Podstawowy kontroler domeny
Dariusz Rodziewicz
Mam problem z kontrolerem domeny, który stoi na MS Windows Serwer 2003
Standard. Pierwotna konfiguracja obejmowała dwa kontrolery domeny.
Obecnie pozostał tylko jeden, który wcześniej został dołączony do
istniejącej domeny. Kiedyś, w MS Windows NT 4.0 server można było
podnosić lub obniżać status serwera (podstawowy lub zapasowy kontroler
domeny). Niestety nie mogę znaleść takiej funkcji w MS Windows Serwer
2003. Obecnie, podczas uruchamiania "zasad zabezpieczeń domeny" na
serwerze (kontroler domeny) otrzymuję komunikat: "Nie udało się
otworzyć zasad grup. Być może nie masz odpowiednich praw.
Szczegóły:
Określona domena nie istnieje lub nie można się z nią skontaktować"
Jak mogę sprawić, aby obecny serwer był podstawowym kontrolerem
domeny, a wpisy dotyczące poprzedniego zostały anulowane ?
W zakładce "Domain Controllers" widnieje tylko jeden, obecny serwer.
Pozdrawiam
Darek
Radosław Sokół
> Obecnie pozostał tylko jeden, który wcześniej został dołączony do
> istniejącej domeny. Kiedyś, w MS Windows NT 4.0 server można było
> podnosić lub obniżać status serwera (podstawowy lub zapasowy kontroler
> domeny). Niestety nie mogę znaleść takiej funkcji w MS Windows Serwer
Nie ma takiej funkcji, w Windows 2003 kontrolery są zawsze
równoprawne.
> Określona domena nie istnieje lub nie można się z nią skontaktować"
A masz wszystkie usługi ważne uruchomione? DNS, LDAP?
Prawidłowo ustawione serwery DNS w ustawieniach sieci
tego kontrolera (na siebie)?
--
|""""""""""""""""""""""""""""""""""""""""""""""""""""""""""|
| Radosław Sokół | http://www.grush.one.pl/ |
| | Administrator, Politechnika Śląska |
\................... Microsoft MVP ......................../
Dariusz Rodziewicz
Hmm, DNS wygląda prawidłowo. LDAP nie wiem gdzie sprawdzić. Znalazłem
wpis o starym serwerze w "Lokacje i usługi Active Directory".
Oczywiście usunąłem, ale nadal twierdzi, że obecny serwer nie jest
podstawowym serwerem.
Darek
Darek
AdFire
>wpis o starym serwerze w "Lokacje i usługi Active Directory".
>Oczywiście usunąłem, ale nadal twierdzi, że obecny serwer nie jest
>podstawowym serwerem.
Ja bym sprawdził czy wzorzec operacji, intrafstruktury itp nie wskazuja na
nieobecny kontroler.
Prawoklik na nazwie domeny a AD -> zarzadzaj
Powinny wskazywac tylko na istniejacy kontroler.
Wojciech Ściesiński
Spradź rekordy SRV w DNS - stosowny artykuł w Technet
http://technet2.microsoft.com/windowsserver/en/library/9d62e91d-75c3-4a77-ae93-a8804e9ff2a11033.mspx?mfr=true
Jeżeli ten nieobecny kontroler był pierwszy w domenie a nie został z
niej usunięty prawidłowo to mogą być na nim nadal tzw. Operations master
role (sorry, nie wiem jakie jest prawidłowe polskie tłumaczenie).
Są następujące role
1. Schema master
2. Domain naming master
3. PDC emulator
4. Infrastructure master
5. RID master
Który kontroler trzyma role 3, 4, 5 możesz sprawdzić w Active Directory
Users and Computers - prawoklik na nazwie domeny i wybierz Operations
Masters
To samo możesz sprawdzić w Active Directory Domains and Trusts -
prawoklik na Active Directory Domains and Trust i Operations Master.
Dla roli Schema master musisz
1. zarejestrować przystawkę -> regsvr32.exe
%systemroot%\system32\schmmgmt.dll
2. stworzyć konsolę mmc dodając przystawkę Active Directory Schema
3. prawoklik na Active Directory Schema i wybrać Operations Master
Co prawda objawy, które wskazujesz nie wskazują na to jednoznacznie ale
wg mnie warto to sprawdzić.
Pozdrawiam
--
Wojciech Ściesiński; woj...@NO-SPAMwojteks.net
Dariusz Rodziewicz
wrote:
> > Hmm, DNS wygląda prawidłowo. LDAP nie wiem gdzie sprawdzić.
>
>
> Jeżeli ten nieobecny kontroler był pierwszy w domenie a nie został z
> niej usunięty prawidłowo to mogą być na nim nadal tzw. Operations master
> role (sorry, nie wiem jakie jest prawidłowe polskie tłumaczenie).
>
> Są następujące role
> 1. Schema master
> 2. Domain naming master
> 3. PDC emulator
> 4. Infrastructure master
> 5. RID master
>
> Który kontroler trzyma role 3, 4, 5 możesz sprawdzić w Active Directory
> Users and Computers - prawoklik na nazwie domeny i wybierz Operations
> Masters
>
> To samo możesz sprawdzić w Active Directory Domains and Trusts -
> prawoklik na Active Directory Domains and Trust i Operations Master.
>
> Dla roli Schema master musisz
> 1. zarejestrować przystawkę -> regsvr32.exe
> %systemroot%\system32\schmmgmt.dll
> 2. stworzyć konsolę mmc dodając przystawkę Active Directory Schema
> 3. prawoklik na Active Directory Schema i wybrać Operations Master
>
> Co prawda objawy, które wskazujesz nie wskazują na to jednoznacznie ale
> wg mnie warto to sprawdzić.
>
> Pozdrawiam
>
> --
Zrobiłem tak jak pisałeś i (mam na myśli Active Directory Schema)...
No cóż, otrzymałem komunikat, że "Żądana operacja FSMO nie powiodła
się. Nie można połączyć się z bieżącym posiadaczem FSMO. Nie można
przeprowadzić transferu bieżącego wzorca operaqcji." Jednym słowem
"Kontroler domeny aktualnie działający jako wzorzec schematu jest
niedostępny." Jak mogę ustawić prawidłowy wzorzec schematu ?
Darek
PS. Część wzorców schematu udało mnie się przetransferować na aktualny
serwer, za wyjątkiem wzorca RID. Jak go ustawić prawidłowo ?
Wojciech Ściesiński
"utracony" - należy więc przeprowadzić operację jego usunięcia z Active
Directory
Opis masz np. tutaj
http://technet2.microsoft.com/WindowsServer/en/library/012793ee-5e8c-4a5c-9f66-4a486a7114fd1033.mspx?mfr=true
i http://www.petri.co.il/delete_failed_dcs_from_ad.htm
> Zrobiłem tak jak pisałeś i (mam na myśli Active Directory Schema)...
Operację "siłowego przejęcia" roli masz opisana tutaj
http://technet2.microsoft.com/WindowsServer/en/library/012793ee-5e8c-4a5c-9f66-4a486a7114fd1033.mspx?mfr=true
Oczywiście masz pełną kopię zapasową stanu aktualnego ? Jeśli nie to
wykonaj ją zanim zaczniesz na dobre "grzebać" w AD.
Pamiętaj, że poprzedniego kontrolera domeny NIE możesz już podłączyć do
sieci bez uprzedniego przeinstalowania całego systemu.
Dodatkowa uwaga: cytuj tylko wybrane fragmenty posta i wycinaj sygnaturki.
Powodzenia i pozdrawiam
--
Wojciech Ściesiński; woj...@NO-SPAMwojteks.net
Szef
> Operację "siłowego przejęcia" roli masz opisana tutaj
> http://technet2.microsoft.com/WindowsServer/en/library/012793ee-5e8c-4a5c-9f66-4a486a7114fd1033.mspx?mfr=true
Witam, dokładnie dzisiaj walczyłem z tym samym, migracja z Server 2003 na SBS 2003 R2 i pozbycie się śladów po usuniętym Server 2003
U mnie zadziałało wymuszenie przekazania FSMO (operacja seize a nie transfer) dopiero za którymś razem czyli
ntdsutil: seize rid master WYKONANE PAROKROTNIE (zadziałało za 4tym razem)
Aha, przydatne narzędzie do diagnostyki to dcinfo
http://technet2.microsoft.com/WindowsServer/pl/Library/5237db58-a1e8-40cd-ae8a-7f52848a90f21045.mspx?mfr=true
Pozdrawiam
Wojciech Ściesiński
>> Operację "siłowego przejęcia" roli masz opisana tutaj
> U mnie zadziałało wymuszenie przekazania FSMO (operacja seize a nie transfer)
Dokładnie seize miałem na myśli - niestety (na szczęście ?) uczę się
głównie po angielsku więc część terminologi po polsku jest mi obca.
Z ciekawości sprawdziłem w dokumencie
http://www.microsoft.com/downloads/details.aspx?FamilyId=25018024-2DFD-4229-9763-05F78FEAF2FF&displaylang=en
i wyrażenie 'seize' tam nie występuje.
>
> Aha, przydatne narzędzie do diagnostyki to dcinfo
> http://technet2.microsoft.com/WindowsServer/pl/Library/5237db58-a1e8-40cd-ae8a-7f52848a90f21045.mspx?mfr=true
Faktycznie, często niedoceniane i zapominane narzędzie.