Discussione:
Problema con ruoli fsmo...
(troppo vecchio per rispondere)
Smallville
2005-01-24 16:53:26 UTC
Permalink
Ciao,

sto completando una migrazione da win200 a win2003 (su un altro server).
Ho installato win2003 sul nuovo server, l'ho aggiunto come controller
aggiuntivo a quello 2000.
L'ho impostato come Global Catalog.

a questo punto volevo fare il demote del server2000 per fare in modo che
si trasferissero in automatico i 5 ruoli fsmo.
Purtroppo ho ottenuto un errore durante il demote.

ho quindi deciso di fare a mano...facendo così :

ntdsutil (invio)

roles (invio)
connections (invio)
connect to server -nomeservernuovowin2k3- (invio)
quit (invio)
transfer schema master (invio)
transfer domain naming master (invio)
transfer pdc (invio)
transfer rid master (invio)
transfer infrastructure master (invio)
quit (invio)
quit (invio)
quit (invio)
exit (invio)

ma a questo punto se eseguo : netdom query fsmo sul server 2000 non mi
viene neanche più riconosciuto come comando.

ho provato a spegnere il 2000 per vedere se il 2003 avesse i ruoli,ma
provando ad aggiungere il gruppo "Everyone" ad una condivisione ho
notato che il 2003 non sa neanche cosa sia,quindi suppongo che non abbia
i ruoli.

Vi prego sapreste dirmi cosa è successo ?
Sono da un cliente e devo assolutamente concludere la migrazione entro oggi!

Grazie 1000.
Ciao.
Smallville
2005-01-24 16:56:33 UTC
Permalink
Post by Smallville
ma a questo punto se eseguo : netdom query fsmo sul server 2000 non mi
viene neanche più riconosciuto come comando.
Scusate ho sbagliato, se digito il comando "netdom query fsmo" mi dice
"Parametro non corretto."

Cosa devo fare ?
Dove sono finiti i ruoli ?

grazie.
Smallville
2005-01-24 17:01:00 UTC
Permalink
Ho controllato il registro degli eventi ed ho visto che sul server 2000,
ho un sacco di errori (gialli con punto esclamativo) con origine da
"NTSD KCC" ed il codice di errore è 1265.
Andrea Gallazzi [MVP]
2005-01-25 09:05:31 UTC
Permalink
Hai fatto il seize, molto grave.
Non andrebbe preso alla leggera un procedimento del genere.
Hai in pratica estirpato i ruoli, non trasferiti.
Dovevi innanzitutto provare il trasferimento manuale tramite GUI o tramite
linea di comando.
Non un seize.
Post by Smallville
ho provato a spegnere il 2000 per vedere se il 2003 avesse i ruoli,ma
provando ad aggiungere il gruppo "Everyone" ad una condivisione ho
notato che il 2003 non sa neanche cosa sia,quindi suppongo che non
abbia i ruoli.
Inizia a guardare se li vedi tramite GUI.
Apri la console AD U&C e fai tasto destro sul dominio, poi Operation
Masters.
Qui trovi RID, PDC emul. e Infrastructure master.
L'operation master lo trovi nella radice della console AD D&T, mentre lo
schema master non è semplice da trovare.
Devi crearti una console AD Schema.
http://windows.microsoft.com/windows2000/en/datacenter/help/default.asp?url=/windows2000/en/datacenter/help/schmmgmt_install_snapin.htm
Qui avresti dovuto fare un delicato spostamento dei ruoli.
Ma probabilmente non avrebbe funzionato poichè (come dico sotto) ci sono
problemi connettivi.

Queste console vanno aperte sulla macchina alla quale devi trasferire i
ruoli (o almeno devi fare in modo che la console si connetta alla macchina).
Post by Smallville
Vi prego sapreste dirmi cosa è successo ?
Sicuramente il demote del 2000 non è andato a buon fine perchè ha problemi
di connessione con l'altro DC. 2000 è ancora un DC.
Capire cos'è ora è difficile visto l'enormità di errori che avrai nell'event
viewer.
La cosa più banale è controllare che entrambi abbiano accesso correttamente
ad un server DNS che abbia i record di AD. Senza di queste informazioni ogni
operazione AD non funziona.
Post by Smallville
Sono da un cliente e devo assolutamente concludere la migrazione entro oggi!
E' un po' tardi pensarci ora.
Certe cose vanno prima sperimentate e poi si fanno in produzione, simulando
anche i possibili problemi.
Ti posso consigliare solo di prenderti un bel manuale su AD e studiartelo
bene per la prossima volta.
Ti mancano certe informazioni di base. E' un consiglio il mio, non ti sto
criticando... tutti abbiamo bisogno di imparare.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2005-01-25 09:14:35 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Hai fatto il seize, molto grave.
Taglia!
Ops... ho la testa per aria e ho letto male.
Niente seize.
Scusami tanto.
Comunque il resto che ti ho scritto va bene.
Fallo solo da una macchina dove AD funziona.
Altrimenti avrai info inconsistenti.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2005-01-25 09:24:51 UTC
Permalink
Mi scuso ancora e cerco di scrivere una risposta corretta.
La mia idea è che il demote non è avvenuto correttamente.
Investiga dove sono andati a finire i ruoli, sistema DNS e quanto possa
servire e ripeti DCPROMO su 2000.
Per capire cosa devi sistemare le informazioni le trovi nell'event viewer,
subito dopo il fallimento di DCPROMO dovresti avere un errore che ti spieghi
cos'è successo.

Questa è la procedura corretta, bisognerebbe provare a sistemare il problema
e... nel caso nulla funzioni si procede al seize e alla rimozione forzata
del controller.
Prima proviamo la strada normale.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Smallville
2005-01-25 11:28:48 UTC
Permalink
Hai perfettamente ragione di tutto.
Volevo prepararmi meglio, essere affiancato da qualcuno, ma sono stato
davvero senza scelta.

Se si seguissero i manuali, tutto dovrebbe essere prima testato e poi
tutto dovrebbe funzionare regolarmente senza alcun problema....la realtà
è che col cavolo che succede.

Ho letto davvero molto su come doveva essere eseguita la migrazione...ed
ha funzionato tutto fino al trasferimento dei ruoli fsmo.
Ho eseguito tutto da riga di comando, dato che il demote non mi
funzionava, il problema è che poi i ruoli erano andati persi.
Ma sai cos'è davvero bello ?
Che il server 2003 mi indica correttamente nel suo event viewer che
aveva ricevuto e che stava svolgendo i ruoli per quel dominio.
Anche dalla console del dominio AD U&C risultava che i ruoli fossero del
dominio 2003.
Il fatto però è che senza la macchina 2000 non andava niente.
I dns come andavano impostati ?
Insomma aveva funzionato tutta la replica di Active Directory
perfettamente (gruppi,utenti,condivisioni,policies,etc...)come avrebbe
potuto funzionare tutto ciò senza un dns impostato correttamente ?

Ma soprattutto non mi aspettavo che sistemi server che consideravo
"robusti" permettessero così facilmente di essere danneggiati.
Perchè non conservare in qualche modo una "copia dei ruoli" fino ad
essere certi che fossero stati spostati ?
Permettere un rollback delle operazioni ?
In ogni caso non faccio lo "scarica barile" come si usa fare....ho
sbagliato io,ma avrei preferito un pò + d'aiuto dall' OS dato che non ho
scelto un ambiente Unix.

Alla fine dovevo x forza risolvere il problema,sono una persona che non
si abbatte e che alla fine deve risolvere il problema che ha davanti.
Ho fatto un ultimo tentativo facendo un dcpromo /forceremoval e quando
ho visto che anche in questo modo non andava.
Ho formattato la macchina 2003,reinstallato Windows 2003,creato un nuovo
dominio,gruppi,utenti,policies,condivsioni,partizioni,mirroring,configurazione
mail server,iis (tutto da capo) tutto quanto...mi sono fatto lasciare le
chiavi ed ho finito alle 03:15 del mattino.

Ho perso un sacco di tempo anche a sistemare i client,facendo per il
momento quelli indispensabili.

Sono soddisfatto ?
Solo in parte perchè oggi sta funzionando tutto alla perfezione ed è
anche molto performante rispetto a quanto credessi...ma in fondo in
fondo sono anche molto deluso perchè non sono riuscito a risolvere un
problema per come mi ero organizzato a farlo.
Per ora rimango molto titubante sulle migrazioni...le esperienze
condizionano le nostre scelte ovviamente.
Di sicuro mi procurerò un ottimo libro per studiarmi bene i sistemi
server Microsoft, seguendo il tuo ottimo consiglio...che non prendo per
nulla come una critica negativa (anzi ti ringrazio).

Nel frattempo se potessi indicarmi un buon libro (cumulativo e con
un'ampia visione) che mi permetta di capire davvero bene i concetti.
Cosa ne pensi di questo ?

Windows Server 2003
Administrator's Companion


Scusa se mi sono dilungato così tanto, ma avevo davvero bisogno di sfogarmi.
Andrea Gallazzi [MVP]
2005-01-25 11:57:00 UTC
Permalink
Post by Smallville
Se si seguissero i manuali, tutto dovrebbe essere prima testato e poi
tutto dovrebbe funzionare regolarmente senza alcun problema....la
realtà è che col cavolo che succede.
Dipende da quanto ti sei esercitato a farla questa cosa... non andrebbe
fatta da te se non hai esperienza.
Fa parte del bagalio che si acquista con il tempo.
Ogni cosa non andrebbe mai fatta senza averla prima provata.
Altrimenti si affrontano i rischi e rifare un dominio procura più danni e
perdita di tempo che esercitarsi prima.
Post by Smallville
Anche dalla console del dominio AD U&C risultava che i ruoli fossero
del dominio 2003.
Il fatto però è che senza la macchina 2000 non andava niente.
Forse non è terminata la replica. Anche l'evento che mi avevi segnalato
suggeriva questo.
Il demote avrebbe forzato la replica.
Ma prima tutto doveva essere propriamente configurato.
Post by Smallville
I dns come andavano impostati ?
Il concetto è che ogni DC abbia come DNS primario un server contenente la
zona "_msdcs.NOMEDOMINIO" e rispettivamente nella zona "NOMEDOMINIO":
"_msdcs", "_sites", "_tcp" e "_udp".
Queste informazioni dicono ai DC come e con chi dialogare per le operazioni
AD.
Un DNS di questo tipo deve essere sempre (!) disponibilie a tutte le
macchine del dominio, specialmente ai DC!
Quindi dovendo tu abbandonare un DC dovresti avere su entrambi un DNS server
(in modo che quando dismetterai uno, l'altro sarà disponiblie). Se entrambi
i DNS avranno le zone AD integrate non dovrai neppure preoccuparti della
replica.
Ma...
Quando tu crei la macchina 2003 essa non ha ancora effettuato la replica,
non appartiene al dominio e quindi non ha accesso alle suddette zone. Quindi
la 2003 deve avere come primario la 2000 che le dovrebbe avere.
In questo modo potrai procedere al DCPROMO e alla replica iniziale.
Effettuala la quale potrai invertire i ruoli e mettere entrambi a primario
il 2003 ed eseguire trasferimenti di ruoli e demote verso 2003.
Comunque tutto è spiegato nel mio articolo.
Post by Smallville
Insomma aveva funzionato tutta la replica di Active Directory
perfettamente (gruppi,utenti,condivisioni,policies,etc...)come avrebbe
potuto funzionare tutto ciò senza un dns impostato correttamente ?
Non so che dirti, ne sei sicuro?
Non è che la tua console si connetteva a 2000 invece che 2003?
Forza la connessione con tasto destro sulla root della console.
Post by Smallville
Ma soprattutto non mi aspettavo che sistemi server che consideravo
"robusti" permettessero così facilmente di essere danneggiati.
Perchè non conservare in qualche modo una "copia dei ruoli" fino ad
essere certi che fossero stati spostati ?
Infatti questo non accade, hai mica detto che forse sono sulla 2003?
Post by Smallville
Permettere un rollback delle operazioni ?
Certo, backup autoritativo del system state.
Ce l'hai? Altrimenti è un grandissimo errore!
Sempre un backup del sistema della macchina prima di fare qualunque cosa.
Sui server è un must!
(Oltre ad avere backup periodici)
Post by Smallville
In ogni caso non faccio lo "scarica barile" come si usa fare....ho
sbagliato io,ma avrei preferito un pò + d'aiuto dall' OS dato che non
ho scelto un ambiente Unix.
Nessun sistema operativo può sostituire l'intelligenza umana, hai
sicuramente sbagliato nelle procedure.
Non dare la colpa ad una macchina che ha solo fatto ciò che gli hai detto.
Se vuoi essere un sistemista devi essere rigoroso e leggere molto. Mai fare
nulla senza avere un piano.
Post by Smallville
Ho formattato la macchina 2003,reinstallato Windows 2003,creato un nuovo
dominio,gruppi,utenti,policies,condivsioni,partizioni,mirroring,configurazione
mail server,iis (tutto da capo) tutto quanto...mi sono fatto lasciare
le chiavi ed ho finito alle 03:15 del mattino.
Non ti rendi conto dei danni che hai fatto.
Forse nel tuo ambiente perderai solo la connessione con i profili... ma in
abiente professionale avresti causato danni immani! Perdere i SID aziendali
è come invalidare ogni cosa.
Post by Smallville
Per ora rimango molto titubante sulle migrazioni...le esperienze
condizionano le nostre scelte ovviamente.
Di sicuro mi procurerò un ottimo libro per studiarmi bene i sistemi
server Microsoft, seguendo il tuo ottimo consiglio...che non prendo
per nulla come una critica negativa (anzi ti ringrazio).
Bravo, l'importante è proprio questo!
Post by Smallville
Nel frattempo se potessi indicarmi un buon libro (cumulativo e con
un'ampia visione) che mi permetta di capire davvero bene i concetti.
Cosa ne pensi di questo ?
Windows Server 2003
Administrator's Companion
Se non ricordo male non è un libro base.
Prendi di riferimento la certificazione MCSA e inizia a studiare con i libri
della core... io ho iniziato così.
http://www.microsoft.com/learning/mcp/mcsa/windows2003/
Se poi nel frattempo vuoi anche darla...
Post by Smallville
Scusa se mi sono dilungato così tanto, ma avevo davvero bisogno di sfogarmi.
Tranquillo, nessun problema.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Loading...