• AD 2008 2012 Windows ? Проболжаю ебаться по-тихоньку с той задачкой, пару постов назад.
    Дак вот. Есть свинсервер 2012, введенный в домен есть контроллер домена винсервер 2008 r2.
    Делаю Replica Domain Controller на 2012-м. Установил службы Actrive Diretory в 2012-м. Делаю пункт "Развертывание" из этого мануала — technet.microsoft.com
    Застрял на пункте "Установить". Самый последний в моменте когда повышение уровня 2012-го винсервера идет. Нельзя нажать, потому что пользователь, которого я указывал в этих пунктах, "Не находится в группах Администраторы схемы и Администраторы предприятия".
    Пошел посмотреть на контроллере, мой пользователь там состоит в этих группах, ну и + в группе Администраторы домена, естественно в ней состою.
    Вопрос, почему 2012-ый считает что я в них не состою? Как с этим бороться?

Replies (36)

  • @nixon89, Решилось все это тем, что я в шагах выполнения добавления replica domain controller от имени ЛОКАЛЬНОГО администратора компьютера, который сейчас является контроллером домена! Кто бы мог подумать.
  • @nixon89, реплика — это второй контроллер домена?
  • @nixon89, вообще если честно описал ты все так, что я ничего не понял(
    хотя вроде специализируюсь по данной тематике
  • @k1lg0reTr0ut, да, второй контроллер домена. на сайте мелкософта это называется replica domain controller
  • @nixon89, короче вчера нажал установит, обрадовался, что он дал мне нажать эту ссаную конопку и пошел спать. сегодня утром прихожу, смотрю в виртуалке — а там все еще "установка...". подумалось мне, что хуйня какая-то(.
    отменил сейчас всё, буду по новой то же самое пробовать сделать.

    У тебя есть идеи?
  • @nixon89, да хз. обычно просто ввожу в домен, потом устанавливаю туда роль контроллера домена в существующем лесу. некст некст финишь, ребут
  • @k1lg0reTr0ut, там указаны логи. смотри в них. должно быть что-то
  • @k1lg0reTr0ut, у меня застряла установка на шаге "Создание параметров объекта NTDSA для данного контроллера домена Active Directory на удаленном контроллере домена Active Directory %my_dc_name%"
    То есть оно не может на главном контроллере какие-то параметры создать, типа прав не хватает или еще чего?
  • @nixon89, группа Enterprise admins есть?
    и посмотри, может из схемы админов тебя выбрасывает.
    но.
    1. для установки нового контроллера в лесу не нужно прав админа схемы кажется, схема не расширяется. она расширяется, если уровень леса поднимаешь.
    2. какой уровень леса сайчас?
    3. сколько других контроллеров?
  • @k1lg0reTr0ut, на админов схемы обычно рестрикшн полиси накладывают. политиками накатывается и каждый раз членство сбрасывается
  • @k1lg0reTr0ut, енетрпрайз админс — администраторы предприятия? такая группа есть.
    всмысле из схемы админов выбрасывает? из администраторов схемы? у меня мой пользователь, и тот от имени которого я провожу установку роли контроллера домена — они оба состоят в группа администраторы схемы, администраторы предприятия, администраторы домена.
    режим работы леса и режим работы домена одинаковые — 2008 r2.
    других контроллеров нету. этот единственный %ooops%
    ----
    я вроде понял что я пропустил. adprep не сделал -_-
  • @k1lg0reTr0ut, можешь поподробнее рассказать что это или ссылкой кинуть?
  • @nixon89, стоп
  • @k1lg0reTr0ut, стою
  • @nixon89, смотри. никакого adprep не надо.
    там вообще какая-то странная инструкция.
    1. установал серверную винду.
    2. добавил ее в домен.
    3. установил ADDS роль.
    4. там сверху справа в сервер менеджере есть флажок. там всякие уведомления. там будет типа что вы установили роль и нажмите теперь для запуска утилиты эту ссылку.
    запускается утилита. выбираешь существующий домен и т д. уровень леса не трогаешь, если он там есть. вроде не должно быть.
    днсом должен быть прописан только первый контроллер домена.
    и как бы все. нет проблем
  • @k1lg0reTr0ut, ага. но как видишь оно ntdsa этот не может на мастере сделать
  • @nixon89, ты точно не под локальным админом сидишь?
    нужно именно под администратором домена это делать.
    если под админом домена не работает, создай новую учетку, добавь ее в админы домена и попробуй от нее
  • @k1lg0reTr0ut, в 2012-ый я захожу под своей доменной учеткой, так как 2012-ый я ввел в домен уже.
    в пунктах про повышение роли домена — я указываю учетку администратора домена по умолчанию которая создается, на 2008-м контроллере домена. ибо от моей учетки не дает сделать(
    попробую сейчас создать новую учетку, добавить в нужные группы и от нее запустить.
  • @nixon89, я помню, что там нужно только пароль задать для DSRM(для ресторе моде)
  • @k1lg0reTr0ut, blogs.technet.com
    попробуй эту. я хз, что у тебя не так выходит, но это более понятно
  • @k1lg0reTr0ut, у меня особенность при установке — даже есть поставить роль dns на новый контроллер домена (который 2012-ый), то во время шагов по повышению роли контроллера 2012-го — галка на dns-сервере не встает.
    а в этой инструкции встает, судя по картинкам. хотя они тоже только установили роль днс, но не настраивали ее.
  • @nixon89, днс устанавливается всегда на контроллер.
    вобщем, если честно, даже хз, что у тебя там за такая специфика
  • @k1lg0reTr0ut, так то интересная задачка
  • @k1lg0reTr0ut, мастер по повышению роли до контроллера в 2012 сказал, что майкрософт рекомендует чтобы роль днс находилась на каждом контроллере для большей доступности, но это отнюдь не обязательное условие
  • @nixon89, пока у меня тут мозг немного вспух, спрошу здесь, правильно ли я сейчас понимаю что мне нужно сделать, чтобы избавить от 2008-го и перебрать на 2012 сервер.
    из важного: нужно передать роль FSMO, DNS на 2012. остальное не критично, я так понимаю.
    DHCP у меня в другом месте лежит. Файлопомойка перенесена в другое место уже.
    Вроде ничего КРИТИЧЕСКИ важного не упустил ведь, да?
  • @nixon89, не обязательное, но днс вообще не мешает никак. поэтому обычно ставят.
  • @nixon89, 1. Роли FSMO. их 5. передаешь их новому контроллеру, выпиливыешь по инструкции старый. можно выпилить н еправильно. но и тут почистить можно. но хлопотно.
    2. днсп тоже можно на контроллере держать. если он у тебя виндовый конечно.
    3. контроллеров должно быть 2. на каждом из них пусть крутится днс. вообще не критично. нет машин, подними из говна и палок виртуалку. контроллер ресурсы не ест.
    4. файлопомойку прикольно на dfs держать. и тут контроллер тоже вполне себе справляется.
  • @k1lg0reTr0ut, 1. нашел про передачу ролей с помощью ntdsutil
    2. dhcp & dns в керио живет.
    3. два контроллера планируется в будущем, когда докупим лицензий.
    4. про dfs слышал, но особо не вникал( надо почитать бы
  • @nixon89, да вот хз, насчет керио днс не знаю, но виндовый вполне себе норм справляется. инфу хранит в ад(может и не в ад), реплицируется между контроллерами на ура.
    dfs позволяет сделать некую отказоустойчивость, работает репликация и т д. но проблемы с dfs бывают)
  • @k1lg0reTr0ut, керио необходим, потому что сертифицирован и т д?
  • @k1lg0reTr0ut, да, потому что сертифирован. был вариант конечно фстэковскую фиску брать, но она слишком оверпрайс получалась по деньгам по сравнению с керио
  • @nixon89, s/фиску/циску
  • @nixon89, ясно. вот и приходится неуклюжим гавном пользоваться. у меня тоже такое намечалось, но пронесло
  • @k1lg0reTr0ut, не, ну юниксовый вариант керио мне понравился, и по железу не требователен. жду когда они его фстэком аттестуют
  • @nixon89, ну сам факт навязывания ПО неприятен
  • @k1lg0reTr0ut, ну и у них лицензирование по пользователем мне по нраву. только по активным в данный момент пользователям. их число не должно превышать количество купленных польхзовательских лицензий.