Априори коротко о последствиях, и решение
удаляем старый дополнительный DC
Решение второй ошибки в самом конце поста..
Настройка
Хорошая статья на озоне http://www.oszone.net/3644/#1
http://technet.microsoft.com/ru-ru/library/cc738032(WS.10).aspx
коротко:
1) бэкап серера1
2) настраиваем tcp/ip сервера2 со статическим адресом. Предпочитаемый DNS указывает на сервер1
1) Убедитесь в том, что сервер, на который устанавливается Active Directory, имеет раздел с файловой системой NTFS
2) Убедитесь, что входите в группу «Администраторы домена» того домена, которому необходимо добавить контроллер домена.
3) Перед установкой Active Directory убедитесь в том, что служба DNS правильно настроена. проверка
nslookup
set q=srv
_ldap._tcp.dc._mcdcs.имя_домена_Active_Directory
//---------------
Добавляем на сервер2 роль DNS дополнительного сервера.
Операция не выполнена по следующей причине:
Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Дополнительные сведения о команде Adprep см. в справке Active Directory.
"Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере."
в этом случае нужно обновить версию схемы. она на компакт диске находится cmpnents\r2\adprep\adprep /forestprep
нужно быть членом Администраторы предприятия и Администраторы схемы
У Server 2003 и Server 2003 R2 разные версии леса (30 и 31).
затем запустить управление доменом. добавить роль контроллера. затем днс.
Внимание! нужно отказаться от создания зоны в мастере(нажать отмена и перезапустить компьютер).
дальше настроить TCP/IP всех компьютеров со статическими адресами (контроллеры сервера и тд), добавить в DHCP предустановку DNS сервера IP адрес сервера2. теперь все получившие адреса будут видеть два DNS
открываем консоль управлениями сайтами и службами. выбираем сервер2 в свойствах нужно поставить галку Глобальный каталог.
смотрим лог службы каталогов. через 5 минут появится событие о Глобальном каталоге. дожидаемся репликации и подтверждения принятия роли ГК. Перезагружаем компьютер. Это позволяет при выходе из строя контроллера домена1 работать с актив директоре на контроллере домена2. то есть на сервере2.
Эмулятор PDC самый нужный для клиентов компонент.
чтобы все проверить:
1) выключаем сервер1. перезапускаем компьютер клиента. заходим под доменной учетной записью (заведенной ранее на сервере1). пробуем обратиться к сетевому ресурсу
2) с выключенным сервером1 заводим учетную запись на сервере2. перезапускаем клиента и пробуем сетевые ресурсы.
3) можно попробовать добавить учетную запись на сервер2 затем включить сервер1, через некоторое время выключить сервер2 и перезапустить клиента. проверив как работает клиент.
Переносим DHCP:
экспорт базы данных DHCP на server 2003
на сервере1 выполняем > net stop dhcpserver
Затем вообще отключить службу чтобы больше не запускалась на сервер1
netsh dhcp server export C:\dhcp.txt all
на сервере2 Установить службу DHCP (Установка и удаление программ)
На сервере2 импортируем базу DHCP (пользователь должен быть членом группы Операторы архива)
Войти в учетную запись локального администратора,
выполнить netsh dhcp server import c:\dhcpdatabase.txt all
если отсутствует локальный администратор то нужно перезапустить в режиме восстановления.
Авторизуем DHCP
запустить консоль DHCP
В дереве консоли оснастки DHCP разверните новый сервер DHCP. Красная стрелка в правом нижнем углу объекта сервера указывает на то, что сервер еще не был авторизован.
Правой кнопкой мыши выбрать Авторизавать, через некоторое время опять правой кнопкой Обновить
можно перезапусить компьютер
Решение ошибки 40960
Проблема на майкрософт
их решение:
Если ошибка происходит только после перезагрузки сервера, то, по всей вероятности, одна из служб пытается пройти проверку подлинности, а служба каталогов еще не доступна.
больше ничего…
вот
Если роль компьютера под управлением Windows Server 2003 была повышена до роли контроллера домена с помощью программы Dcpromo.exe, то после перезагрузки компьютера в журнале событий могут появиться записи о следующих событиях:
Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40960
Описание:
Система безопасности обнаружила ошибку проверки подлинности для сервера ldap/dca.acc.local. От протокола проверки подлинности Kerberos получен следующий код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход всеть. (0xc000005e)".
Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40961
Описание:
Системе безопасности не удалось установить защищенное подключение к серверу ldap/dca.acc.local. Отсутствуют доступные протоколы проверки подлинности.
Причина
Это происходит после перезагрузки компьютера, роль которого была повышена до роли контроллера домена. При этом служба времени Windows (W32Time) пытается выполнить проверку подлинности до запуска службы каталогов. Появление данных сообщений не является признаком сбоев в работе компьютера.
Дополнительная информация
Пакет Negotiate Security Package — это специальный поставщик поддержки безопасности (Support Provider Interface, SSP), выступающий в качестве прикладного уровня между интерфейсом поставщика поддержки безопасности (SSPI) и другими поставщиками поддержки безопасности. Когда приложение вызывает интерфейс SSPI для входа участника безопасности в сеть, то может быть указан определенный поставщик поддержки безопасности, который будет обрабатывать этот запрос. Если приложением указан поставщик Negotiate, то он анализирует запрос и выбирает оптимального поставщика поддержки безопасности для обработки запроса. В стандартной конфигурации Windows Server 2003 поставщик Negotiate в первую очередь отправляет запрос на вход протоколу Kerberos, поскольку этот протокол проверки подлинности, помимо прочего, поддерживает взаимную проверку подлинности. Если Kerberos не может обработать запрос, поставщик Negotiate обращается к протоколу NTLM. Если же Kerberos обрабатывает запрос и он не проходит проверку подлинности, то поставщик Negotiate не обращается к протоколу NTLM. Вместо этого поставщик Negotiate регистрирует событие с кодом 40960 в журнале системных событий, включая в него сообщение об ошибке, возвращенное протоколом Kerberos для объяснения причин неудачного входа.
Событие 40960 содержит только текст ошибки, возвращенной протоколом Kerberos. В нем не регистрируется имя участника безопасности или имя клиентского компьютера. Для получения этих сведений необходимо включить аудит пользовательских ошибок входа в систему. Событие, регистрирующееся одновременно с событием SPNEGO при ошибке входа в систему, содержит дополнительные сведения о произошедшем сбое.
_________________
удаляем старый дополнительный DC
**************************************
support.microsoft.com/kb/255504/ru
FSMO
с помощью ntdsutil.exe
maintenance
support.microsoft.com/kb/255504/ru
FSMO
с помощью ntdsutil.exe
maintenance
ошибка LDAP_modify_s
seize infrastructure master
seize schrma master
seize infrastructure master
seize schrma master
Если вторичный отключить то при загрузке первого DC будет неработать DHCP (надо запустить) и ошибки: не найден путь к DHCP ID:1059 и 40960:
обсуждались здесь
обсуждались здесь
Система безопасности обнаружила ошибку проверки подлинности сервера ldap/GAMMA. Полученный от протокола проверки подлинности Kerberos код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
(0xc000005e)".
решение, правой кнопкой на DHCP, список авторизованных DHCP серверов, выберите не используемый и нажмите запретить.
Решение второй ошибки в самом конце поста..
Настройка
Хорошая статья на озоне http://www.oszone.net/3644/#1
http://technet.microsoft.com/ru-ru/library/cc738032(WS.10).aspx
коротко:
1) бэкап серера1
2) настраиваем tcp/ip сервера2 со статическим адресом. Предпочитаемый DNS указывает на сервер1
1) Убедитесь в том, что сервер, на который устанавливается Active Directory, имеет раздел с файловой системой NTFS
2) Убедитесь, что входите в группу «Администраторы домена» того домена, которому необходимо добавить контроллер домена.
3) Перед установкой Active Directory убедитесь в том, что служба DNS правильно настроена. проверка
nslookup
set q=srv
_ldap._tcp.dc._mcdcs.имя_домена_Active_Directory
//---------------
Добавляем на сервер2 роль DNS дополнительного сервера.
Операция не выполнена по следующей причине:
Продолжение работы мастера установки Active Directory невозможно, поскольку лес не подготовлен для установки Windows Server 2003. Воспользуйтесь командой Adprep для подготовки леса и домена. Дополнительные сведения о команде Adprep см. в справке Active Directory.
"Версия схемы Active Directory исходного леса несовместима с версией Active Directory на этом компьютере."
в этом случае нужно обновить версию схемы. она на компакт диске находится cmpnents\r2\adprep\adprep /forestprep
нужно быть членом Администраторы предприятия и Администраторы схемы
У Server 2003 и Server 2003 R2 разные версии леса (30 и 31).
затем запустить управление доменом. добавить роль контроллера. затем днс.
Внимание! нужно отказаться от создания зоны в мастере(нажать отмена и перезапустить компьютер).
дальше настроить TCP/IP всех компьютеров со статическими адресами (контроллеры сервера и тд), добавить в DHCP предустановку DNS сервера IP адрес сервера2. теперь все получившие адреса будут видеть два DNS
открываем консоль управлениями сайтами и службами. выбираем сервер2 в свойствах нужно поставить галку Глобальный каталог.
смотрим лог службы каталогов. через 5 минут появится событие о Глобальном каталоге. дожидаемся репликации и подтверждения принятия роли ГК. Перезагружаем компьютер. Это позволяет при выходе из строя контроллера домена1 работать с актив директоре на контроллере домена2. то есть на сервере2.
Эмулятор PDC самый нужный для клиентов компонент.
чтобы все проверить:
1) выключаем сервер1. перезапускаем компьютер клиента. заходим под доменной учетной записью (заведенной ранее на сервере1). пробуем обратиться к сетевому ресурсу
2) с выключенным сервером1 заводим учетную запись на сервере2. перезапускаем клиента и пробуем сетевые ресурсы.
3) можно попробовать добавить учетную запись на сервер2 затем включить сервер1, через некоторое время выключить сервер2 и перезапустить клиента. проверив как работает клиент.
Переносим DHCP:
экспорт базы данных DHCP на server 2003
на сервере1 выполняем > net stop dhcpserver
Затем вообще отключить службу чтобы больше не запускалась на сервер1
netsh dhcp server export C:\dhcp.txt all
на сервере2 Установить службу DHCP (Установка и удаление программ)
На сервере2 импортируем базу DHCP (пользователь должен быть членом группы Операторы архива)
Войти в учетную запись локального администратора,
выполнить netsh dhcp server import c:\dhcpdatabase.txt all
если отсутствует локальный администратор то нужно перезапустить в режиме восстановления.
Авторизуем DHCP
запустить консоль DHCP
В дереве консоли оснастки DHCP разверните новый сервер DHCP. Красная стрелка в правом нижнем углу объекта сервера указывает на то, что сервер еще не был авторизован.
Правой кнопкой мыши выбрать Авторизавать, через некоторое время опять правой кнопкой Обновить
можно перезапусить компьютер
Решение ошибки 40960
Проблема на майкрософт
их решение:
Если ошибка происходит только после перезагрузки сервера, то, по всей вероятности, одна из служб пытается пройти проверку подлинности, а служба каталогов еще не доступна.
больше ничего…
вот
Если роль компьютера под управлением Windows Server 2003 была повышена до роли контроллера домена с помощью программы Dcpromo.exe, то после перезагрузки компьютера в журнале событий могут появиться записи о следующих событиях:
Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40960
Описание:
Система безопасности обнаружила ошибку проверки подлинности для сервера ldap/dca.acc.local. От протокола проверки подлинности Kerberos получен следующий код ошибки: "Отсутствуют серверы, которые могли бы обработать запрос на вход всеть. (0xc000005e)".
Тип: Предупреждение
Источник: LSASRV
Категория: SPNEGO (Negotiator)
Код (ID): 40961
Описание:
Системе безопасности не удалось установить защищенное подключение к серверу ldap/dca.acc.local. Отсутствуют доступные протоколы проверки подлинности.
Причина
Это происходит после перезагрузки компьютера, роль которого была повышена до роли контроллера домена. При этом служба времени Windows (W32Time) пытается выполнить проверку подлинности до запуска службы каталогов. Появление данных сообщений не является признаком сбоев в работе компьютера.
Дополнительная информация
Пакет Negotiate Security Package — это специальный поставщик поддержки безопасности (Support Provider Interface, SSP), выступающий в качестве прикладного уровня между интерфейсом поставщика поддержки безопасности (SSPI) и другими поставщиками поддержки безопасности. Когда приложение вызывает интерфейс SSPI для входа участника безопасности в сеть, то может быть указан определенный поставщик поддержки безопасности, который будет обрабатывать этот запрос. Если приложением указан поставщик Negotiate, то он анализирует запрос и выбирает оптимального поставщика поддержки безопасности для обработки запроса. В стандартной конфигурации Windows Server 2003 поставщик Negotiate в первую очередь отправляет запрос на вход протоколу Kerberos, поскольку этот протокол проверки подлинности, помимо прочего, поддерживает взаимную проверку подлинности. Если Kerberos не может обработать запрос, поставщик Negotiate обращается к протоколу NTLM. Если же Kerberos обрабатывает запрос и он не проходит проверку подлинности, то поставщик Negotiate не обращается к протоколу NTLM. Вместо этого поставщик Negotiate регистрирует событие с кодом 40960 в журнале системных событий, включая в него сообщение об ошибке, возвращенное протоколом Kerberos для объяснения причин неудачного входа.
Событие 40960 содержит только текст ошибки, возвращенной протоколом Kerberos. В нем не регистрируется имя участника безопасности или имя клиентского компьютера. Для получения этих сведений необходимо включить аудит пользовательских ошибок входа в систему. Событие, регистрирующееся одновременно с событием SPNEGO при ошибке входа в систему, содержит дополнительные сведения о произошедшем сбое.
_________________
Комментарии
Отправить комментарий