Поднять домен W2K до W2K3. - Операционные системы M$

AndreyN · 19.12.2005, 18:03

Стала необходимость поднять домен Win200server до 2003-го. Действуя по инструкции выполнил команду ADPREP.EXE /forestprep. Но получил отказ и вот такой протокол.

............................................
Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: CN=UID,CN=Schema,CN=Configuration,DC="корневой домен",DC=local.

API-функция LDAP ldap_search_s() завершена, код возврата 0x20

Adprep успешно определил, что службы Microsoft Windows для UNIX (SFU) установлены. В случае обнаружения SFU, adprep убедится в установке исправления Microsoft Q293783 для SFU и продолжит работу.

Adprep не может обновить схему на сервере хозяина схемы.
Adprep не может обновить данные уровня леса.

[Состояние/результат]

Для завершения операции Adprep требует доступа к имеющимся данным уровня леса с сервера хозяина схемы.

[Действие пользователя]

См. дополнительные сведения в файле журнала Adprep.log в каталоге C:\WINNT\system32\debug\adprep\logs\20051219171603.
Являясь на DC самым привилегированным Администратором мучаюсь вопросом: если нет прав, то кто я, если не администратор схемы и если я администратор схемы, то "какого" ему еще надо.
Домен стоит давно и когда-то у меня был домен второго уровня, который благополучно был убит давным-давно. У меня сложилось такое подозрение, что я это сделал не совсем удачно и хвосты все-таки остались. В AD-Домены и доверие поддомен остался.
Вопрос: Как решить проблему №1, поднять домен до уровня 2003-го и мешает ли этому недоубитый домен?
W2k StandardEdition SP4 Rus.

Спасибо за внимание.

P.S. Очень не хочется всё перенастраивать, перезаводить пользователей и перераздавать права.

20.12.2005, 09:48

а других контроллеров AD не было раньше? Любит винда выкаблучиваться, если в AD было несколько контроллеров, а потом какой-нить из них пропал (по независящим от AD обстоятельствам).

deepweb · 20.12.2005, 11:33

Рекомендую ознакомится со справочной информацией на сайте microsoft.com по AD там всё подробно расписано.

AndreyN · 20.12.2005, 12:32

Не хочу никого обидеть deepweb, но Вы сами хотя бы раз что-нибудь полезное для себя находили на сайте мелкософта? Например я находил там что-то ценное только опосредовано, через другие сайты и поисковые системы.

Знаю, что там написано про AD. Сам Читал книгу MicrosoftPress W2003server, но там описана только нормальная процедура и ситуация с отсутсвием прав. У меня прав хоть отбавляй. Просто за время трехлетней эксплуатации DC накопился багаж как настроек, так и глюков.
Я спрашиваю может кто сталкивался с подобной проблемой или просто знает где рыть.

Но не смотря ни на что, Спасибо за Внимание.

AndreyN · 20.12.2005, 15:41

В процессе поиска решения мысль, что мешает недоубитый домен пока укрепляется. Средсвами ntdsutil попытался почистить AD. Завтра расскажу что из этого вышло.

AndreyN · 21.12.2005, 09:43

Почистил AD с помощью metadata cleanup и Всё получилось.

Ура, товарищи.

AndreyN · 08.02.2006, 12:44

Получилось поднять версию схемы до необходимого для обновления до 2003-го сервера уровня, но проблема остается. ПодДомен недоубивается.
Остался контекст имени и домен и никак не удаляется.
Ругается DsRemoveDsDomainW ошибка 0x2162, а дальше гречкой пишет. Не могу найти описание ошибки у мелкософта.

AndreyN · 09.02.2006, 11:55

В ntdsutil всё-таки получилось удалить сервер, домен и контекст именования. Перегружусь, посмотрю что дальше. Надо ли как-то дефрагментировать, упаковывать, чистить базу AD после таких операций?

AndreyN · 10.02.2006, 18:17

Вроде получилось почистить AD от старых записей. Но переустанавливать сервер пока боюсь. Много работы и выводить на долго (в процессе Upgrad'a могут появиться непредвиденные проблемы) не могу. Пробую создать в имеющемся домене на базе 2000 с версией схемы 30 дополнительный контроллер домена на базе 2003, чтобы т.с. мягко перейти на 2003, а потом просто прибить старый контроллер. Так вот в процессе подъема 2003 отдельно стоящего сервера до DC в конце выдает ошибку:

Переустановка учетной записи сервера в домене и последующее перезаведение его в AD не привела ни к каким изменениям.

Borland · 10.02.2006, 21:12

AndreyN
А при чём тут переустановка УЗ сервака в домене? Отказано в доступе (к функции повышения роли компа до сервера AD) конкретному пользователю. Проверяй права своего админа. Он должен обладать соответствующей привилегией. Если нету - добавь.

AndreyN · 11.02.2006, 00:36

Я проверял (на сколько хватило мозгов). Все права на месте. Я единственный администратор в схеме. Никому и никогда не перераспределялись права администратора схемы и никакие другие права. На сколько я понимаю, то первый администратор в домене и является самым наиглавнейшим, если только руками ничего потом не на конфигурировать. Вхожу во все мыслимые и немыслимые группы. В групповой политике присутсвуют права на управление схемой. Каким способом можно удостовериться в наличии или отсутсвии прав?
Может просто такая операция не допустима? Сначала может надо поднять сам PDC до 2003-го?

P.S. Операции /forestprep и /domainprep на PDC выполнены. Поддомен убит. Где можно проверить всё ли готово для апгрэйда или создания дополнительного DC на базе 2003-го сервера в имеющемся 2000-м домене?

19.12.2005, 18:03	# 1
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Поднять домен W2K до W2K3. Стала необходимость поднять домен Win200server до 2003-го. Действуя по инструкции выполнил команду ADPREP.EXE /forestprep. Но получил отказ и вот такой протокол. ............................................ Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: CN=UID,CN=Schema,CN=Configuration,DC="корневой домен",DC=local. API-функция LDAP ldap_search_s() завершена, код возврата 0x20 Adprep успешно определил, что службы Microsoft Windows для UNIX (SFU) установлены. В случае обнаружения SFU, adprep убедится в установке исправления Microsoft Q293783 для SFU и продолжит работу. Adprep не может обновить схему на сервере хозяина схемы. Adprep не может обновить данные уровня леса. [Состояние/результат] Для завершения операции Adprep требует доступа к имеющимся данным уровня леса с сервера хозяина схемы. [Действие пользователя] См. дополнительные сведения в файле журнала Adprep.log в каталоге C:\WINNT\system32\debug\adprep\logs\20051219171603. Являясь на DC самым привилегированным Администратором мучаюсь вопросом: если нет прав, то кто я, если не администратор схемы и если я администратор схемы, то "какого" ему еще надо. Домен стоит давно и когда-то у меня был домен второго уровня, который благополучно был убит давным-давно. У меня сложилось такое подозрение, что я это сделал не совсем удачно и хвосты все-таки остались. В AD-Домены и доверие поддомен остался. Вопрос: Как решить проблему №1, поднять домен до уровня 2003-го и мешает ли этому недоубитый домен? W2k StandardEdition SP4 Rus. Спасибо за внимание. P.S. Очень не хочется всё перенастраивать, перезаводить пользователей и перераздавать права. Последний раз редактировалось AndreyN; 19.12.2005 в 18:13.

10.02.2006, 18:17	# 9
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Вроде получилось почистить AD от старых записей. Но переустанавливать сервер пока боюсь. Много работы и выводить на долго (в процессе Upgrad'a могут появиться непредвиденные проблемы) не могу. Пробую создать в имеющемся домене на базе 2000 с версией схемы 30 дополнительный контроллер домена на базе 2003, чтобы т.с. мягко перейти на 2003, а потом просто прибить старый контроллер. Так вот в процессе подъема 2003 отдельно стоящего сервера до DC в конце выдает ошибку: Переустановка учетной записи сервера в домене и последующее перезаведение его в AD не привела ни к каким изменениям. Последний раз редактировалось AndreyN; 10.02.2006 в 18:24.

10.02.2006, 21:12	# 10
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 498	AndreyN А при чём тут переустановка УЗ сервака в домене? Отказано в доступе (к функции повышения роли компа до сервера AD) конкретному пользователю. Проверяй права своего админа. Он должен обладать соответствующей привилегией. Если нету - добавь. __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе

11.02.2006, 00:36	# 11
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Я проверял (на сколько хватило мозгов). Все права на месте. Я единственный администратор в схеме. Никому и никогда не перераспределялись права администратора схемы и никакие другие права. На сколько я понимаю, то первый администратор в домене и является самым наиглавнейшим, если только руками ничего потом не на конфигурировать. Вхожу во все мыслимые и немыслимые группы. В групповой политике присутсвуют права на управление схемой. Каким способом можно удостовериться в наличии или отсутсвии прав? Может просто такая операция не допустима? Сначала может надо поднять сам PDC до 2003-го? P.S. Операции /forestprep и /domainprep на PDC выполнены. Поддомен убит. Где можно проверить всё ли готово для апгрэйда или создания дополнительного DC на базе 2003-го сервера в имеющемся 2000-м домене? Последний раз редактировалось AndreyN; 11.02.2006 в 00:39.

20.12.2005, 09:48	# 2
filonovd Guest Сообщения: n/a	а других контроллеров AD не было раньше? Любит винда выкаблучиваться, если в AD было несколько контроллеров, а потом какой-нить из них пропал (по независящим от AD обстоятельствам).

20.12.2005, 11:33	# 3
deepweb Newbie Регистрация: 20.05.2004 Сообщения: 9	Рекомендую ознакомится со справочной информацией на сайте microsoft.com по AD там всё подробно расписано.

20.12.2005, 12:32	# 4
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Не хочу никого обидеть deepweb, но Вы сами хотя бы раз что-нибудь полезное для себя находили на сайте мелкософта? Например я находил там что-то ценное только опосредовано, через другие сайты и поисковые системы. Знаю, что там написано про AD. Сам Читал книгу MicrosoftPress W2003server, но там описана только нормальная процедура и ситуация с отсутсвием прав. У меня прав хоть отбавляй. Просто за время трехлетней эксплуатации DC накопился багаж как настроек, так и глюков. Я спрашиваю может кто сталкивался с подобной проблемой или просто знает где рыть. Но не смотря ни на что, Спасибо за Внимание.

20.12.2005, 15:41	# 5
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	В процессе поиска решения мысль, что мешает недоубитый домен пока укрепляется. Средсвами ntdsutil попытался почистить AD. Завтра расскажу что из этого вышло.

21.12.2005, 09:43	# 6
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Почистил AD с помощью metadata cleanup и Всё получилось. Ура, товарищи.

08.02.2006, 12:44	# 7
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	Получилось поднять версию схемы до необходимого для обновления до 2003-го сервера уровня, но проблема остается. ПодДомен недоубивается. Остался контекст имени и домен и никак не удаляется. Ругается DsRemoveDsDomainW ошибка 0x2162, а дальше гречкой пишет. Не могу найти описание ошибки у мелкософта.

09.02.2006, 11:55	# 8
AndreyN Member Регистрация: 06.04.2005 Сообщения: 285	В ntdsutil всё-таки получилось удалить сервер, домен и контекст именования. Перегружусь, посмотрю что дальше. Надо ли как-то дефрагментировать, упаковывать, чистить базу AD после таких операций?

Опции темы
Версия для печати Отправить на email