Перенос ролей контроллера домена

Перед переносом ролей контролера домена делаем и проверяем бэкапы.
Заходим на новый сервер контролера домена, которому будем передавать роли AD.

1. Смотрим текущие роли командной netdom query fsmo (чтобы netdom стал доступным в windows server 2003 ставим support tools есть в установочном диске SUPTOOLS.MSI)

2. Заходим в AD — пользователи, меню через мышь на домене, выбираем Хозяева операции…, нажимаем изменить во всех трех вкладках

3. Смотрим текущие роли командной netdom query fsmo
Также переносим Хозяина именования доменов, через AD — домены и доверие

4. Переносим последую роль Хозяин схемыили Схема (Schema owner)

Регистрируем dll regsvr32 schmmgmt.dll
Заходим в mmc добавляем Схема Active Directory
Меню — хозяин операции и меняем Хозяин схемы.

Вариант2: Через консоль
Запускаем команду ntdsutil.
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server имя_сервера
Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
Binding to имя_сервера
Connected to имя_сервера using credentials of locally logged on user
server connection: quit
fsmo maintenance: transfer schema master
fsmo maintenance: transfer domain naming master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer infrastructure master
fsmo maintenance: quit
ntdsutil: quit
Для захвата ролей, при не доступном владельце контролера домена, вместо transfer пишем seize.

Проверяем netdom query fsmo.
Проверяем dcdiag /v
Удачи и хороших логов на сервере.

Примечание:
1. По возможности не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога.
2. Сервер глобального каталога должен также выполнять функции Хозяина именования доменов.
3. Сменить сервер глобального каталога так:
Active Directory — сайты и службы.
Откройте папку Серверы и выделите требуемый контроллер домена.
В папке контроллера домена дважды щелкните элемент Параметры NTDS.
В меню Действие выберите команду Свойства.
Перейдите на вкладку Общие и установите флажок Глобальный каталог.
4. Передавший роли сервер теряет возможность исполнять эти роли навсегда, или до вывода сервера из домена и смены SID. Это предусмотрено в целях целостности AD в случаях сбоя работы.
5.ссылки в помощь
http://support.microsoft.com/kb/255504
http://www.osp.ru/win2000/2000/04/174312/_p2.html

  1. В варианте 2 у вас описано, не как передать роли, а как захватить роли. Не совсем корректно, так как захват ролей нужно выполнять только при потере контролера, в обычном варианте переноса ролей нужно использовать команду transfer утилиты ntdsutil.

    • Спасибо, сейчас добавлю информацию.

    • Microsoft Windows [Версия 5.2.3790]
      (С) Корпорация Майкрософт, 1985-2003.

      C:\Documents and Settings\Администратор.KPMP>dcdiag

      Domain Controller Diagnosis

      Performing initial setup:
      Done gathering initial info.

      Doing initial required tests

      Testing server: Default-First-Site-Name\KPMP-SRV02
      Starting test: Connectivity
      ……………………. KPMP-SRV02 passed test Connectivity

      Doing primary tests

      Testing server: Default-First-Site-Name\KPMP-SRV02
      Starting test: Replications
      [Replications Check,KPMP-SRV02] A recent replication attempt failed:
      From KPMP-SRV01 to KPMP-SRV02
      Naming Context: DC=DomainDnsZones,DC=kpmp,DC=gov,DC=spb,DC=ru
      The replication generated an error (1256):
      Удаленная система недоступна. За информацией о разрешении проблем в
      сети, обратитесь к справочной системе Windows.
      The failure occurred at 2011-08-16 09:50:38.
      The last success occurred at 2011-04-11 09:53:00.
      3057 failures have occurred since the last success.
      [KPMP-SRV01] DsBindWithSpnEx() failed with error 1722,
      Сервер RPC недоступен..
      [Replications Check,KPMP-SRV02] A recent replication attempt failed:
      From KPMP-SRV01 to KPMP-SRV02
      Naming Context: DC=ForestDnsZones,DC=kpmp,DC=gov,DC=spb,DC=ru
      The replication generated an error (1256):
      Удаленная система недоступна. За информацией о разрешении проблем в
      сети, обратитесь к справочной системе Windows.
      The failure occurred at 2011-08-16 09:50:38.
      The last success occurred at 2011-04-11 09:50:39.
      3057 failures have occurred since the last success.
      [Replications Check,KPMP-SRV02] A recent replication attempt failed:
      From KPMP-SRV01 to KPMP-SRV02
      Naming Context: CN=Schema,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=
      ru
      The replication generated an error (1722):
      Сервер RPC недоступен.
      The failure occurred at 2011-08-16 09:51:20.
      The last success occurred at 2011-04-11 09:50:39.
      3056 failures have occurred since the last success.
      The source remains down. Please check the machine.
      [Replications Check,KPMP-SRV02] A recent replication attempt failed:
      From KPMP-SRV01 to KPMP-SRV02
      Naming Context: CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      The replication generated an error (1722):
      Сервер RPC недоступен.
      The failure occurred at 2011-08-16 09:50:59.
      The last success occurred at 2011-04-11 09:57:58.
      3056 failures have occurred since the last success.
      The source remains down. Please check the machine.
      [Replications Check,KPMP-SRV02] A recent replication attempt failed:
      From KPMP-SRV01 to KPMP-SRV02
      Naming Context: DC=kpmp,DC=gov,DC=spb,DC=ru
      The replication generated an error (1722):
      Сервер RPC недоступен.
      The failure occurred at 2011-08-16 09:50:38.
      The last success occurred at 2011-04-11 10:02:24.
      3057 failures have occurred since the last success.
      The source remains down. Please check the machine.
      REPLICATION-RECEIVED LATENCY WARNING
      KPMP-SRV02: Current time is 2011-08-16 09:55:13.
      DC=DomainDnsZones,DC=kpmp,DC=gov,DC=spb,DC=ru
      Last replication recieved from KPMP-SRV01 at 2011-04-11 09:53:00.

      DC=ForestDnsZones,DC=kpmp,DC=gov,DC=spb,DC=ru
      Last replication recieved from KPMP-SRV01 at 2011-04-11 09:50:39.

      CN=Schema,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Last replication recieved from KPMP-SRV01 at 2011-04-11 09:50:39.

      CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Last replication recieved from KPMP-SRV01 at 2011-04-11 09:57:58.

      DC=kpmp,DC=gov,DC=spb,DC=ru
      Last replication recieved from KPMP-SRV01 at 2011-04-11 10:02:24.

      ……………………. KPMP-SRV02 passed test Replications
      Starting test: NCSecDesc
      ……………………. KPMP-SRV02 passed test NCSecDesc
      Starting test: NetLogons
      ……………………. KPMP-SRV02 passed test NetLogons
      Starting test: Advertising
      Warning: KPMP-SRV02 is not advertising as a time server.
      ……………………. KPMP-SRV02 failed test Advertising
      Starting test: KnowsOfRoleHolders
      Warning: KPMP-SRV01 is the Schema Owner, but is not responding to DS RP
      C Bind.
      [KPMP-SRV01] LDAP search failed with error 58,
      Указанный сервер не может выполнить требуемую операцию..
      Warning: KPMP-SRV01 is the Schema Owner, but is not responding to LDAP
      Bind.
      Warning: KPMP-SRV01 is the Domain Owner, but is not responding to DS RP
      C Bind.
      Warning: KPMP-SRV01 is the Domain Owner, but is not responding to LDAP
      Bind.
      Warning: KPMP-SRV01 is the PDC Owner, but is not responding to DS RPC B
      ind.
      Warning: KPMP-SRV01 is the PDC Owner, but is not responding to LDAP Bin
      d.
      Warning: KPMP-SRV01 is the Rid Owner, but is not responding to DS RPC B
      ind.
      Warning: KPMP-SRV01 is the Rid Owner, but is not responding to LDAP Bin
      d.
      Warning: KPMP-SRV01 is the Infrastructure Update Owner, but is not resp
      onding to DS RPC Bind.
      Warning: KPMP-SRV01 is the Infrastructure Update Owner, but is not resp
      onding to LDAP Bind.
      ……………………. KPMP-SRV02 failed test KnowsOfRoleHolders
      Starting test: RidManager
      ……………………. KPMP-SRV02 failed test RidManager
      Starting test: MachineAccount
      ……………………. KPMP-SRV02 passed test MachineAccount
      Starting test: Services
      ……………………. KPMP-SRV02 passed test Services
      Starting test: ObjectsReplicated
      ……………………. KPMP-SRV02 passed test ObjectsReplicated
      Starting test: frssysvol
      ……………………. KPMP-SRV02 passed test frssysvol
      Starting test: frsevent
      ……………………. KPMP-SRV02 passed test frsevent
      Starting test: kccevent
      ……………………. KPMP-SRV02 passed test kccevent
      Starting test: systemlog
      An Error Event occured. EventID: 0x00000457
      Time Generated: 08/16/2011 09:15:17
      (Event String could not be retrieved)
      An Error Event occured. EventID: 0x00000457
      Time Generated: 08/16/2011 09:15:17
      (Event String could not be retrieved)
      An Error Event occured. EventID: 0x00000457
      Time Generated: 08/16/2011 09:54:31
      (Event String could not be retrieved)
      An Error Event occured. EventID: 0x00000457
      Time Generated: 08/16/2011 09:54:31
      (Event String could not be retrieved)
      ……………………. KPMP-SRV02 failed test systemlog
      Starting test: VerifyReferences
      ……………………. KPMP-SRV02 passed test VerifyReferences

      Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
      ……………………. DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
      ……………………. DomainDnsZones passed test CheckSDRefDom

      Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
      ……………………. ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
      ……………………. ForestDnsZones passed test CheckSDRefDom

      Running partition tests on : Schema
      Starting test: CrossRefValidation
      ……………………. Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
      ……………………. Schema passed test CheckSDRefDom

      Running partition tests on : Configuration
      Starting test: CrossRefValidation
      ……………………. Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
      ……………………. Configuration passed test CheckSDRefDom

      Running partition tests on : kpmp
      Starting test: CrossRefValidation
      ……………………. kpmp passed test CrossRefValidation
      Starting test: CheckSDRefDom
      ……………………. kpmp passed test CheckSDRefDom

      Running enterprise tests on : kpmp.gov.spb.ru
      Starting test: Intersite
      ……………………. kpmp.gov.spb.ru passed test Intersite
      Starting test: FsmoCheck
      Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
      A Global Catalog Server could not be located — All GC’s are down.
      Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
      A Primary Domain Controller could not be located.
      The server holding the PDC role is down.
      Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
      A Time Server could not be located.
      The server holding the PDC role is down.
      Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
      5
      A Good Time Server could not be located.
      ……………………. kpmp.gov.spb.ru failed test FsmoCheck

      C:\Documents and Settings\Администратор.KPMP>netdom
      The syntax of this command is:

      NETDOM [ ADD | COMPUTERNAME | HELP | JOIN | MOVE | QUERY | REMOVE |
      MOVENT4BDC | RENAMECOMPUTER | RESET | TRUST | VERIFY | RESETPWD ]

      The command completed successfully.

      C:\Documents and Settings\Администратор.KPMP>netdom query fsmo
      Schema owner kpmp-srv01.kpmp.gov.spb.ru

      Domain role owner kpmp-srv01.kpmp.gov.spb.ru

      PDC role kpmp-srv01.kpmp.gov.spb.ru

      RID pool manager kpmp-srv01.kpmp.gov.spb.ru

      Infrastructure owner kpmp-srv01.kpmp.gov.spb.ru

      The command completed successfully.

      C:\Documents and Settings\Администратор.KPMP>ping kpmp-srv01

      Обмен пакетами с kpmp-srv01.kpmp.gov.spb.ru [192.168.0.3] с 32 байт данных:

      Превышен интервал ожидания для запроса.

      Статистика Ping для 192.168.0.3:
      Пакетов: отправлено = 1, получено = 0, потеряно = 1
      (100% потерь)
      Control-C
      ^C
      C:\Documents and Settings\Администратор.KPMP>ping kpmp-srv01 -t

      Обмен пакетами с kpmp-srv01.kpmp.gov.spb.ru [192.168.0.3] с 32 байт данных:

      Control-C
      ^C
      C:\Documents and Settings\Администратор.KPMP>ping kpmp-srv01 -t

      Обмен пакетами с kpmp-srv01.kpmp.gov.spb.ru [192.168.0.3] с 32 байт данных:

      Control-C
      ^C
      C:\Documents and Settings\Администратор.KPMP>ntdsutil
      ntdsutil: roles
      fsmo maintenance: connection
      server connections: connect to kpmp-srv02
      Error 80070057 parsing input — illegal syntax?
      server connections: connect to server kpmp-srv02
      Привязка к kpmp-srv02 …
      Подключен к kpmp-srv02 с помощью учетных данных локального пользователя.
      server connections: quit
      fsmo maintenance: seize rid master
      Попытка безопасной передачи RID FSMO перед захватом.
      Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
      Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321092B, problem 50
      02 (UNAVAILABLE), data 1722

      Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
      ущим владельцем FSMO.)
      )
      В зависимости от кода ошибки это может быть
      ошибка подключения, LDAP или передачи роли.
      Не удалось передать RID FSMO, выполняется захват…
      Поиск наивысшего пула RID в домене
      Серверу «kpmp-srv02» известно о 5 ролях
      Схема — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Домен — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      PDC — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      RID — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Инфраструктура — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site
      -Name,CN=Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      fsmo maintenance: seize schema master
      Попытка безопасной передачи schema FSMO перед захватом.
      Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
      Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 50
      02 (UNAVAILABLE), data 1722

      Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
      ущим владельцем FSMO.)
      )
      В зависимости от кода ошибки это может быть
      ошибка подключения, LDAP или передачи роли.
      Не удалось передать schema FSMO, выполняется захват…
      Серверу «kpmp-srv02» известно о 5 ролях
      Схема — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Домен — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      PDC — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      RID — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Инфраструктура — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site
      -Name,CN=Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      fsmo maintenance: seize domain naming master
      Попытка безопасной передачи domain naming FSMO перед захватом.
      Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
      Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 50
      02 (UNAVAILABLE), data 1722

      Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
      ущим владельцем FSMO.)
      )
      В зависимости от кода ошибки это может быть
      ошибка подключения, LDAP или передачи роли.
      Не удалось передать domain naming FSMO, выполняется захват…
      Серверу «kpmp-srv02» известно о 5 ролях
      Схема — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Домен — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      PDC — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      RID — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Инфраструктура — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site
      -Name,CN=Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      fsmo maintenance: seize infrastructure master
      Попытка безопасной передачи infrastructure FSMO перед захватом.
      Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
      Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 50
      02 (UNAVAILABLE), data 1722

      Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
      ущим владельцем FSMO.)
      )
      В зависимости от кода ошибки это может быть
      ошибка подключения, LDAP или передачи роли.
      Не удалось передать infrastructure FSMO, выполняется захват…
      Серверу «kpmp-srv02» известно о 5 ролях
      Схема — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Домен — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      PDC — CN=NTDS Settings,CN=KPMP-SRV01,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      RID — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Инфраструктура — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site
      -Name,CN=Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      fsmo maintenance: seize pdc
      Попытка безопасной передачи PDC FSMO перед захватом.
      Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
      Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321051A, problem 50
      02 (UNAVAILABLE), data 1722

      Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с тек
      ущим владельцем FSMO.)
      )
      В зависимости от кода ошибки это может быть
      ошибка подключения, LDAP или передачи роли.
      Не удалось передать PDC FSMO, выполняется захват…
      Серверу «kpmp-srv02» известно о 5 ролях
      Схема — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Домен — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=
      Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      PDC — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      RID — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site-Name,CN=Si
      tes,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      Инфраструктура — CN=NTDS Settings,CN=KPMP-SRV02,CN=Servers,CN=Default-First-Site
      -Name,CN=Sites,CN=Configuration,DC=kpmp,DC=gov,DC=spb,DC=ru
      fsmo maintenance: quit
      ntdsutil: quit
      Отключение от kpmp-srv02…

      C:\Documents and Settings\Администратор.KPMP>netdom query fsmo
      Schema owner kpmp-srv02.kpmp.gov.spb.ru

      Domain role owner kpmp-srv02.kpmp.gov.spb.ru

      PDC role kpmp-srv02.kpmp.gov.spb.ru

      RID pool manager kpmp-srv02.kpmp.gov.spb.ru

      Infrastructure owner kpmp-srv02.kpmp.gov.spb.ru

      The command completed successfully.

      C:\Documents and Settings\Администратор.KPMP>

Оставить комментарий


Примечание - Вы можете использовать эти HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

проверка * Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.