спасение контроллера домена

[Alexey_]

Прошу выручить советом Следующая ситуация: есть сеть. В ней работало два КД на 2000 сервере (основной и резервный). Оба настраивались сисадмином котрого сейчас уже не найти. Основной КД умер (его физически нет). Есть резервный (тоже на подходе, один из винтов рейда молчит). По моему настоянию был преобретен новый сервак. Хочу его сделать основным КД (хозяином операций). Самое небходимое спасти Active Directory (перенести на новый сервер). Мои пути решения:
1. Попытаться одной из прог сбросить пароль режима восстановления службы каталогов. Сделоть резервную копию АД и развернуть на новом сервере.
2. Сделать еще один бэкап-сервер, реплицировать на него АД и поднять до основного.
Подскажите плз. как лучше, какие нюансы.

[sizif]

Для этого есть прога Ideal Migration

[ArkanUfa]

Самое простое - будет второй вариант.

[vladkor]

Если второй контроллер работает, то зачем какие-то потуги, разворачиваешь АД, вводишь в домен, после успешного ввода все само реплицируется на новый контроллер, после этого забираешь все роли со старого контроллера, а потом можешь делать с ним све что хочешь, я бы сделал так, ввел новый контроллер, вывел старый, восстановил бы работоспособность старого, снова сделал бы его резервным, да и еще, заведи какой нибудь писюк, на него установи сервер, разверни на нем АД, введи в домен, примерно через сутки (что-бы уж железно) когда вся репликация закончится, выключи его, после этого примерно раз в неделю включай, вот и будет у тебя резервная копия АД. Чуть что всегда будет откуда восстанавливаться.

[SadAngel]

Честно говоря не знаю, как на Windows 2000, но если под Windows 2003 слетал основной контроллер домена (тот на котором установлен глобальный каталог, и владеет всеми ролями, а их аж 5) - то у меня дело заканчивалось, полной переустановкой AD. (хотя если на резервном КД установлен глобальный каталог, то восстановление в принципе может пройти успешно, но прийдется вычищать данные о слетевшем КД из АД и глобального каталога)
Если же все же необходимо провести какое-то восстановление, то нужно сделать следующее:
Во первых захватить основные роли. Делается это программой стандартной программой ntdsutil.exe - раздел roles (не забыть подключится к серверу через connections)
Сначала попробовать передать роли командой transfer. Убедившись, что передача ролей не работает (с ошибкой), выполняешь принудительный захват ролей, командой seize. Захватив все существующие роли, нужно проверить что этот КД, является глобальным каталогом - оснастка Сайты и службы. Если он еще не является глобальным каталогом, поднять уровень КД до глобального каталога.
Затем можешь подымать резервный КД в домене, и даже сделать его основным, командой передачи ролей (transfer)
Хотя честно говоря после принудительного захвата ролей, могут наблюдатся неисправимые ошибки.
Так у меня, например, после потери основного контроллера домена (к несчастью он у меня оказался единственным глобальным каталогом в AD) , пропала DNS зона леса (раздел ForestDNSZone) с префиксом _msdc, которая отвечает за обнаружение сервисов контроллеров доменов. И переустановить не смог, постоянно выскакивала ошибка удаления, или установки - так как все время сервер пытался прописать зону не в раздел ForestDNSZone, а в DomainDNSZone, зоны в ForestDNSZone не осталось из-за сбоя, а ссылка в AD на нее похоже осталась.

Да и еще, здесь очень много информации по восстановлению АД:
http://www.networkdoc.ru/insop/activ-dir.html

[Alexey_]

Цитата: Сообщение от vladkor Если второй контроллер работает, то зачем какие-то потуги, разворачиваешь АД, вводишь в домен, после успешного ввода все само реплицируется на новый контроллер, после этого забираешь все роли со старого контроллера, а потом можешь делать с ним све что хочешь, я бы сделал так, ввел новый контроллер, вывел старый, восстановил бы работоспособность старого, снова сделал бы его резервным, да и еще, заведи какой нибудь писюк, на него установи сервер, разверни на нем АД, введи в домен, примерно через сутки (что-бы уж железно) когда вся репликация закончится, выключи его, после этого примерно раз в неделю включай, вот и будет у тебя резервная копия АД. Чуть что всегда будет откуда восстанавливаться.

Вот потуги как раз и для того, что-бы восстановить нормальную работу домена. Как указано было топиком выше, осн. КД (владеоец глобального каталога) обладает пятью ролями. И когда он умирает домен теряет некоторую функциональность. Как например обновление одного из серверов до Вин 2к3 невозможна. Но в субботу все поборол . Пришлось через ntdsutil захватить роли FSMO. Нашел в принципе без труда в нэте подробную последовательность действий. Если надо могу для ФАКа выложить.

[SadAngel]

Alexey_, если не ошибаюсь, то данные о старом КД остаются в АД. Поэтому необходимо еще использовать metadata cleanup(ntdsutil), чтобы удалить данные о старом КД из АД. То же самое, кстати необходимо делать, если слетает дочерний домен

[Alexey_]

да, новый сервер в принципе и не хотел подхватывать АД. хотя adprep была упешно выполнена и по лесу и по домену. вылетало сообщение о не состоявшейся или незконченой репликации. После убийства в сайтах и службах старого ОКД все прошло успешно