| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
 Добавлено: Пн Ноя 26 2007 04:47 Заголовок сообщения: проблема с переносом контроллера домена |
 |
|
| Здравствуйте! подскажите пожалуйста, что нужно для того, чтобы резервный контроллер домена взял на себя задачу авторизации пользователей домена? У него роли хозяина всех операций, а всёравно, если выключаем первый контроллер, пользователи почему-то не могут залогиниться. Может есть какая-то тонкость? Читал в форумах про перенос контроллера на другой сервер, пишут: поднять второй контроллер, передать ему роли хозяина на всё, что можно, поднять днс. Затем выключить основной, посмотреть работает ли... Затем понизить роль основного и вывести его из домена. Всё правильно или что-то путаю? Домен Win2003 |
|
| Вернуться к началу |
|
 |
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пн Ноя 26 2007 08:05 Заголовок сообщения: Re: проблема с переносом контроллера домена |
|
|
| Moore писал(а): | | пишут: поднять второй контроллер, передать ему роли хозяина на всё, что можно, поднять днс. Затем выключить основной, посмотреть работает ли... Затем понизить роль основного и вывести его из домена. Всё правильно или что-то путаю? Домен Win2003 |
Ну вообщем да. Плюс бекап. 
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Пн Ноя 26 2007 08:11 Заголовок сообщения: |
|
|
А вот меня смущает такой момент: действительно ли он (второй контроллер) сможет выполнять функции по авторизации пользователей. А то страшновато как-то, опустим первого, а второй не заработает Хорошая штука - бэкап... |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Пн Ноя 26 2007 08:15 Заголовок сообщения: |
|
|
| Вероятно, проблема с авторизацией косвенно связана именно с тем, что при передаче роли хозяина всех операций небыл своевременно понижен в статусе первый контроллер. Читал в support.microsoft.com что это может приводить к различным проблемам |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пн Ноя 26 2007 08:40 Заголовок сообщения: |
|
|
Вы пилите Шура... пилите... (с)пёр
Вот сюда ещё посматривай
"жевали" долго. 
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
And
Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.
|
| Добавлено: Пн Ноя 26 2007 10:06 Заголовок сообщения: |
|
|
| Сам переустанавливал много раз контроллеры. Поднимал с нуля из бекапов. Небыло таких проблем что один авторизует пользователе а другой нет. Немного напомню как происходит авторизация в AD. Когда компьютер пользователя загружается, то контроллер домена он ищет по соответствующим записям на DNS сервере. Нет записи, ни туда указывает или недоступен сервер - нет авторизации. Копай DNS. Половина граблей там. И время проверь на сервере и на клиенте. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 27 2007 02:51 Заголовок сообщения: |
|
|
| Время абсолютно синхронно. А насчет днс, даже не знаю, где там может скрываться проблема... Но всёравно спасибо, буду искать. Мне важно понять, какие процессы происходят при понижении роли основного контроллера. Пишут, что могут возникнуть проблемы если в сети бывший хозяин операций существует параллельно с нынешним. При понижении бывшего какие нибудь изменения происходят с нынешним? Вот если б найти информацию об этом... |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Вт Ноя 27 2007 09:13 Заголовок сообщения: |
|
|
| Moore писал(а): | | При понижении бывшего какие нибудь изменения происходят с нынешним? Вот если б найти информацию об этом... |
Когда ты преобразуеш DC в изолированный/рядовой сервер, он удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). А понижение роли последнего контроллера в домене означает уничтожение всего домена. Ну и естественно если он корневой домен в доменном дереве то сноситься все дерево. На это выдаcться предупреждение.
Затем. Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого DC, и не сможет выполнять свои функции.
Если коротЕнько- то всё.
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Вт Ноя 27 2007 10:00 Заголовок сообщения: |
|
|
| Спасибо. Теперь более понятно. Значит можно попробовать понизить глючный контроллер. Попробую сделать. Просто боязно было, в домене несколько десятков серверов, на которых крутятся важные сервисы. Если эта система рухнет, мне несдобровать Досталось по наследству, что ж поделать... |
|
| Вернуться к началу |
|
|
And
Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.
|
| Добавлено: Вт Ноя 27 2007 15:15 Заголовок сообщения: |
|
|
| В догонку важное замечание по поводу хозяев операций. Существует два варианта поменять хозяина операций. Первый, если есть доступ к существующему хозяину, передать роль другому серверу. Второй способ, если помер хозяин, то все эти роли можно захватить. Теперь грабли! Никогда не реанимируйте умершого старого хозяина операций если вы захватили роль с помощью другого контроллера. Только полная переустановка со сносом всей старой системы (установка с нуля) на рухнувшем хозяине. Если вы воскресите старого хозяина и он попробует побороться с нынешнем за свои права начнутся глюки и причем серьезные. Кстати на этих рекомендациях настаивает Микрософт. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Ср Ноя 28 2007 04:07 Заголовок сообщения: |
|
|
Выяснились довольно любопытные подробности. Как оказалось при выключенном бывшем хозяине в домен не возможно залогиниться только на машинах, на которых установлена win2000. На WinXP всё нормально проходит, хотя и днс сервер в настройках сети указан старый... Смотрел в логи на Win2000, ошибка eventID 5719, не найдено контроллера домена Windows NT или Windows 2000 для домена <имя_домена>. Обнаружена следующая ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. Видимо у WinXP и Win2k серьезно отличается алгоритм поиска контроллера домена... Пока вижу как решение перезавести эти машины в домен заново.
Копался в днсах. Обнаружил, что машины, у которых проблемы с логоном при выключенном первом контроллере, не имеют записей в днс. В настройках сетевого соединения одинаково у обоих прописан днс-сервером первый контроллер. |
|
| Вернуться к началу |
|
|
And
Зарегистрирован: 02.12.2003
Сообщения: 401
Откуда: Московская обл.
|
| Добавлено: Чт Ноя 29 2007 00:32 Заголовок сообщения: |
|
|
| Я настаиваю что это проблемы в DNS. Скорее всего приходит не верный список контроллеров домена к клиенту и он их найти не может. Если ты утверждаешь что второй контроллер жив. XP скорее всего логинились с помощью локльного кеша. |
|
| Вернуться к началу |
|
|
Moore
Зарегистрирован: 13.11.2007
Сообщения: 22
Откуда: Владивосток
|
| Добавлено: Чт Ноя 29 2007 06:42 Заголовок сообщения: |
|
|
| Спасибо всем! Всё разрешилось. У них в настройках подключений был указан неверный днс-сервер. После переписывания днс на всех глючных машинах они стали нормально работать. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
