della stessa
foresta e che quindi 2000 ti abbia creato una relazione di fiducia transitiva
bidirezionale implicita (scusa i termini).
Questo dovrebbe significare che se i tuoi master operations a livello di
dominio dovrebbero essere giustamente presenti su Dante.Firenze (puoi
controllare ed eventualmente correggere in AD User and Computers facendo click
dx sul dominio e poi su operations master) altresì non può dirsi per il tuo
master degli schemi e master dei nomi di dominio.
Il tuo Dante.Firenze è impostato come Global Catalog ? (in AD site and services
nell'NTDS Settings del tuo DC)
Come trasferire il tuo master degli schemi e master dei nomi di dominio?
rimetti in linea w2ksdc01.GRP_FI
Master dei nomi di Dominio:
su AD Domains and trust di w2ksdc01.GRP_FI fai tasto destro su Active Directory
Domains and Trust (la voce più in alto) click su change e metti dante.firenze
Master degli schemi:
devi installare l'administration tools in maniera completa:
start
settings
control panel
add/remove programs
change or remove programs
windows 2000 administration tools
change
install all
quando ha finito l'installazione
in esegui digita mmc
console
add remove snap-in
Add
active directory schema
add
ok
click destro su active directory schema e scegli operations master
change e lo sposti su DANTE

se non puoi rimettere in linea w2ksdc01 tenta lo stesso direttamente su
dante....
non trasferirai ma dovresti riuscire lo stesso a forzare i nuovi master schema
e nomi di dominio.

Per tua buona norma ti consiglio di agire sempre così:
se devi togliere servizi, relazioni, hardware o quant'altro da sistemi NT/2000
prima agisci sempre a livello software e poi spegni la macchina (questa regola
vale oro).
Ricorda inoltre che il primo DC creato in un insieme di AD è il più importante,
per questo MS dice di pensare molto bene a quel che si vuole fare prima di
smanettare....8->

ciao, spero non ti dispiaccia se pubblico la risposta....potrebbe essere
interessante anche
per altri....ah, il ritardo nella risposta è dovuto a figli esigenti (una peste
di due anni)
e complessità dell'argomento...
dopo aver provato dammi un feedback per favore
fai sempre un bck del system state prima di smanettare......(dice il saggio)

--
Posted from [80.234.9.82]

Cristian

unread,
Dec 3, 2001, 5:33:31 AM12/3/01
to

"Salvatore Munafò" <samu...@supereva.it> ha scritto nel messaggio
news:e5b6d32bcca0010819e...@mygate.mailgate.org...

Premessa: quoto lasciando tutto così senza cuttare così magari se qualcuno a
bisogno di rileggere...

Innanzi tutto grazie 1.000 x la risposta. Sono gruppi di persone come queste
ke contribuscono VERAMENTE a far arrivare in fondo a problemi vari tipo
questo.

Allora... io queste cose le avevo già fatte grazie all'utility NTDSUTIL
(mitica. sempre a me suggerita su questo NG) x cambiare lo SCHEMA MASTER e
DOMAIN NAMING MASTER...ed apparentemente aveva funzionato. Mi era rimasta
solo la ruttura della TRUST ke non mi riusciva (e non mi riesce tuttora) di
rompere. Ora però su active directory schema mi visualizza:

FOCUS CORRENTE: DANTE

MASTER OPERAZIONI CORRENTE: W2KSDC01.GRP_FI....
(c***o)

Ovviamente in grigetto (inibito) perkè attualmente il server è giù (x
fortuna non l'ho ancora dismesso)...
Ma c'è un legame tra questo e il fatto ke non posso eliminare la trust...
(deduco di sì eh ?)...

Ora rimetto online W2KSDC01, cerco di "farlo vedere" a DANTE tramite query
ricorsive sul DNS (sono entrambi server DNS) e provo anke da active
directory schema a cambiare il MASTER OPERAZIONI.

Stasera o domattina vi faccio sapere.
Se nell'analisi di quello ke ho da fare avete capito ke sto facendo delle
c***ate non esitate a dirmelo! ; )

GRazie a tutti e a presto (stasera o domani)

Cristian
wh...@libero.it

Cristian

unread,
Dec 4, 2001, 7:34:31 AM12/4/01
to
Salve a tutti,
ho appena messo su il vekkio DC (w2ksdc01.grp_fi) e sono finalmente riuscito
a "farli vedere" di nuovo tra di loro.

Vado sul nuovo dc (dante.firenze) - > Schema di AD - > Master Operazioni:

Focus Corrente w2ksdc01.grp_fi
Master oprazioni corrente: w2ksdc01.grp_fi (il server è attualmente in
linea)

Spunto (ci metto la spunta) su "Lo schema di questo DC può essere
modificato"
il pulsante CAMBIA rimane inattivo però

Vado sul vekkio dc (w2ksdc01.grp_fi) - > Schema di AD - > Master Operazioni:

Focus Corrente w2ksdc01.grp_fi
Master oprazioni corrente: w2ksdc01.grp_fi (il server è attualmente in
linea)

pulsante CAMBIA non inibito.Lo clicco. MSG: "Il DC corrente è il master
operazioni. Per trasferire il ruolo operazioni a un diverso controller di
dominio, occorre destinare i nomi e le relazioni di trust AD a tale
controller di dominio."

Ma che vuole dire ?!? Ma se l'ho già fatto tramiote NTDSUTIL ! Infatti su
entrambi i DC in DOMINI E TRUST DI AD il master operazioni è appunto quello
che deve essere: ovvero il nuovo DC dante.firenze !!!....

E ora ???


Cristian
wh...@libero.it

"Cristian" <wh...@libero.it> ha scritto nel messaggio
news:9ufkc2$7b0$1...@pegasus.tiscalinet.it...


>
> "Salvatore Munafò" <samu...@supereva.it> ha scritto nel messaggio
> news:e5b6d32bcca0010819e...@mygate.mailgate.org...
> > Ti dico la mia esperienza con le relazioni di fiducia di 2000 + quello
che
> ho
> > studiato:
> > test di laboratorio
> > ho un dominio che si chiama sd.y2k.it

CUT

0 new messages