Перехват ролей контроллеров домена

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
systemevil
Power member
Сообщения: 46
Зарегистрирован: 12 ноя 2007, 09:31
Откуда: Иваново

Перехват ролей контроллеров домена

Сообщение systemevil » 11 фев 2008, 10:43

Добрый день господа! Есть локальная сеть на ~80 компьютеров с АД.

Возникла проблема: в сети был единственный контроллер домена на 2003 сервере, который авлялся держателем всех ролей в домене. Далее этот сервер по техническим причинам отказал и в сети был поднят второй контроллер домена из резервной копии каталога AD. Как оказалось, второй контроллер домена при повышении стал только держателем каталога AD и являясь Global Catalog'ом позволял проходить аутентификацию пользрвателям домена. Так же отмечу, что в каталоге осталась информация об "упавшем" контроллере домена, который авлялся держателем ролей.

Соответственно не имея в сети функционирующего держателя ролей, кабота AD сводится только к аутентификации пользователей и добавлении копьютеров в домен.

Есть утилита ntdsutil, позволяюшая назначить (transfer) определенный контроллер домена держателем определенных ролей (которые выберет администратор). НО, при назначении роли контроллеру, назначаемый контроллер пытается связаться с несуществующим держателем передаваемой роли для корректного исправления информации в каталоге и ненаходя держателя в сети выдает ошибку.

В утилите ntdsutil есть возможность перехвата ролей (sieze), придуманная специально для потери держателя основных ролей и невозможности его восстановления.

Собственно меня интересует, сталкивались ли вы с работой этой утилиты, в особенности с возможностью захвата ролей другим контроллером домена?

Bormoto
Advanced member
Сообщения: 253
Зарегистрирован: 06 июл 2007, 22:20
Откуда: спб

Re: Перехват ролей контроллеров домена

Сообщение Bormoto » 12 фев 2008, 01:47

systemevil писал(а):Собственно меня интересует, сталкивались ли вы с работой этой утилиты, в особенности с возможностью захвата ролей другим контроллером домена?
Здорово, что Вы рассказали народу о богатых возможностях ntdsutil. Самое главное - она действительно работает! :)
Хотя читать Technet для реальных пацанов и некошерно, рискну привести несколько ссылок которые Вам должны помочь:
1. Принудительный перехват ролей DC: http://support.microsoft.com/kb/255504/en-us
2. Зачистка AD от следов "скончавшегося" DC: http://support.microsoft.com/kb/216498/en-us
И, на всякий случай, Вы, конечно же это знаете, как роли переносят между нормально функционирующими DC: http://support.microsoft.com/kb/324801/en-us
Некоторые забывают про Schema master role.
Кстати, не забудьте о достаточных правах учетной записи, под которой Вы будете все это делать.  :wink:
Все работает, кроме особо запущенных случаев. Если сомневаетесь, смоделируйте ситуацию на стенде из виртуальных машин. Много времени не займет, а опыт получите.

systemevil
Power member
Сообщения: 46
Зарегистрирован: 12 ноя 2007, 09:31
Откуда: Иваново

Сообщение systemevil » 12 фев 2008, 10:52

Что за привычка у людей на поставленный вопрос не отвечать, а начинать острить, тыкать носом в мануалы и строить из себя величайших гуру. Я спросил, сталкивались ли с возможностью перехвата и ждал ответа вроде "прекрасно роли передаются" или "домен упал, восстанавливал все заново".

Ладно, хоть и с сарказмом, но все же это ответ! Низкий Вам поклон, уважаемый Bormoto от реально-кошерного пацана.

Bormoto
Advanced member
Сообщения: 253
Зарегистрирован: 06 июл 2007, 22:20
Откуда: спб

Сообщение Bormoto » 12 фев 2008, 18:57

systemevil писал(а):Что за привычка у людей на поставленный вопрос не отвечать, а начинать острить, тыкать носом в мануалы и строить из себя величайших гуру.
Тщеславием особо не страдаю. Сама-то проблема несложная, просто нечасто повторяющаяся - DC редко "теряются" безвозвратно, ибо могут наказать. А настоящим "гуру", наверное, просто надоело отвечать на одни и те же вопросы много лет подряд. :wink:
Просто "порадовала" позиция специалиста, ставящего под сомнение информацию от вендора, но готового поверить на слово незнакомым ему личностям. Отсюда и пожелание "тыкать носом в мануалы". Ну, это уже оффтоп. Успехов!

Ответить

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей