Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

проблема с переносом контроллера домена

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Windows
Предыдущая тема :: Следующая тема  
Автор Сообщение
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Пн Ноя 26 2007 04:47    Заголовок сообщения: проблема с переносом контроллера домена Ответить с цитатой

Здравствуйте! подскажите пожалуйста, что нужно для того, чтобы резервный контроллер домена взял на себя задачу авторизации пользователей домена? У него роли хозяина всех операций, а всёравно, если выключаем первый контроллер, пользователи почему-то не могут залогиниться. Может есть какая-то тонкость? Читал в форумах про перенос контроллера на другой сервер, пишут: поднять второй контроллер, передать ему роли хозяина на всё, что можно, поднять днс. Затем выключить основной, посмотреть работает ли... Затем понизить роль основного и вывести его из домена. Всё правильно или что-то путаю? Домен Win2003
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
San_dok



Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23

СообщениеДобавлено: Пн Ноя 26 2007 08:05    Заголовок сообщения: Re: проблема с переносом контроллера домена Ответить с цитатой

Moore писал(а):
пишут: поднять второй контроллер, передать ему роли хозяина на всё, что можно, поднять днс. Затем выключить основной, посмотреть работает ли... Затем понизить роль основного и вывести его из домена. Всё правильно или что-то путаю? Домен Win2003


Ну вообщем да. Плюс бекап. Wink
_________________
В тёмной комнате завсегда имеются тёмные грабли.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Пн Ноя 26 2007 08:11    Заголовок сообщения: Ответить с цитатой

А вот меня смущает такой момент: действительно ли он (второй контроллер) сможет выполнять функции по авторизации пользователей. А то страшновато как-то, опустим первого, а второй не заработаетSmile Хорошая штука - бэкап...Smile
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Пн Ноя 26 2007 08:15    Заголовок сообщения: Ответить с цитатой

Вероятно, проблема с авторизацией косвенно связана именно с тем, что при передаче роли хозяина всех операций небыл своевременно понижен в статусе первый контроллер. Читал в support.microsoft.com что это может приводить к различным проблемам
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
San_dok



Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23

СообщениеДобавлено: Пн Ноя 26 2007 08:40    Заголовок сообщения: Ответить с цитатой

Вы пилите Шура... пилите... (с)пёр
Wink

Вот сюда ещё посматривай Wink
"жевали" долго. Laughing
_________________
В тёмной комнате завсегда имеются тёмные грабли.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
And



Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.

СообщениеДобавлено: Пн Ноя 26 2007 10:06    Заголовок сообщения: Ответить с цитатой

Сам переустанавливал много раз контроллеры. Поднимал с нуля из бекапов. Небыло таких проблем что один авторизует пользователе а другой нет. Немного напомню как происходит авторизация в AD. Когда компьютер пользователя загружается, то контроллер домена он ищет по соответствующим записям на DNS сервере. Нет записи, ни туда указывает или недоступен сервер - нет авторизации. Копай DNS. Половина граблей там. И время проверь на сервере и на клиенте.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Вт Ноя 27 2007 02:51    Заголовок сообщения: Ответить с цитатой

Время абсолютно синхронно. А насчет днс, даже не знаю, где там может скрываться проблема... Но всёравно спасибо, буду искать. Мне важно понять, какие процессы происходят при понижении роли основного контроллера. Пишут, что могут возникнуть проблемы если в сети бывший хозяин операций существует параллельно с нынешним. При понижении бывшего какие нибудь изменения происходят с нынешним? Вот если б найти информацию об этом...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
San_dok



Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23

СообщениеДобавлено: Вт Ноя 27 2007 09:13    Заголовок сообщения: Ответить с цитатой

Moore писал(а):
При понижении бывшего какие нибудь изменения происходят с нынешним? Вот если б найти информацию об этом...

Когда ты преобразуеш DC в изолированный/рядовой сервер, он удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). А понижение роли последнего контроллера в домене означает уничтожение всего домена. Ну и естественно если он корневой домен в доменном дереве то сноситься все дерево. На это выдаcться предупреждение.
Затем. Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого DC, и не сможет выполнять свои функции.
Если коротЕнько- то всё. Wink
_________________
В тёмной комнате завсегда имеются тёмные грабли.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Вт Ноя 27 2007 10:00    Заголовок сообщения: Ответить с цитатой

Спасибо. Теперь более понятно. Значит можно попробовать понизить глючный контроллер. Попробую сделать. Просто боязно было, в домене несколько десятков серверов, на которых крутятся важные сервисы. Если эта система рухнет, мне несдоброватьSmile Досталось по наследству, что ж поделать...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
And



Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.

СообщениеДобавлено: Вт Ноя 27 2007 15:15    Заголовок сообщения: Ответить с цитатой

В догонку важное замечание по поводу хозяев операций. Существует два варианта поменять хозяина операций. Первый, если есть доступ к существующему хозяину, передать роль другому серверу. Второй способ, если помер хозяин, то все эти роли можно захватить. Теперь грабли! Никогда не реанимируйте умершого старого хозяина операций если вы захватили роль с помощью другого контроллера. Только полная переустановка со сносом всей старой системы (установка с нуля) на рухнувшем хозяине. Если вы воскресите старого хозяина и он попробует побороться с нынешнем за свои права начнутся глюки и причем серьезные. Кстати на этих рекомендациях настаивает Микрософт.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Ср Ноя 28 2007 04:07    Заголовок сообщения: Ответить с цитатой

Выяснились довольно любопытные подробности. Как оказалось при выключенном бывшем хозяине в домен не возможно залогиниться только на машинах, на которых установлена win2000. На WinXP всё нормально проходит, хотя и днс сервер в настройках сети указан старый... Смотрел в логи на Win2000, ошибка eventID 5719, не найдено контроллера домена Windows NT или Windows 2000 для домена <имя_домена>. Обнаружена следующая ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. Видимо у WinXP и Win2k серьезно отличается алгоритм поиска контроллера домена... Пока вижу как решение перезавести эти машины в домен заново.
Копался в днсах. Обнаружил, что машины, у которых проблемы с логоном при выключенном первом контроллере, не имеют записей в днс. В настройках сетевого соединения одинаково у обоих прописан днс-сервером первый контроллер.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
And



Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.

СообщениеДобавлено: Чт Ноя 29 2007 00:32    Заголовок сообщения: Ответить с цитатой

Я настаиваю что это проблемы в DNS. Скорее всего приходит не верный список контроллеров домена к клиенту и он их найти не может. Если ты утверждаешь что второй контроллер жив. XP скорее всего логинились с помощью локльного кеша.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Moore



Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток

СообщениеДобавлено: Чт Ноя 29 2007 06:42    Заголовок сообщения: Ответить с цитатой

Спасибо всем!Smile Всё разрешилось. У них в настройках подключений был указан неверный днс-сервер. После переписывания днс на всех глючных машинах они стали нормально работать.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Windows Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...