Архив форумов ЦИТФорума

[Гратус]

Не удалось выполнить распространение политики безопасности. Нет доступа к шаблону. Код ошибки = 3.
\\domain.ru\sysvol\domain.ru\Policies\{31B2F340-016D-11 D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
все способы доступные в данной ситуации и известные нам уже перепробовали, в принципе удалось добится применения групповой политики в домене судя по сообщениям менеджера системных событий.
Но по прежнему не удается создавать пользователей вылетает сообщение "службе каталогов не удалось выделить относительный идентификатор"
Если кто нибудь уже сталкивался с подобной проблемой подскажите что можно сделать, но все очевидные варианты уже перебраны, здесь видимо нужно особое решение.
Буду рад любому прогрессивному мнению.(ибо своих мозгов уже не хватает)
С уважением Гратус

[4u3u]

Почитай http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B 197132

Сложновато мне переводить с русского обратно на английский и пытаться понять что имелось в виду

С шаблоном скорее всего дело в правах доступа или в опечатке.

[Гратус]

чего то я не вполне понимаю, вроде как AD реплицировали соответственно пользователи тоже перелезли, а как тогда RID заставить раздавать учетным записям RID идентификаторы?
по моему он должен это делать сам, но в данном случае этого не происходит, поэтому мне кажется проблема имеет несколько иные и более глубокие корни

[4u3u]

-

[Гратус]

хозяином операций является текущий DC, и менять этого положения не хочет мотивируя это тем что необходимо сначала подключиться к другому компьютеру. и здесь вроде все в порядке,

[4u3u]

Опиши подробнее что привело к появлению этих ошибок. Был добавлен второй контроллер? Я что-то не совсем понял.

[Гратус]

да, пока меня не было двое молодцев, коллеги млин ночью решили на скорую руку переставить сервак. нашли машинку на которую поставили 2000 сервер подняли Active Directory и сконфигуряли его как BDC и выключили переустанавливаемый сервак.
Переставили софт на нем и включили его обратно в домен как PDC , реплицировали AD на него. После этого просто выключили BDC не выключая его из домена. После чего поплыли политики. Сервер матерится каждые 5 минут, и не дает заводить новых пользователей.

[4u3u]

Мда.
>подняли Active Directory и сконфигуряли его
>как BDC и выключили переустанавливаемый сервак
Просто выключили или сначала из домена вывели с передачей ролей?

>После этого просто выключили
>BDC не выключая его из домена
Сам "BDC" можно включить обратно, или на нем ос снесли уже?
---------------------------

Ну тут дело скорее всего с хозяином операций, как я и говорил. Одна или несколько ролей или никому щас не принадлежит, или принадлежит выключенному "BDC". BDC в кавычках потому что для 2k некорректно разделение серверов на PDC и BDC. Есть роль "PDC emulator", но и только.

Убедись еще раз, что *все* роли, а так же глобал каталог принадлежат живому серверу.

[Гратус]

в общем примерно то же самое потрясение испытал и я когда все это увидел.
естественно роли не передавались, и из домена не выводили,
BDC пытался включить обратно но у него изменили настройки сети и он состоит в Workgroup. Мало того там даже AD снесена напрочь. Все попытки сунуть его обратно в домен заканчивались ничем а точнее всякими гневными заявлениями ОС что дескать домен не принадлежит к Active Directory или недоступен контроллер домена. Вот так и кукую теперь. Я уже и с ntdsutil изголялся но она тоже не может изменить роли вылезают ошибки.
В случае если роли все же не все принадлежат данному серверу что можно сделать? ntdsutil?

[4u3u]

How to...

смотреть кто владелец:
http://support.microsoft.com/default.aspx?scid=kb %3Ben-us%3B235617

передавать/отнимать роль через ntdsutil:
http://support.microsoft.com/default.aspx?scid=kb %3Ben-us%3B255504

то же через ГУЙ:
http://support.microsoft.com/default.aspx?scid=kb%3Ben -us%3B255690

[Гратус]

Ошибка ldap_modify_sW, код ошибки 0x34(52 (═хЄ фрээ√ї).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-032101E8, problem 50
02 (UNAVAILABLE), data 8

Возвращенная ошибка Win32 0x20af(╬°шсър ЄЁхсєхьющ юяхЁрЎшш FSMO. ═хЄ ёт чш ё Єхъ
є∙шь тырфхы№Ўхь FSMO.)
)
так он ругается при попытке изменить роли причем и на мастера схемы и на смену хозяина именования, и нак смену хозяина RID. Естественно коды ошибок я не знаю поэтому не могу понять почему он так меня материт.

[4u3u]

>(╬°шсър ЄЁхсєхьющ юяхЁрЎшш FSMO.
>═хЄ ёт чш ё Єхъє∙шь тырфхы№Ўхь FSMO.

Перевожу: Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.

Ты пытаешься *передать* (transfer) роль. Об этом конечно необходимо уведомить текущего владельца. Если текущий владелец более недоступен, необходимо *захватить* (seize) роль.

[Гратус]

fsmo maintenance: seize pdc
Попытка безопасной передачи PDC FSMO перед захватом.
Успешная передача FSMO - захват не требуется.
ну по крайней мере после проведенной операции он не ругается при запуске mmc что контроллер домена не найден,
а групповые политики по прежнему не показывает, и при попытке завести пользователя в Active Directory ругается на неработоспособность сервера, и невозможность проверки имени в глобальном каталоге

[4u3u]

Ну что я тебе все разжевывать буду?
В ссылках которые я тебе давал есть инфа о том как назначить контроллер глобал каталогом.

[Гратус]

верно, прошу прощения, посмотрю, но из 3 ссылок работает только одна а остальные 2 пинают меня сразу на страницу поиска
http://support.microsoft.com/default.aspx?pr=kbhowto &gssnb=1

[4u3u]

-

[Гратус]

понятно, спасибо, счас посмотрю.