forum.lissyara.su

Есть 3 DC w2000, 1 w2k3r2+ISA2006. PDC начал загибаться потихоньку и я передал роли FSMO на другой DC, прошло какоето время и началось, появился новый сотрудник я завел его в AD он состоит в группе инетюзерс, но у него стоит крест на клиенте файрвола при попытки обратиться к инет ресурсам, я его добавляю в правило исы как пользователя из AD он его находит жму ок имя исчезает и появляется его SID, и все равно не пашет. Я выкинул из каталога AD ISA2006 вышел в раб группу и завел обратно в AD, вроде зашел, но в контейнере AD он не появился, и пускал в инет он только старых сотрудников, какбуто откешированных у себя уже, потом каким то чудом я его перезавел в AD и этот сервер иса появился в контейнере, далее стали отваливаться как будто сотрудники, когото перезаведешь работает а когото такая же хрень, не появляется в AD клиентский комп, но вроде как входит по пользователю и паролю в домен.
Роли FSMO перевел все по инструкции с microsoft.com

Есть у кого какие мысли по этому поводу?

http://forum.lissyara.su/viewtopic.php? ... SA#p104035
Не отсюда ли ноги растут - роли перешли на другую железку с другой сетевухой...

Нашел грабли, DC3 был PDC я передал роли на DC1, роль PDC передалась на DC1 и одновременно осталась на DC3 и както надо ее снять с DC3 ибо половину юзверей логиянтся в DC1 а некоторые в DC3 как я понял и получается полная х@!ня и если вообще понизить DC3 до рядового, чем это грозит или что мне делать?

Пока у тебя в сети 2 ДЦ все роли на 1 из них передать нельзя. Какие то из ролей несовместимы и могут быть на 1 ДЦ только если он единственный. Ты роли переносил когда 2-й контроллер был оффлайн? Если да, то нельзя его включать в сеть обратно - будет неразрешимый конфликт.
Пардон, не заметил, что ДЦ 3 штуки, но последнее утверждение справедливо, у меня подобное было на w2k - пришлось глючный дц форматить и выкорчевывать из АД и схемы.

Volkoff писал(а):Пока у тебя в сети 2 ДЦ все роли на 1 из них передать нельзя. Какие то из ролей несовместимы и могут быть на 1 ДЦ только если он единственный. Ты роли переносил когда 2-й контроллер был оффлайн? Если да, то нельзя его включать в сеть обратно - будет неразрешимый конфликт.
Пардон, не заметил, что ДЦ 3 штуки, но последнее утверждение справедливо, у меня подобное было на w2k - пришлось глючный дц форматить и выкорчевывать из АД и схемы.

а какие роли конкретно не совместимы чтобы их разнести

а какие роли конкретно не совместимы чтобы их разнести

Опять ошибся, давно я 2к уже крутил там глобал каталог и инфраструктуру не рекомендуют держать вместе...По оптимизации тут:
http://support.microsoft.com/kb/223787/ru
Вообще судя по описанным симптомам похоже что были захвачены роли на 1 дц, а потом глючный 2дц попытались воткнуть обратно в сеть.

PS а репликация между этими ДЦ что выдает?

просто произошел псевдо завхват, я их передавал черз оснастку, они передались на другой дц и осталась PDC роль на старом и появилась на новом, я и командной строкой передавал потом повторно, жму да хочу передать, все вроде ок, потом смотрю а он всеравно PDC

Через командную строку это ntdsutil? если ты там делал transfer то все должно быть нормально, если seize - нельзя уже включать дц, с которого были захвачены роли.
Надо попробовать провести принудительную репликацию между этими дц, если удастся, то должна выиграть одна из версий, если нет другого выхода как грохнуть 1 из дц я не вижу

всем спсб за ответы, вечером сделал бэкапы dcpromo /forceremoval на DC3, а из DC1,2 выкинул его руками т.к. он не хотел репликацию с ними делать и сейчас DC3 в AD как рядовой сервер, пока вроде траблов нет