Внесение добавочного контроллера в домен. Как реализовать?

Question

[micro0990]

Добрый день коллеги. Нужна ваша помощь!!! Необходимо внести добавочный котроллер домена, в основной домен. Основной домен стоит на Windows Server 2003 (переустановить на более актуальную версию не вариант, в связи с тем что, очень много программ организации стоят на нем), добавочный на Windows Server 2008 enterprize SP2 X86 (свой выбор ОС аргументирую тем, что более свежую редакцию ОС основной лес не поддерживает, ставить ту же редакцию не хочется по причине возможной приостановки поддержки ОС со стороны поставщика). В процессе добавления контроллера в лес, необходимо запустить утилиту adprep /domainprep в основном контроллере, которая находится в установочном диске, при попытке запуска утилиты ничего не происходит. Есть те кто сталкивался с подобным? Гугляж не помог. Или другие способы добавления контроллера в лес? ВСЕМ СПАСИБО!!!

Comments

[Антон Уланов]

Уровень леса можно поднять

Answer 1

[Ивор Барханский]

Если у вас очень много программ организации стоят именно на контроллере домена — это по умолчанию нехорошо.

Поднимите второй контроллер на более новой операционке, перенесите на неё роли FSMO и осторожно понизьте ваш компьютер с бизнес-процессами до обычного члена домена. Вы отвяжетесь и от максимального уровня леса win2003 из за которого страдаете, и других проблем убавится.

Comments

[micro0990]

не спорю, это все было до моего прихода

[Ивор Барханский]

Так это был вопрос да в нём намёк. Поднимите второй контроллер на более новой операционке, перенесите на неё роли FSMO и осторожно понизьте ваш компьютер с бизнес-процессами до обычного члена домена. Вы отвяжетесь и от максимального уровня леса win2003 из за которого страдаете, и других проблем убавится.

И вы таки контроллер в домен добавляете, а не в лес. Или у вас лес на несколько веток и текущий домен только один из?

Answer 2

[sukharichev]

А что в журнале в момент запуска adprep? Можно ли его запустить из другого расположения? Можно ли его запустить с другими ключами? Например "adprep /?"

Сохраните и очистите все журналы (Приложение, безопасность, система), запустите адпреп и посмотрите новые записи. Кроме того:

1). 2008 скоро тоже устареет. Windows Server 2016 должен поддерживать уровень домена 2003:
https://docs.microsoft.com/ru-ru/windows-server/id...

2). 2008 который не R2 - отстой.

3). В крайнем случае, сделайте 2008 R2 промежуточным. Т. е. сделайте его контроллером с уровнем домена 2003, сделайте второй контроллер - без резерва в этом деле нельзя. Убедившись в течение недели, что все в порядке, сделайте дампы систем всех трех серверов. Отключите все клиентские ПК от сети. Понизте 2003 до рядового сервера. 2008-е повысьте до уровня домена 2008, убедитесь, что нет никаких ошибок репликации, ДНС, синхронизации времени и т.п. Включите тестовые клиентские ПК в сеть. Убедитесь, что все работает. Включите все клиентские ПК в сеть. Если все ок, затем таким же манером проапгрейдитесь до 2012 или 2016.

4). У вас точно достаточно денег на Enterprise редакцию? Может, Standard достаочно?

Comments

[micro0990]

добрый день, спасибо за отклик. при запуске данной утилиты с любым дополнительным параметром выходит "программа работает правильно, но не предназначен для компьютеров данного типа" в случае попытки с adprep 64 битной.
32 битная вообще не устанавливается. пробовал на win ser 2016, win serv 2008 r2, win ser 2008 x 86.
С финансированием все нормально, Enterprize потянем

[sukharichev]

Подождите, я ничего не понял. Давайте еще раз уточним: нынешний единственный контроллер домена - windows 2003? Какие обновления на нем установлены (сервис-паки)? Зачем вы запускаете adprep от 2003 на 2016 и 2008?

Если сейчас сервер windows 2008 r2 не входит в состав домена (предпочтительно), или входит как рядовой сервер, вы можете просто установить на нем через оснастку "роли" роль Active Directory (автоматически подтянется DNS-роль). После выполения мастера установки роли запустите dcpromo и действуйте по его указаниям, добавляя контроллер в существующий лес

Answer 3

[dennzo]

Сейчас контроллер 2003 единственный? Снимите сначала образ диска.
(это очень неоднозначная рекомендация,
не во всех случаях этим возможно/стоит пользоваться! но без бекапа трогать не стоит, уж поверьте)
Запланируйте много времени, выходные ++ и время на откат, если что.
Остановка всего этого на 2 дня/суток - допустима?

Я так делал, как в 1,2 ответах. Все верно, но надо очень много деталей учесть.
Тщательная подготовка, перечитать все - благо полно манов по этой теме, она раскрыта
лучше на мсдн итп, а не на тостере, хз кто что напишет )))
Пошаговый план подготовки и развертывания, пошаговая запись.
я тупо скриншотил всё утилиткой + ноутпад с текущим комментом на экране, если надо, так быстрее.
Проверка состояния и готовности вашего АД утилями итп.
У меня были проблемы - унаследованная установка АД была какой-то кривоватой,
или потом что-то с ней делали-недоделали... Проверку прошло, но...
Второй контроллер 2008-2 вошел в домен как-то очень-очень непросто,
с большой работой в командной строке - далеко не только передачи ролей фсмо итп,
но и всякие чистки итп итп, очень нештатно.
Всерьез оставлял время на откат из образа(контроллер был только один), но получилось.

Сегодня бы я содрал с контроллера образ и поднял его на тестовой виртуалке,
рядом вторую виртуалку с 2008-2, ВСЕ ЭТО В ОТДЕЛЬНОЙ ТЕСТОВОЙ СЕТИ,
ИЗОЛИРОВАННОЙ от той где ваше АД
ФИЗИЧЕСКИ ЧТОБ БЫЛО НЕВОЗМОЖНО ПЕРЕСЕЧЬСЯ! ВООБЩЕ НИКАК!
!!! внимание - оригиналы и копии
НИКОГДА НЕ ДОЛЖНЫ УВИДЕТЬСЯ В ОДНОЙ СЕТИ!!! ДАЖЕ 1Сек! ИНАЧЕ ПОЖНЕТЕ АДОВ ППЦ!!!
прогнал свой план обновления на виртуалках спокойно, все пошагово записал и заскриншотил,
а потом уже воспроизвел на продакшне, с актуальным образом, чтоб откатить контроллер, если что.

А то владелец уже был готов...
- А пофик, давай просто в 2008-2 новый домен подымем...
- Ага... и все политики, шары, дфс итп итп...
машины заново джойнить, и все профили юзеров будут новые итп итп радости )))
- ОЙ...