Для обновления контроллеров домена до следующих версий после 2008r2 необходимо перевести систему репликации домена с FRS на DFSR
подробное описание можно найти в видео:
проблема:
После перевода в режим Prepared, актив директория отказывается перейти в режим Prepared и остается в режиме preparing Или подготовка
DFSRMIG.EXE /setglobalstate 1
В первую очередь лечим все проблемы репликации
если НИ один из КД (контроллеров домена) не переходит в режим prepared или "подготовлен" это означает что имеется проблема и она описана в данном мануале:
в кратце необходимо проверить включена ли учетная запись администратора из под которого запускается миграция (переход на DFRS) не обладает нужными привелегиями
а именно:
"Управление аудитом и журналом безопасности" или "Manage Auditing and Security Log"
находится данная политика в разделе:
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
в моем случае и "по умолчанию"
Требуется модифицировать Default domaing policy
но если домен кто-то сильно кастомизировал, то возможно следует поискать в других политиках,какая именоо политика влияет позволяет выяснить данная команда:
она создает файл secpol.htm в котором можно посмотреть какая именно политика является "результирующей" для данного раздела.
о чём написано тут:
если вы нашли политику и исправили (добавили в нее Domain administrators,Administrators, далее необходимо сделать
GPUPDATE /FORCE на ВСЕХ! контроллерах домена
в идеале их после этого ещё и перезагрузить, т.к должна произойти репликация +применение политики на всех КД что обычно от 15 минут до часа.
На этом этапе очень важно убедится что политика распространилась на все КД!
и обязательно перезайти на КД для перезапуска процесса перехода для чего рекомендуется сделать
DFSRMIG.EXE /setglobalstate 0
подождать когда все КД вернутся к исходному состоянию и после этого снова:
DFSRMIG.EXE /setglobalstate 1
Если не переходит в данный режим один КД то ищем в чём проблемы с синхронизацией контроллеров.
Ещё раз обратите внимание на то, что перевод в режим
DFSRMIG.EXE /setglobalstate 1 - prepared следует делать только после полного применения данной политики на всех КД
Например если вы выполните обновление локальной политики то в данное состояние перейдет только один контроллер на котором вы поменяли то только он перейдет в состояние prepared
если всё сделано верно и все КД перейдут в состояние 1
то вы получите:
подробное описание можно найти в видео:
проблема:
После перевода в режим Prepared, актив директория отказывается перейти в режим Prepared и остается в режиме preparing Или подготовка
DFSRMIG.EXE /setglobalstate 1
| Код |
|---|
PS C:\Windows\system32> DFSRMIG.EXE /GETMIGRATIONSTATE
Следующие контроллеры домена не синхронизированы с глобальным состоянием ("Подготовлено"):
Контроллер домена (состояние локальной миграции) - Тип DC
===================================================
DC1 ("Подготовка") - Writable DC
Состояние миграции еще не согласовано на всех контроллерах домена.
|
В первую очередь лечим все проблемы репликации
если НИ один из КД (контроллеров домена) не переходит в режим prepared или "подготовлен" это означает что имеется проблема и она описана в данном мануале:
в кратце необходимо проверить включена ли учетная запись администратора из под которого запускается миграция (переход на DFRS) не обладает нужными привелегиями
а именно:
"Управление аудитом и журналом безопасности" или "Manage Auditing and Security Log"
находится данная политика в разделе:
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
в моем случае и "по умолчанию"
Требуется модифицировать Default domaing policy
но если домен кто-то сильно кастомизировал, то возможно следует поискать в других политиках,какая именоо политика влияет позволяет выяснить данная команда:
| Код |
|---|
GPRESULT.EXE /H secpol.htm |
она создает файл secpol.htm в котором можно посмотреть какая именно политика является "результирующей" для данного раздела.
о чём написано тут:
| Код |
|---|
Open secpol.htm in a web browser then select Show All. Search for the entry Manage Auditing and Security Log. It will list the group policy that is applying this setting.Using GPMC.MSC, edit that group policy to include the group Administrators.Allow AD and SYSVOL replication to converge on all DCs. On the PDCE, run: |
если вы нашли политику и исправили (добавили в нее Domain administrators,Administrators, далее необходимо сделать
GPUPDATE /FORCE на ВСЕХ! контроллерах домена
в идеале их после этого ещё и перезагрузить, т.к должна произойти репликация +применение политики на всех КД что обычно от 15 минут до часа.
На этом этапе очень важно убедится что политика распространилась на все КД!
и обязательно перезайти на КД для перезапуска процесса перехода для чего рекомендуется сделать
DFSRMIG.EXE /setglobalstate 0
подождать когда все КД вернутся к исходному состоянию и после этого снова:
DFSRMIG.EXE /setglobalstate 1
Если не переходит в данный режим один КД то ищем в чём проблемы с синхронизацией контроллеров.
Ещё раз обратите внимание на то, что перевод в режим
DFSRMIG.EXE /setglobalstate 1 - prepared следует делать только после полного применения данной политики на всех КД
Например если вы выполните обновление локальной политики то в данное состояние перейдет только один контроллер на котором вы поменяли то только он перейдет в состояние prepared
если всё сделано верно и все КД перейдут в состояние 1
то вы получите:
| Код |
|---|
PS C:\Windows\system32> DFSRMIG.EXE /GETMIGRATIONSTATE
Все контроллеры домена успешно мигрировали в глобальное состояние ("Подготовлено").
Состояние миграции согласовано на всех контроллерах домена.
Успешно.
|
Изменено: - 08.01.2022 02:35:54
