Миграция windows server 2003 на windows server 2012 r2 active directory
Вопрос
Имелся контроллер домена win srv 2003 было принято решение сменить его на win srv 2012. Роли FSMO были перенесены на новый сервер (RID, PDC, Infrastructure). В консоли Active Directory Domains and Trusts был изменен контроллер, перенесена роль хозяина операция именования домена, изменен мастер схемы.
Но при попытке удаления старого домена через dcpromo пишет «Флажок, указывающий, что это единственный контроллер для домена. не установлен. Однако, обратиться к другом контроллерам домена в AD не удалось.» и все заканчивается ошибкой
На новом контроллере домена в оснастке домены и доверия на вкладке смена сервера каталогов написано текущий сервер каталогов сервер под управление win srv 2012 как и должно быть а ниже в списке серверов написано что старый сервер онлайн а новый недоступен.
И если старый сервер отключить то все клиенты не могут войти в домен.
Что можно сделать в данной ситуации?
Ответы
на старом сервере папки sysvol и netlogon отсутствуют ( под управление win srv 2003)
Я всегда опасался производить автоматическое восстановление репликации SYSVOL через FRS в ситуации, когда её содержимое на другие контроллеры домена не среплицировано, хотя обычно это работало, и всегда рекомендовал в таком случае выполнять вручную полномочное восстановление.
А вот у вас — не сработало.
Теперь вам нужно, во-первых, остановить службу репликации файлов (NTFRS) и проверить, не исчезло ли на старом констроллере домена содержимое SYSVOL (папка %SystemRoot%\SYSVOL\domain, она же должна быть доступна по ссылке %SystemRoot%\SYSVOL\sysvol\имя.домена). Если содержимое исчезло, его надо восстановить: либо из скрытой папки NTFRS_что-то-там в этой папке, либо из резервной копии.
Если исчезла и ссылка, то тогда хуже (но я напишу, что делать, если это произошло).
После этого вам нужно будет выполнить на старом контроллере домена полномочное (authoritative) восстановление. Для этого в реестре измените значение параметра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\BurFlags на шестнадцатеричное значение D4 и запустите остановленную службу репликации файлов. Поддробности см. в ст. 290762 MS KB
После этого, по идее, у вас всё должно заработать. Если этого не произошло, то желательно, чтобы вы привели выдачу dcdiag с обоих контроллеров домена, чтобы не работать вслепую.
Миграция Windows Server 2003 на Windows Server 2012 R2: Active Directory
Не секрет, что окончание поддержки Windows Server 2003 все ближе. День Х назначен на 17 июля 2015 года, а значит остается все меньше времени, чтобы успеть перевести свою инфраструктуру на более современные версии операционной системы. На портале Microsoft Virtual Academy опубликован курс по материалам Jump Start, есть перевод статьи о переносе файлового сервера. В этой статье будет рассказано о миграции Active Directory и приведен пошаговый алгоритм, которым поможет вам при реализации переноса._mini_oszone.png)
Увеличить
Перенос Active Directory с Windows Server 2003 на Windows Server 2012 R2 является одной из первоочередных задач, которые необходимо решить в процессе миграции.
На самом деле, перенос Active Directory не несет в себе каких-либо сложностей. Нужно выполнить лишь несколько шагов, о которых будет подробно рассказано далее.
Сначала выполним небольшую настройку на контроллере домена с установленной на нем Windows Server 2003. Обязательно проверьте, что для существующего домена и леса в качестве режима работы (functional level) выбран Windows Server 2003.
Для того, что изменить режим работы домена и леса необходимо запустить оснастку Active Directory Domains and Trust. Для изменения режима работы домена щёлкаем правой кнопкой мыши по домену, для режима работы леса – по Active Directory Domains and Trusts. Выбираем Raise Domain Functional Level и Raise Forest Functional Level соответственно._mini_oszone.png)
Увеличить_mini_oszone.png)
Увеличить
В обоих случаях режим работы должен быть установлен на Windows Server 2003..png)
.png)
Далее нужно дождаться завершения установки и перезагрузить компьютер. В итоге, вы получите контроллер домена с установленной на нем Windows Server 2012 R2.
После того, как выполнены предварительные шаги, мы можем перейти непосредственно к переносу Active Directory. Выполнять необходимые действия мы будем на контроллере домена под управлением Windows Server 2012 R2 в следующем порядке:
- Перенос роли FSMO (Flexible Single Master Operations)
- Изменение контроллера домена Active Directory
- Изменение Мастера схемы (Schema Master)
- Удаление контроллера домена под управлением Windows Server 2003 из глобального каталога (Global Catalog)
1. Перенос роли FSMO (Flexible Single Master Operations)
Подтверждаем операцию переноса и дожидаемся ее благополучного завершения. Не забудьте проверить, что в итоге роль хозяина операций теперь находится на сервере под управлением Windows Server 2012 R2:.png)
2. Изменение контроллера домена Active Directory
3. Изменение Мастера схемы (Schema Master)
Теперь приступаем к изменению мастера схемы (Schema Master). Запустите командную строку с правами Администратора и введите команду regsvr32 schmmgmt.dll_mini_oszone.png)
Увеличить
С помощью этой команды происходит первичная регистрация динамической библиотеки DLL, которая является обязательной для оснастки Active Directory Schema.
После того, как команда выполнена, можно закрыть командную строку, запустить консоль MMC и добавить оснастку Active Directory Schema (для этого выберите File>Add/RemoveSnap-in)..png)
В этой же консоли MMC щёлкаем правой кнопкой мыши по Active Directory Schema и выбираем Change Active Directory Domain Controller. Аналогично действиям, которые мы выполняли в пункте 2, в новом окне выберите пункт ThisDomainControllerorADLDSinstance и укажите сервер под управлением Windows Server 2012 R2 и нажмите ОК. Появится предупреждение о том, что оснастка схемы Active Directory не подключена. Нажмите ОК для продолжения.
Теперь снова щёлкаем правой кнопкой мышки по лесу и выбираем пункт OperationsMaster. Для переноса роли хозяина схемы в новом окне нажмите Change.
Теперь можно закрыть MMC консоль, открыть оснастку Active Directory Users and Computers и убедиться, что данные успешно реплицированы на ваш новый сервер под управлением Windows Server 2012 R2. Имейте ввиду, что процесс репликации может занять некоторое время (все зависит от количества объектов Active Directory, которые нужно реплицировать).
4. Удаление контроллера домена под управление Windows Server 2003 из глобального каталога (Global Catalog)
Щёлкните правой кнопкой мышки по NTDSSettings для вашего старого сервера под управление Windows Server 2003, выберите Properties. Во вновь появившемся окне уберите галочку с пункта GlobalCatalog и нажмите ОК..png)
В Active Directory Users and Computers контроллер домена на Windows Server 2003 теперь не является глобальным каталогом._mini_oszone.png)
Увеличить
Осталось проверить, что теперь роль FSMO запущена на Windows Server 2012 R2. Для этого в командной строке, открытой с правами Администратора запускаем команду netdomqueryfsmo_mini_oszone.png)
Увеличить
На этом миграция Active Directory завершена. На компьютере под управлением Windows Server 2003 запустите dcpromo (кстати, в Windows Server 2012 R2 dcpromo нет) для того, чтобы понизить роль компьютера с контроллера домена. Если после этого посмотреть на консоль Active Directory Users and Computers, вы увидите, что остался только один контроллер домена – под управлением Windows Server 2012 R2._mini_oszone.png)
Увеличить
Надеюсь, что эта статья будем вам полезной!
Миграция Active Directory с Windows Server 2003 на Windows Server 2012R2
UPD: Миграция должна проводиться из под аккаунта администратора леса. Т.е. Встроенного дефолтного аккаунта администратора. Даже если вы добавите себя в администраторы предприятия и администраторы схемы — всё равно данная ошибка будет, а от имени админисратора леса — её нет.
Ошибка отказа в доступе к некоторым компонентам схемы AD.
Из лога adprep на 2012R2 (по адресу C:\Windows\debug\Adprep\XXXXXXXXX\Adprep.l og)
Программа Adprep попыталась вызвать следующую API-функцию LDAP. ldap_add_s(). Добавляемый элемент: cn=ForestUpdates,CN=Configuration,DC=sou z,DC=local.
[2015/08/27:07:30:24.854]API-функция LDAP ldap_add_s() завершена; код возврата: 0x32
[2015/08/27:07:30:24.854]Программе Adprep не удалось создать объект cn=ForestUpdates,CN=Configuration,DC=sou z,DC=local в доменных службах Active Directory.
Сбой этой операции Adprep.
Дополнительные сведения см. в файле журнала ADPrep.log в каталоге C:\Windows\debug\adprep\logs\20150827072 909. Перезапустите Adprep.
[2015/08/27:07:30:24.854]Программа Adprep обнаружила ошибку LDAP.
Код ошибки: 0x32. Расширенный код ошибки сервера: 0x5, сообщение об ошибке сервера: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
DSID Info:
DSID: 0x181107d1
ldap error = 0x32
NT BUILD: 9600
NT BUILD: 16384
Для завершения данной операции Adprep требуется доступ с хозяина схемы к существующим сведениям уровня леса.
Дополнительные сведения см. в файле журнала ADPrep.log в каталоге C:\Windows\debug\adprep\logs\20150827072 909.
Решается временной, ультранебезопасной сменой владельца схемы, с помощью программы ADSIEdit, на пользователя из под которого ведётся миграция в 2012R2 и установки на раздел схемы разрешений для пользовтеля «Все» в полный доступ. После окончания процесса миграции это надо убирать, потому, что это чудовищная дыра в безопасности.
Можно попробовать более узкие и частные разрешения, но в целом надо помнить что это ошибка прав доступа и мне в конечном итоге помогло полное снятие запретов на схему для всех. Хотя это и ужасно. Из-за чего это возникает никто не знает.