Захват ролей FSMO

Nat · Сообщение **Nat** » 15 авг 2006, 16:35

Приветы всем.
Такая проблема:
Был лес DC в AD. Текущий сервер младший в лесу, потом взяли и отключили его из леса. На сегодняшний день на моем DC три роли (эмулятор PDC, хозяин RID, хозяин инфраструктуры),а две: хозяин схемы и хозяин именования домена остались на DC, которого уже физически нет в сети.
Захватить эти роли с помощью утилиты Ntdsutil у меня не получилось, т.к. пишет вот что:
==================
fsmo maintenance: seize schema master
Attempting safe transfer of schema FSMO before seizure.
ldap_modify_sW error 0x32(50 (Insufficient Rights).
Ldap extended error message is 00002098: SecErr: DSID-03151D7D, problem 4003 (IN
SUFF_ACCESS_RIGHTS), data 0

Win32 error returned is 0x2098(Insufficient access rights to perform the operati
on.)
)
Depending on the error code this may indicate a connection,
ldap, or role transfer error.
Transfer of schema FSMO failed, proceeding with seizure ...
ldap_modify of SD failed with 0x32(50 (Insufficient Rights).
Ldap extended error message is 00000005: SecErr: DSID-03151E04, problem 4003 (IN
SUFF_ACCESS_RIGHTS), data 0

Win32 error returned is 0x5(Access is denied.)
=================
Я понимаю, что не хватает прав, т.к. надо для этого войти с учетной записью, являющейся членом группы «Администраторы предприятия»... как я это могу сделать - если такая группа была только на главном домене.
Какие есть соображения?

Заранее всех благодарю.

t9m · Сообщение **t9m** » 15 авг 2006, 18:37

Данное сообщение указывает на то, что у учзаписи нету прав СхемаАдмина. Надо их, соответственно, учетке дать....Но с прибитым корнем, возможно, сие весьма проблематично...Энтерпрайз админ тоже не сможет захватить роль Мастера Схемы.

Nat · Сообщение **Nat** » 15 авг 2006, 18:40

Как можно дать право СхемаАдмина на дочернем домене?
Это разве возможно?

Nat · Сообщение **Nat** » 16 авг 2006, 13:00

Может быть посоветуете, если невозможно вернуть все 5 ролей на мой DC, может быть пока поднять BDC, на него перенести временно функции, а этот с нуля переставить и потом Exchange на него с чистого листа?
Потому как я не представляю как будет на этом работать Exchange.

t9m · Сообщение **t9m** » 16 авг 2006, 13:37

да надо просто думать, как что сносить, и как это потом поднять. И Зубанова читать

В Вашем случае, имхо, надо лепить всю структуру наново с нуля (если нет бэкапов из центра)

Nat · Сообщение **Nat** » 16 авг 2006, 14:52

Бэкапов нет, лепить заново то я не против.. но как это сделать бесперебойно.. чтоб пришли юзера утром, включили компы, залогинились и ничего не заметили ))

t9m · Сообщение **t9m** » 16 авг 2006, 22:39

Никак, Вам, должно быть, тоже это давно понятно...Если у Вас сравнительно небольшой домен (или мало сравнительноблизкорасположенных сайтов) - поднимайте все с нуля - и руками настраивайте права и ГП согласно прописанным на бумаге

Потом, при необходимости доступа к ресурсам центра прикручивайтесь на время через трасты, и ждите выходных, они у Вас рабочие....Заодно какая практика по AD 2003!

Nat · Сообщение **Nat** » 18 авг 2006, 10:58

Ну да, теперь уже понятно.
Еще вопрос, просто, если можете, посоветуйте.
Что лучше, выставлять DNS наружу в интернет (интернетовский сайт на нем, почта и т.д.) или же, как сейчас, есть хостер, который поддерживает внешний домен, на котором крутится наш сайт, через которого ходит вся почта. Вот кто что говорит. Как вы думаете, как сделать лучше?
Любой совет почту за честь, спасибо.

Сообщение **Stranger03** » 22 авг 2006, 16:31

А вопросик, кто у вас является держателем глобал-каталога? Проверьте на вкладке с ADS&S. Возможно это поможет захватить роли о почистить АД.

Сообщение **Stranger03** » 22 авг 2006, 16:33

Плюс к тому, когда вы пытаетесь через ntdsutil захватить роли, в логах должно быть сообщение об ошибке. Посмотрите на КБ, там возможно есть описание данной проблемы.

Захват ролей FSMO

Захват ролей FSMO

Кто сейчас на конференции