Главная » Прочее

Повысить_режим_работы_леса_2012

Содержание
  1. Повысить режим работы леса 2012
  2. Ответы
  3. Записки IT специалиста
  4. Дополнительные материалы:
  5. Повысить режим работы леса 2012
  6. Ответы
  7. Все ответы

Повысить режим работы леса 2012

При повышении режима работы леса контроллеры домена до 2012R2 выдает ошибку @The ntds-dsa object ‘cn=ntds settings, CN=LostAndFoundConfig,CN=Configuration,DC=aaa,DC=local’ is not properly configured and is preventing the forest functional level form being raised. It refers to the Active Directory Domain Controller ‘HDC2\0ADEL:79F32456-2797-4013-89c6-a38095009bba’. If this AD DC is off-line, then bringing it back on line may cause replication that will repair the configuration. Otherwise delete this object using the ADSI Edit MMC snapin or a similar tool.@

Указанный Домен Контроллер не существует, его удалили до меня. ADSI смотрел вроде бы хвосты не остались. В ntdsutil тоже смотрел его там тоже нет. Что посоветоваети?

Ответы

При повышении режима работы леса контроллеры домена до 2012R2 выдает ошибку @The ntds-dsa object ‘cn=ntds settings, CN=LostAndFoundConfig,CN=Configuration,DC=aaa,DC=local’ is not properly configured and is preventing the forest functional level form being raised. It refers to the Active Directory Domain Controller ‘HDC2\0ADEL:79F32456-2797-4013-89c6-a38095009bba’. If this AD DC is off-line, then bringing it back on line may cause replication that will repair the configuration. Otherwise delete this object using the ADSI Edit MMC snapin or a similar tool.@

Указанный Домен Контроллер не существует, его удалили до меня. ADSI смотрел вроде бы хвосты не остались. В ntdsutil тоже смотрел его там тоже нет. Что посоветоваети?

И удалили его удивительно кривыми руками — так что его подобъект NTDS Settings (содержащий параметры контроллера домена) не был удалён, и попал (как и полагается объектам, родительский объект которых был внезапно удален) в папку Lost&Found. В результате в объекте домена и др. остались ссылки на этот, осиротевший, объект. Наверное, самое простое, что можно сделать в этой ситуации — удалить объект cn=ntds settings, CN=LostAndFoundConfig,CN=Configuration,DC=aaa,DC=local через ADSIEdit. Если это получится, то ссылки на него из других объектов AD тоже должны быть удалены (однако я это не гарантирую), и вы сможете поднять уровень домена. PS Если у вас уровень леса Win2K8 R2 и включена корзина, то можете удалять совсем смело — вы ничего не теряете. В противном случае имеет смысл потратить минут 15 времени и зафиксировать все (по крайней мере — доступные для записи) свойства удаляемого объекта, чтобы, в случае чего, восстановить его. Слава России!

Источник

Записки IT специалиста

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Читайте также:  Клубника_вредители_нет_ягод

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

  • Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.
  • Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

AD-schema-update-001.jpg

Однако при попытке добавить новый контроллер домена мы получим ошибку:

AD-schema-update-002.jpg

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке \support\adprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы данная утилита должна быть запущена на Хозяине схемы. Чтобы узнать какие из контроллеров имеют необходимую нам роль FSMO воспользуемся командой:

Читайте также:  Чай_бруснивер_при_беременности_от_чего

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории \support\tools

AD-schema-update-003.jpg

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

AD-schema-update-004.jpg

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку \support\adprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

  • Администраторы схемы
  • Администраторы предприятия
  • Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

AD-schema-update-005.jpg

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

AD-schema-update-006.jpg

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена выполняем команду:

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

С:\adprep\adprep /domainprep /gpprep

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований должен быть доступен.

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

AD-schema-update-008.jpg

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Дополнительные материалы:

  1. Службы каталогов. Часть 1 — Общие понятия
  2. Службы каталогов. Часть 2 — Реализации служб каталогов
  3. Службы каталогов. Часть 3 — Структура Active Directory
  4. Active Directory — от теории к практике. Часть 1 — общие вопросы
  5. Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
  6. Active Directory — от теории к практике. Часть 3 — настройка DHCP
  7. Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
  8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
  9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
  10. Синхронизация времени Active Directory с внешним источником
  11. Обновление схемы Active Directory
  12. Управление ролями FSMO при помощи Ntdsutil
  13. Управление ролями FSMO с помощью PowerShell
  14. Восстанавливаем доверительные отношения в домене
  15. Очистка метаданных контроллера домена в Active Directory
Читайте также:  Вакуумирование_ягод_перед_заморозкой

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

Источник

Повысить режим работы леса 2012

День добрый, кто нить сталкивался с таким. Перекопав интернет, прихожу к мысли что повысить до 2012r2 ни как уже, если сервер был был мигрирован с 2008r2 (по ошибкам ни чего нет, с репликациями все в норме)

Ответы

Зачем копать интернет? Нажмите кнопку «Сохранить как» и посмотрите получившийся файл — там всё написано, что и почему. Если непонятно, выкладывайте содержимое файла сюда, подскажем. Слава России!

Если он или они (2008R2) все еще выполняет роль контроллеров домена, то поднять уровень домена и леса вы сможете только после того как понизите его или их до рядового сервера домена.

А выключать контроллер 2008r2 тоже не имеет смысла т.к. он по прежнему и исправно выполняет свои функции.

И, главное, выключать его для повышения функционального уровня бесполезно, т.к. в AD он всё равно останется, и там будет указана его версия ОС.
Слава России!

Какая на нём версия ОС? PS Ни в коем случае ничего не удаляйте, пока не убедитесь (лучше всего с помощью Службы поддержки Microsof) , что это абсолютно необходимо. Слава России!

Повышение не является обязательным, за исключением случаев, когда вам необходим функционал, работающий только с определенным уровнем домена/леса. А выключать контроллер 2008r2 тоже не имеет смысла т.к. он по прежнему и исправно выполняет свои функции.

Windows Server 2008 R2 Enterprise 6.1 (7601) Если более развернуто: 2 сервера 2008r2 и 2012r2. Была произведена миграция с 08 на 12. Миграция по всем показателям правильная и без ошибок. Все роли были переданы на 12. Сервер 08 пока что остается включенным из-за сложности сети офиса. После миграции и все х настроек остался нерешенным этот шаг с повышением домена до 2012r2////

Этот шаг можно выполнить, только если в лесу не останется контроллеров версии ниже, чем 2012r2
Слава России!

  • Предложено в качестве ответа Антон Петров 6 августа 2015 г. 12:31
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 3 сентября 2015 г. 13:24

Все ответы

Нажмите кнопку «Сохранить как» и посмотрите получившийся файл — там всё написано, что и почему.

Если непонятно, выкладывайте содержимое файла сюда, подскажем.

Источник

Оцените статью
© 2024 Про дачу