Архив форумов ЦИТФорума

[4e6]

Чёрт дёрнул меня создать новый домен в существующем лесу. Был domain.local и один из серверов этого домена был днс сервером для domain.ru. Не всё хорошо работало, но в целом, удовлетворительно. И вот, начал я эксперементировать. Тот самый днс я сделал контроллером домена для domain.ru при этом должны были быть доверительные отношения с domain.local. Что-то там не срослось в днс и решил я вернуть всё как было. Но вот теперь не могу понизить роль контроллера домена до рядового сервера. Не может он найти контроллер домена domain.local.
Вопрос: можно его как-нибудь из этого домена достать, не прибегая к переустановке винды. Версии и там и там win2003 enterprise sp1
_________________

[ALEX_SE]

Все грохнуть не проще будет?
Сетка тестовая, что терять..

А вообще посмотрите в DNS. Начните с поиска серверов через nslookup

[San_dok]

Самое главное, что понижение контроллера домена до рядового сервера, мона проводить, если он не является последним контроллером домена в сети.
Если этого нет, то мона принудительно.
Пуск, Выполнить, команда
dcpromo /forceremoval
ОК.
В диалоге Active Directory Далее.
Принудительное Далее.
Пароль введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, Далее.
Далее на странице Сводка.
На оставшемся в лесу контроллере домена - удаление метаданных пониженного в роли контроллера домена.
Если домен был удален из леса в программе Ntdsutil с помощью команды remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен.
Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать.
Ну а собственно SP1 тока улучшает процесс dcpromo /forceremoval. После командования dcpromo /forceremoval осуществляется проверка, имеет ли контроллер домена роль хозяина операций, является сервером службы доменных имен (DNS) или сервером глобальных каталогов. Для каждой из этих ролей администратор получает всплывающее уведомление с указаниями по выполнению соответствующих действий. Вот собсвенно и всё.

Нда. Есчё одна немаловажная инфа!
Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для юзеров, компьютеров, доверительных отношений и членства в группах). Вот и думайте что лучше, снести али нет.Так то.

[4e6]

[4e6]

San_dok - спасибо помогло. Судя по журналам пока всё ок.
_________________

[San_dok]

В журнале исчё гляньте. Должно быть.

Тип события: Предупреждение
Источник события: lsasrv
Категория события: Отсутствует
Код события: 29239
Дата: ДД/ММ/ГГГГ
Время: ЧЧ:ММ:СС
Пользователь: Н/Д
Компьютер: computername Описание: Роль этого сервера была принудительно понижена. Он больше не является контроллером домена.
Тогда точно песня.

[Александр А]

У меня ситуация такая же. Создал домен в одном лесе... Потом решил его убрать... Контроллер домена удалось понизить только с помощью dcpromo /forceremoval ... Но судя по всему метаданные в первом контроллере остались... Если набираем в ntdsutil list domains, то второй домен (тот что надо убрать) там фигурирует... Удалить его с помошью ntdsutil не удается, говорит, что DsRemoveDsDomainW error 0x2162(The requested domain could not be deleted because there exist domain controllers that still host this domain.) Что делать ? ума не приложу...

Самое фиговое из всего этого, что сервер (который остался) падает по ночам, когда пытается репликацию провести (или что-то в этом духе)

[Александр А]

Неужели никто не подскажет как убрать щас домен второй из лесу?

[San_dok]

Ntdsutil - metadata cleanup - Enter
что пишет?

[Александр А]

Хорошо, повторю еще раз: если выбрать домен, который хотелось бы удалить в ntdsutil с пормощью select operation target и далее remove selected domain, то после нажатия на OK в предупреждении об удалении
в консольке выпадает следующая строка:

DsRemoveDsDomainW error 0x2162(The requested domain could not be deleted because there exist domain controllers that still host this domain.)

Напомню также, что контроллер этого домена я понизил с помощью dcpromo /forceremoval со всеми выиекающими отсюда последствиями...

Возникает также второй вопрос: может ли сервер из-за этого зависать? (У меня раз в неделю он стабильно это делает с ошибкой 2019 The server was unable to allocate from the system nonpaged pool because the pool was empty.)

[San_dok]

Значит вы в Dcpromo сделали репликацию удаления ,
и еще видимо не передали FSMO.
http://support.microsoft.com/kb/255504/
http://support.microsoft.com/kb/216498/

[Александр А]

А можно поподробнее, мне сейчас что лучше сделать, чтобы всю информацию грамотно удалить?
ntdsutil мне, как я полагаю, уже не поможет...
по второй ссылке я понял что надо использовать adsiedit.msc, но у меня такой оснастки нет... И вообще правильно ли я понял?

[San_dok]

Пакет Adsiedit на компашке. Support\Tools
или на известном сайте.
Ежели у вас ейного нету, разговор ни о чём.
Сноситесь.