Aiuto Migragione server, non si è replicato del tutto

[almaxy]

ho un urgente bisogno di qualcuno di voi che mi aiuti ...
devo cambiare server che mi fa di DOMINIO con uno nuovo, sono stati creati account, Pc, polices e qualcos'altro ...
ho eseguito la procedura iniziando con CDPROMO, trasferimento del GC e trasferimento dei ruoli master .... tutto sembra essere andato per il meglio .. Active Dir., replicato DNS reeplicato (WINS non è attivo già sul server1) ....quando spengo il Server1 tutti gli utenti entrano ma hanno problemi di rete... es. non ci accedono +, a me comwe amministratore vnon mi fa più entrare perchè dice che non vede + il dominio... come mai?
cosa ho dimenticato?
Ho notato che sul server1 ci sono delle polices su sysvol che su Server2 non ci sono.... BOOOOOO
Grazie 10000
p.s. spreo di essermi spiegato

[almaxy]

Quote:

Originariamente inviato da almaxy

ho un urgente bisogno di qualcuno di voi che mi aiuti ...
devo cambiare server che mi fa di DOMINIO con uno nuovo, sono stati creati account, Pc, polices e qualcos'altro ...
ho eseguito la procedura iniziando con CDPROMO, trasferimento del GC e trasferimento dei ruoli master .... tutto sembra essere andato per il meglio .. Active Dir., replicato DNS reeplicato (WINS non è attivo già sul server1) ....quando spengo il Server1 tutti gli utenti entrano ma hanno problemi di rete... es. non ci accedono +, a me comwe amministratore vnon mi fa più entrare perchè dice che non vede + il dominio... come mai?
cosa ho dimenticato?
Ho notato che sul server1 ci sono delle polices su sysvol che su Server2 non ci sono.... BOOOOOO
Grazie 10000
p.s. spreo di essermi spiegato

UP!

[hmetal]

vuol dire che ci sono stati problemi sulle repliche e/o il nuovo server non ha il ruolo di global catalog, cioè ha solo una copia parziale di AD.

Per problemi di questo tipo mediamente, e non ce se ne accorge subito, ci si gioca il dominio, per cui ti consiglio vivamente di rivolgerti ad una ditta o un sistemista freelance che ci dia un occhiata.

[almaxy]

Quote:

Originariamente inviato da hmetal

vuol dire che ci sono stati problemi sulle repliche e/o il nuovo server non ha il ruolo di global catalog, cioè ha solo una copia parziale di AD.

Per problemi di questo tipo mediamente, e non ce se ne accorge subito, ci si gioca il dominio, per cui ti consiglio vivamente di rivolgerti ad una ditta o un sistemista freelance che ci dia un occhiata.

il global catalog sul nuovo server è spuntato
io non posso fare nulla? dietro vostro consiglio, perchè chiamare una ditta in questo momento non è possibile ...

[Squalo71]

Controlla nell'event viewer se ci sono errori relativi all'Active Directory..
Comunque hai rimosso il vecchio server dall'AD? Controlla anche che sia assegnato il ruolo di Root Schema (o qualcosa di simile, non ricordo) al nuovo server.
Se hai solo spento il vecchio server, ma è ancora "vivo" nell'AD e non lo hai formattato, riaccendilo e fai il demote con DCPromo.

[almaxy]

Quote:

Originariamente inviato da Squalo71

Controlla nell'event viewer se ci sono errori relativi all'Active Directory..
Comunque hai rimosso il vecchio server dall'AD? Controlla anche che sia assegnato il ruolo di Root Schema (o qualcosa di simile, non ricordo) al nuovo server.
Se hai solo spento il vecchio server, ma è ancora "vivo" nell'AD e non lo hai formattato, riaccendilo e fai il demote con DCPromo.

Il demote non l'ho fatto perchè quel server lo voglio ancora utilizzare, come server secondario per altri fini, a me interessa cmq che il server nuovo assuma il controllo totale e che i server vecchio sia acceso o spento non faccia alcun caso ...

P.S. Dimenticavo ... cosa è questo "Root Schema" ???

[Squalo71]

Quote:

Originariamente inviato da almaxy

Il demote non l'ho fatto perchè quel server lo voglio ancora utilizzare, come server secondario per altri fini, a me interessa cmq che il server nuovo assuma il controllo totale e che i server vecchio sia acceso o spento non faccia alcun caso ...

P.S. Dimenticavo ... cosa è questo "Root Schema" ???

E allora se vuoi continuare a usarlo, ma non deve avere funzioni di domain controller, DEVI fare il demote con DCpromo. Una volta fatto il demote ti resta il server in AD, senza funzioni di controller, ma semplicemente come member server.

Ho sbagliato, intendevo lo Schema Master.

[almaxy]

Quote:

Originariamente inviato da Squalo71

E allora se vuoi continuare a usarlo, ma non deve avere funzioni di domain controller, DEVI fare il demote con DCpromo. Una volta fatto il demote ti resta il server in AD, senza funzioni di controller, ma semplicemente come member server.

Ho sbagliato, intendevo lo Schema Master.

...io vorrei che avesse ancora funzioni di domain controller

[Squalo71]

Quote:

Originariamente inviato da almaxy

...io vorrei che avesse ancora funzioni di domain controller

Allora: in AD non esiste più il concetto di Primary Domain controller e Backup Domain Controller, ma solo Domain controller, con la differenza che il primo DC prende anche il ruolo di Schema Master.
Sposta il ruolo di schema master sul nuovo server e lascia tutto così com'è.
Controlla che nell'event viewer relativo a AD non ci siano errori, ed eventualmente risolvili con una ricerchina su google o microsoft.

Ad esempio cercando su google "transfer schema master" ecco il primo risultato:
http://support.microsoft.com/kb/324801

[hmetal]

altra cosa: ai dc Microsoft non piace molto che gli altri dc si spengano e si riaccendano cosi, perche la mancata o sporca replica per tante volte porta a molti problemi, anche sul dc che è rimasto sempre acceso.

Quindi

se vuoi continuare a usare il server come server ma non dc, fai il demote che praticamente serve solo a togliere Ad su quel server e dire agli altri dc che lui dc non lo è piu, altrimenti cercheranno sempre di replicarsi.

[almaxy]

Quote:

Originariamente inviato da Squalo71

Allora: in AD non esiste più il concetto di Primary Domain controller e Backup Domain Controller, ma solo Domain controller, con la differenza che il primo DC prende anche il ruolo di Schema Master.
Sposta il ruolo di schema master sul nuovo server e lascia tutto così com'è.
Controlla che nell'event viewer relativo a AD non ci siano errori, ed eventualmente risolvili con una ricerchina su google o microsoft.

Ad esempio cercando su google "transfer schema master" ecco il primo risultato:
http://support.microsoft.com/kb/324801

... i 5 ruoli li avevo già trasferiti sul nuovo server...

[slowped]

Quote:

Originariamente inviato da almaxy

... i 5 ruoli li avevo già trasferiti sul nuovo server...

Allora l'unica cosa rimasta da provare è, come già suggerito in precedenza, il demote del vecchio controller al ruolo di member server e poi (se vuoi che comunque continui a rivestire il ruolo controller di dominio) promuoverlo nuovamente.

[almaxy]

Quote:

Originariamente inviato da almaxy

... i 5 ruoli li avevo già trasferiti sul nuovo server...

Quote:

Originariamente inviato da slowped

Allora l'unica cosa rimasta da provare è, come già suggerito in precedenza, il demote del vecchio controller al ruolo di member server e poi (se vuoi che comunque continui a rivestire il ruolo controller di dominio) promuoverlo nuovamente.

... grazie atutti per la collaborazione, riapro la discussione perchè da allora non ho fatto più nulla ... per vari motivi
Ricapitolando, sul nuovo server ho fatto la procedura con DCPROMO, a tutti e due i server ho spuntato il GC, al nuovo server ho trasferito i 5 ruoli, non so se ho dimenticato qualcosa ...
dimenticavo una cosa, credo, molto importante: sul primo server sono rimasti condivisi la cartella SYSVOL, e NETLOGON, cosa che manca al nuovo server (in realtà dovrebbero essere 2 ma al momento lasciamo stare)... e ho notato che qualsiasi utente della rete in qualsiasi istante, l'account legge delle informazioni nella cartella SYSVOL (credo che all'interno ci siano informazioni riguardanti i GPO) .... cosa si può fare a riguardo?
Se spengo il vecchio server il DOMINIO e come se non esistesse +, il nuovo server vede sempre AD solo se lo carico io forzatamente ... e comunque si possono mettere PC sotto il Dominio .... spero di essermi spiegato ....
fare il demote mi spaventa un pò
Grazie 1000
Spero che qualcuno mi sappia dare una risposta

[slowped]

Quote:

Originariamente inviato da almaxy

il nuovo server vede sempre AD solo se lo carico io forzatamente

???

Quote:

Originariamente inviato da almaxy

spero di essermi spiegato ....

Forse ti sei spiegato ma io non ho capito che cosa significa caricare forzatamente AD.

In ogni caso, per come la vedo io, le strutture dati di AD sono evidentemente corrotte. Io farei in questo modo:

1) disinstallerei AD da tutti i server tranne che sul server originale
2) usando dcdiag fareai una diagnosi dello stato di AD
3) in caso di errori riportati nel passo precedente, cercherei di correggerli
4) ripeterei i passi 2) e 3) fino a quando dcdiag non darà più errori
5) installerei AD con dcpromo sui nuovi server assicurandomi che il promote e il trasferimento dei ruoli (compreso il GC) vada a buon fine

[lupotto]

Ciao, innanzi tutto alcuni consigli:

1) 2 DC almeno per ogni dominio della tua foresta con relativo dns.
2) tutti gli sfmo non sullo stesso server, e mai l'infrastructure master assieme al global catalog, a meno che tutti i dc del dominio siano global catalog, in quel caso diventa irrilevante dove lo piazzi, inoltre dei 5 fsmo 2 sono a livello foresta e tre di dominio, quelli a livello di foresta, ossia lo schema master e il domain naming master, possono star fuori linea anche per mesi, a patto che tu non debba aggiungere un nuovo dominio o fare modifiche allo schema.

Il global catalog non è un ruolo fsmo, per definizione fsmo significa "Flexible Single Master Operations" sono in tutto 5, due a livello di foresta e 3 a livello di dominio come detto prima, quindi devi avere un singolo pdc emulator a dominio, ma puoi avere "n" global catalog; il global catalog è una replica parziale degli attributi ti tutti gli oggetti AD (user computer gruppi etc) in ogni dominio della foresta, immaginalo come l'elenco telefonico di active directory e serve essenzialmente a velocizzare le query sul db di active directory, ma fa anche altre cose.

Venendo al tuo problema, microsoft ti mette a disposizione due tool per verificare le repliche fra dc, il primo a riga di comando è "repadmin", il secondo invece è un tool grafico che è "replmon" che puoi scaricare dal sito della microsoft.

I due dc devi tenerli sempre accesi, poichè entrambi devono sincronizzare le proprie copie del database AD fra loro, i dc dal 2000 in poi sono di tipo peer

Venendo al tuo problema posta gli errori di replica è poi ci si ragiona, un'ultima cosa anche i dc hanno la password computer come gli utenti e gli altri pc e server del dominio, questa viene cambiata in automatico di default ogni 21 giorni, e il sistema si autentica al dominio attraverso il servizio "netlogon", se il tuo dc è rimasto fuori linea molto tempo è probabile che la sua password sia scaduta e quindi non entri più nel dominio.

Puoi comunque resettare la password di un dc, il comando è:

netdom resetpwd /"opzioni varie"

C'è comunque la knowledge della microsoft relativa al comando che spiega tutto.

[almaxy]

Quote:

Originariamente inviato da slowped

???



Forse ti sei spiegato ma io non ho capito che cosa significa caricare forzatamente AD.

In ogni caso, per come la vedo io, le strutture dati di AD sono evidentemente corrotte. Io farei in questo modo:

1) disinstallerei AD da tutti i server tranne che sul server originale
2) usando dcdiag fareai una diagnosi dello stato di AD
3) in caso di errori riportati nel passo precedente, cercherei di correggerli
4) ripeterei i passi 2) e 3) fino a quando dcdiag non darà più errori
5) installerei AD con dcpromo sui nuovi server assicurandomi che il promote e il trasferimento dei ruoli (compreso il GC) vada a buon fine

Quote:

Originariamente inviato da lupotto

Ciao, innanzi tutto alcuni consigli:

1) 2 DC almeno per ogni dominio della tua foresta con relativo dns.
2) tutti gli sfmo non sullo stesso server, e mai l'infrastructure master assieme al global catalog, a meno che tutti i dc del dominio siano global catalog, in quel caso diventa irrilevante dove lo piazzi, inoltre dei 5 fsmo 2 sono a livello foresta e tre di dominio, quelli a livello di foresta, ossia lo schema master e il domain naming master, possono star fuori linea anche per mesi, a patto che tu non debba aggiungere un nuovo dominio o fare modifiche allo schema.

Il global catalog non è un ruolo fsmo, per definizione fsmo significa "Flexible Single Master Operations" sono in tutto 5, due a livello di foresta e 3 a livello di dominio come detto prima, quindi devi avere un singolo pdc emulator a dominio, ma puoi avere "n" global catalog; il global catalog è una replica parziale degli attributi ti tutti gli oggetti AD (user computer gruppi etc) in ogni dominio della foresta, immaginalo come l'elenco telefonico di active directory e serve essenzialmente a velocizzare le query sul db di active directory, ma fa anche altre cose.

Venendo al tuo problema, microsoft ti mette a disposizione due tool per verificare le repliche fra dc, il primo a riga di comando è "repadmin", il secondo invece è un tool grafico che è "replmon" che puoi scaricare dal sito della microsoft.

I due dc devi tenerli sempre accesi, poichè entrambi devono sincronizzare le proprie copie del database AD fra loro, i dc dal 2000 in poi sono di tipo peer

Venendo al tuo problema posta gli errori di replica è poi ci si ragiona, un'ultima cosa anche i dc hanno la password computer come gli utenti e gli altri pc e server del dominio, questa viene cambiata in automatico di default ogni 21 giorni, e il sistema si autentica al dominio attraverso il servizio "netlogon", se il tuo dc è rimasto fuori linea molto tempo è probabile che la sua password sia scaduta e quindi non entri più nel dominio.

Puoi comunque resettare la password di un dc, il comando è:

netdom resetpwd /"opzioni varie"

C'è comunque la knowledge della microsoft relativa al comando che spiega tutto.

Non finirò mai ringraziarvi per la vostra assistenza ...
ho fatto una cosa ....
mi sono incavolito e ho riformattato il server nuovo per poter fare passo passo e con calma tutta la migrazione...
risulatato? lo stesso di prima però questa volta ho raccolto un po di informazioni dagli EVENTI .....
ho allegato il file .....
a quanto ho capito io non replica la cartella sysvol, non capisco ...
riguardo i tools per verificare le repliche cosa devo fare esattamente?
ho provato a lanciare qualche comando, ma mi restituisce una miriade di caratteri che non comprendo ....
Aspetto vostre notizie, intanto provo a capirci qualcosa
CIAO GRAZIE

... vi farò sapere le novità
... non trovo "replmon", come faccio a scaricarlo

[lupotto]

Direi che è un bel casino......ma un backup del systemstate del primo dc prima dell'aggiunta/rimozione dei dc lo hai?

Comunque il primo errore potrebbe esser dato da un problema di configurazione del dns, inoltre potresti avere dei residui in AD della rimozione del dc se questa non è andato a buon fine

per l'errore 53258 qui c'è un articolo del support microsoft

http://support.microsoft.com/kb/923977/en-us

per il primo invece potrebbe essere:un problema di configurazione del dns, il servizio di replica che non va su uno dei dc ( lo puoi vedere riavviando il servizio stesso) ed infine su "site and services" puoi forzare le repliche a mano te direttamente da un dc all'altro, inoltre vedi se per caso ci son ancora dei connettori per le repliche che puntano al dc che hai formattato.

Per l'errore 13565 a naso mi vien da pensare che è collegato al primo e relativo alle repliche che non vanno.

scarica da questo link il tool per fare la diagnostica delle repliche, dovrebbe avere anche un interfaccina grafica se sei poco avvezzo alla riga di comando.

http://www.microsoft.com/downloads/d...A-562563EB5EBF

e qui un articolo (in inglese) sulle possibili soluzioni ai problemi delle repliche

http://technet.microsoft.com/en-us/l.../bb727056.aspx

Infine controlla anche se l'ora dei due sistemi è uguale, poichè una differenza superiore a 5 minuti in più o in meno fra i due clock impedisce le repliche stesse.

Purtroppo la vedo ardua da un forum poter risolvere problemi del genere

[almaxy]

Quote:

Originariamente inviato da lupotto

Direi che è un bel casino......ma un backup del systemstate del primo dc prima dell'aggiunta/rimozione dei dc lo hai?

Comunque il primo errore potrebbe esser dato da un problema di configurazione del dns, inoltre potresti avere dei residui in AD della rimozione del dc se questa non è andato a buon fine

per l'errore 53258 qui c'è un articolo del support microsoft

http://support.microsoft.com/kb/923977/en-us

per il primo invece potrebbe essere:un problema di configurazione del dns, il servizio di replica che non va su uno dei dc ( lo puoi vedere riavviando il servizio stesso) ed infine su "site and services" puoi forzare le repliche a mano te direttamente da un dc all'altro, inoltre vedi se per caso ci son ancora dei connettori per le repliche che puntano al dc che hai formattato.

Per l'errore 13565 a naso mi vien da pensare che è collegato al primo e relativo alle repliche che non vanno.

scarica da questo link il tool per fare la diagnostica delle repliche, dovrebbe avere anche un interfaccina grafica se sei poco avvezzo alla riga di comando.

http://www.microsoft.com/downloads/d...A-562563EB5EBF

e qui un articolo (in inglese) sulle possibili soluzioni ai problemi delle repliche

http://technet.microsoft.com/en-us/l.../bb727056.aspx

Infine controlla anche se l'ora dei due sistemi è uguale, poichè una differenza superiore a 5 minuti in più o in meno fra i due clock impedisce le repliche stesse.

Purtroppo la vedo ardua da un forum poter risolvere problemi del genere

Ciao .. grazie di tutto per i tuoi consigli ....
ti riaggiorno in 2 parole la situazione attuale ....
ho portato in assistenza di 2 server e mi hanno detto che non si poteva fare nulla e quindi hanno riformattato il nuovo server e ricreato un nuovo Dominio (aimè) ... pazienza.
Ora io ho un altro Server gemello, lo devevo formattare, ed agganciarlo al Dominio in modo tale che intervenga in caso di cresh del primo server, deve avere la stessa configurazione... in parole povere una migrazione, e per non incappare nello stesso errore ti chiedo se questa procedura va bene ...

Migrare un DC ...

dimencicavo, mi fanno messo win2003 SP2 R2, io invece ho solo win2003 SP2.. ci sono problemi?

Ciao

[menk]

Quote:

Originariamente inviato da almaxy

Ciao .. grazie di tutto per i tuoi consigli ....
ti riaggiorno in 2 parole la situazione attuale ....
ho portato in assistenza di 2 server e mi hanno detto che non si poteva fare nulla e quindi hanno riformattato il nuovo server e ricreato un nuovo Dominio (aimè) ... pazienza.
Ora io ho un altro Server gemello, lo devevo formattare, ed agganciarlo al Dominio in modo tale che intervenga in caso di cresh del primo server, deve avere la stessa configurazione... in parole povere una migrazione, e per non incappare nello stesso errore ti chiedo se questa procedura va bene ...

Migrare un DC ...

dimencicavo, mi fanno messo win2003 SP2 R2, io invece ho solo win2003 SP2.. ci sono problemi?

Ciao

visto che hai un dominio nuovo una volta fatta la formattazione eleggi anche questo server a DC con il comando DCPROMO....
Ti conviene anche replicare il server dns.....
ma questa non è una migrazione, ma l'aggiunta di un dc se ho ben inteso quello che devi fare...

[slowped]

Quote:

Originariamente inviato da menk

ma questa non è una migrazione, ma l'aggiunta di un dc se ho ben inteso quello che devi fare...

L'articolo che ha citato l'utente in effetti ha il titolo un po' fuorviante ma descrive passo passo come aggiungere un controllore di dominio e come trasferire alcuni tutti i ruoli chiave al nuovo DC.