Непонятности с AD

[3t0n]

Есть 3 DC w2000, 1 w2k3r2+ISA2006. PDC начал загибаться потихоньку и я передал роли FSMO на другой DC, прошло какоето время и началось, появился новый сотрудник я завел его в AD он состоит в группе инетюзерс, но у него стоит крест на клиенте файрвола при попытки обратиться к инет ресурсам, я его добавляю в правило исы как пользователя из AD он его находит жму ок имя исчезает и появляется его SID, и все равно не пашет. Я выкинул из каталога AD ISA2006 вышел в раб группу и завел обратно в AD, вроде зашел, но в контейнере AD он не появился, и пускал в инет он только старых сотрудников, какбуто откешированных у себя уже, потом каким то чудом я его перезавел в AD и этот сервер иса появился в контейнере, далее стали отваливаться как будто сотрудники, когото перезаведешь работает а когото такая же хрень, не появляется в AD клиентский комп, но вроде как входит по пользователю и паролю в домен.
Роли FSMO перевел все по инструкции с microsoft.com

Есть у кого какие мысли по этому поводу?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Volkoff]

http://forum.lissyara.su/viewtopic.php? ... SA#p104035
Не отсюда ли ноги растут - роли перешли на другую железку с другой сетевухой...

[3t0n]

Нашел грабли, DC3 был PDC я передал роли на DC1, роль PDC передалась на DC1 и одновременно осталась на DC3 и както надо ее снять с DC3 ибо половину юзверей логиянтся в DC1 а некоторые в DC3 как я понял и получается полная х@!ня и если вообще понизить DC3 до рядового, чем это грозит или что мне делать?

[Volkoff]

Пока у тебя в сети 2 ДЦ все роли на 1 из них передать нельзя. Какие то из ролей несовместимы и могут быть на 1 ДЦ только если он единственный. Ты роли переносил когда 2-й контроллер был оффлайн? Если да, то нельзя его включать в сеть обратно - будет неразрешимый конфликт.
Пардон, не заметил, что ДЦ 3 штуки, но последнее утверждение справедливо, у меня подобное было на w2k - пришлось глючный дц форматить и выкорчевывать из АД и схемы.

[3t0n]

Пока у тебя в сети 2 ДЦ все роли на 1 из них передать нельзя. Какие то из ролей несовместимы и могут быть на 1 ДЦ только если он единственный. Ты роли переносил когда 2-й контроллер был оффлайн? Если да, то нельзя его включать в сеть обратно - будет неразрешимый конфликт.
Пардон, не заметил, что ДЦ 3 штуки, но последнее утверждение справедливо, у меня подобное было на w2k - пришлось глючный дц форматить и выкорчевывать из АД и схемы.

а какие роли конкретно не совместимы чтобы их разнести

[Volkoff]

а какие роли конкретно не совместимы чтобы их разнести

Опять ошибся, давно я 2к уже крутил там глобал каталог и инфраструктуру не рекомендуют держать вместе...По оптимизации тут:
http://support.microsoft.com/kb/223787/ru
Вообще судя по описанным симптомам похоже что были захвачены роли на 1 дц, а потом глючный 2дц попытались воткнуть обратно в сеть.

PS а репликация между этими ДЦ что выдает?

[3t0n]

просто произошел псевдо завхват, я их передавал черз оснастку, они передались на другой дц и осталась PDC роль на старом и появилась на новом, я и командной строкой передавал потом повторно, жму да хочу передать, все вроде ок, потом смотрю а он всеравно PDC

[Volkov]

Через командную строку это ntdsutil? если ты там делал transfer то все должно быть нормально, если seize - нельзя уже включать дц, с которого были захвачены роли.
Надо попробовать провести принудительную репликацию между этими дц, если удастся, то должна выиграть одна из версий, если нет другого выхода как грохнуть 1 из дц я не вижу

[3t0n]

всем спсб за ответы, вечером сделал бэкапы dcpromo /forceremoval на DC3, а из DC1,2 выкинул его руками т.к. он не хотел репликацию с ними делать и сейчас DC3 в AD как рядовой сервер, пока вроде траблов нет