Hello,
Thank you for posting in our TechNet forum.
Before we do any change in our AD environment, we had better check if our DCs are healthy and AD replication is OK first.
1. So we can try to check if DC health by runnning by running Dcdiag /v on every DC.
2. And check if AD replication is working properly by running repadmin /showrepl and repadmin /replsum
on every DC.
3. Check if we can run gpupdate /force successfully on every DC.
4. Check if the SYSVOL and Netlogon folders are shared by running
net share on every DC.
If all above is OK without any error message, AD environment is healthy.
We can check the following information:
1. Are all the DCs in this domain are WRDC.
2. We recommend that you log on to the DC to which you are assigning FSMO roles.
3. The signed-in user should be a member of the Enterprise Administrators group to transfer Schema master or Domain naming master roles, or a member of the Domain Administrators group of the domain where the PDC emulator, RID master and the Infrastructure master
roles are being transferred.
4. According to the information we provided, we need to transfer all fsmo to DC001 or DC002?
Schema master DC002.SPACEGRAVITY.IN
Domain naming master DC002.SPACEGRAVITY.IN
PDC DC001.SPACEGRAVITY.IN
RID pool manager DC002.SPACEGRAVITY.IN
Infrastructure master DC001.SPACEGRAVITY.IN
5. We can try to transfer FSMO again on the destination DC based on the link Transferring or seizing FSMO roles in Active Directory
Domain Services.
Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
-
Proposed as answer by
Daisy ZhouMicrosoft contingent staff
Monday, March 23, 2020 12:49 AM -
Marked as answer by
Balaji Gangarapu
Saturday, May 30, 2020 7:17 AM
Hello,
Thank you for posting in our TechNet forum.
Before we do any change in our AD environment, we had better check if our DCs are healthy and AD replication is OK first.
1. So we can try to check if DC health by runnning by running Dcdiag /v on every DC.
2. And check if AD replication is working properly by running repadmin /showrepl and repadmin /replsum
on every DC.
3. Check if we can run gpupdate /force successfully on every DC.
4. Check if the SYSVOL and Netlogon folders are shared by running
net share on every DC.
If all above is OK without any error message, AD environment is healthy.
We can check the following information:
1. Are all the DCs in this domain are WRDC.
2. We recommend that you log on to the DC to which you are assigning FSMO roles.
3. The signed-in user should be a member of the Enterprise Administrators group to transfer Schema master or Domain naming master roles, or a member of the Domain Administrators group of the domain where the PDC emulator, RID master and the Infrastructure master
roles are being transferred.
4. According to the information we provided, we need to transfer all fsmo to DC001 or DC002?
Schema master DC002.SPACEGRAVITY.IN
Domain naming master DC002.SPACEGRAVITY.IN
PDC DC001.SPACEGRAVITY.IN
RID pool manager DC002.SPACEGRAVITY.IN
Infrastructure master DC001.SPACEGRAVITY.IN
5. We can try to transfer FSMO again on the destination DC based on the link Transferring or seizing FSMO roles in Active Directory
Domain Services.
Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
-
Proposed as answer by
Daisy ZhouMicrosoft contingent staff
Monday, March 23, 2020 12:49 AM -
Marked as answer by
Balaji Gangarapu
Saturday, May 30, 2020 7:17 AM
Last week I had a virtual SBS 2011 server become corrupt due to a hard drive redundancy issue. On that server I have many roles installed including AD. That server acted as our primary domain GC server. I also had a backup domain controller that was also a GC. When I restored the virtual server from a previous export approximately two months ago it could no longer speak to the AD domain that was still running. To get the computers to talk to the restored server which held file shares I had to shutdown the backup DC and rejoin some of the computers to the «new» domain. I just attempted to demote the backup dc that’s off the network and re-promote it as the backup GC for the «new domain.» I ran dcpromo and stated that this domain was the last in the forest. I went through the prompts and it came up to a screen stating: «The operation failed because: This Active Directory Domain Controller is not the last AD DC in the domain. The server is unwilling to process the request.»
Does anyone know how I can demote the backup domain controller or how to fix this problem?
Thanks in advance
Active DirectorySBSWindows Server 2008ExchangePowershell
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
КриптоПро TLS.Ошибка 0x6ba при обращении к CSP. Сервер RPC недоступен
eugenyb |
|
|
Статус: Новичок Группы: Участники
|
Служба «CryptoPro CSP key storage» неожиданно прервана. Это произошло (раз): 1 Происходит в разное время случайным образом на 2 ПК Windos 2003 SP2 Судя по сообщению :http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=771, это исправляется если перейти на КС1 или обновить до версии 3,6, но такой возможности нет. Что можно сделать еще? Отредактировано пользователем 2 ноября 2009 г. 20:07:59(UTC) |
 |
WWW |
|
Татьяна |
|
|
Статус: Сотрудник Группы: Участники Поблагодарили: 40 раз в 37 постах |
Здравствуйте. |
|
Татьяна |
|
|
|
|
|
shaggy |
|
|
Статус: Новичок Группы: Участники
|
Столкнулся с таким весёлым% фактором появления этой ошибки, что даже не поленился зарегистрироваться и описать. Информация найдёт своего читателя. Итак, по порядку. Система: WinXP pro SP3 со всеми обновлениями Имеем в Логе приложений ошибку: Цитата: Источник: cpSSPAP Соответственно приложения, использующие КриптоПро, не работают. Пишут, что сертификат/контейнер не найден и RPC не доступен. Идём в список служб и видим, что со службой Удалённый вызов процедур (RPC) всё в порядке, но вылетает (останавливается) служба CryptoPro CSP key storage. Попытки выставить в свойствах службы перезапуск ничего не дают. Она перезапускается, да. Но не даёт приложениям себя использовать, вылетая снова и снова. Идём в Панель управления, заходим в раздел КриптоПро CSP. Пробуем посмотреть сертификаты в контейнере — получаем ошибку. Если руками запустить службу CryptoPro CSP key storage, то посмотреть МОЖНО, и служба НЕ падает. Но при попытке использовать сертификат для подписи служба вылетает снова. Тратим полчаса на проверку обновлений Windows, поиск прорвавшихся вирусов — всё чисто. Пробуем выгружать антивирус — безрезультатно. Идём пить кофе и читать этот форум. Решения нет. Снова идём, садимся за проблемный компьютер. Делаем глубокий вдох/выдох, и начинаем наконец думать головой, а не действовать на автомате. Наконец видим в одном из окон с сообщением об ошибке КриптоПро, появляющихся при попытке подписи, волшебную кнопку Дополнительно. Нажимаем её, и видим, что Носитель доступен только для чтения. Понимаем, что КриптоПро нужен туда доступ на запись. Вытаскиваем дискету, снимаем защиту, вставляем обратно. И всё начинает работать. Теперь, собственно, как всё было. Вчера позвонил бухгалтер, сообщил об этой ошибке. Пришёл, вспомнил, что такое было полгода назад. Служба КриптоПро CSP останавливалась. Запустил службу, зашёл в Панель управления, раздел КриптоПро CSP, убедился, что сертификаты на дискете видно. Вот только, вытащив для осмотра дискету (та ли?), я машинально включил на ней защиту от записи. Дело в том, что у нас используется несколько банк-клиентов с ключами на дискетах. Надо ли говорить, что на всех этих дискетах защита от записи включена. Включил и здесь. И получил повод написать это сообщение. Основная задержка в установлении причины связана с разным поведения КриптоПро: Интересно только, зачем КриптоПро полный доступ на дискету с ключами? Для временных файлов существует чудесная папка %temp%. Отредактировано пользователем 4 февраля 2010 г. 12:38:45(UTC) |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.0
»
КриптоПро TLS.Ошибка 0x6ba при обращении к CSP. Сервер RPC недоступен
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Я делаю по этой статье. Вроде все повысилось без проблем, роли FSMO передал. Но теперь как то надо все проверить
Обновление контроллеров домена до Windows Server 2016
1. Проверяем, что каталоги AD синхронизируются без проблем. Запускаем
repadmin /replsum
Убеждаемся, что в столбце «Fails» нет ошибок, а дельта синхронизации не превышает той, которая настроена между сайтами.
2. Текущий уровень домена и леса должен быть не ниже Windows Server 2008. Если он ниже, то сначала поднимаем уровень домена до 2008 (этого не произойдет, если у вас остались в домене контроллеры, которые работают на Windows Server 2003 или 2003R2). После поднимаем уровень леса до 2008 (также надо предварительно убедиться, что все домены в лесу имеют уровень 2008). Поднятие уровня домена и леса осуществляется через оснастку «Active Directory – домены и доверие».
3. Разворачиваем новый сервер Windows Server 2016. Добавляем его в домен. Задаем статичный IP-адрес и имя хоста.
4. Проверяем, какой тип репликации используется для текущего каталога AD.
Для этого запускаем утилиту ADSI Edit на контроллере домена и подключаемся к «контексту именования по умолчанию». Далее ищем в вашем каталоге текущие контроллеры домена и выбираем один из них. Если вы видите каталог «CN=NTFRS Subscriptions» , значит у вас используется тип репликации «FRS». Если же «CN=DFSR-LocalSettings» – значит используется новый тип репликации DFS-R и тогда 5 шаг мы пропускаем.
5. Получим текущее глобальное состояние миграции DFSR через команду
dfsrmig /getglobalstate
Начинаем процесс миграции. Выполняем команду
dfsrmig /setglobalstate 1
С помощью команды dfsrmig /getmigrationstate проверяем, когда 1 этап миграции завершится на всех контроллерах.
Чтобы ускорить процесс репликации между контроллерами, выполним команды
Repadmin /syncall /AeS
на каждом контроллере
Переходим к следующему этапу:
dfsrmig /setglobalstate 2
И опять ускоряем процесс синхронизации командой
Repadmin /syncall /AeS
Как только команда dfsrmig /getmigrationstate выдаст положительный результат, запускаем заключительный этап
dfsrmig /setglobalstate 3
и повторяем те же действия, чтобы завершить процесс перехода на DFS-R.
6. Делаем новые сервера контроллерами домена: устанавливаем на них роль Active Directory Domain Services и DNS-сервера.
7. Запускаем службу KCC для создания новых связей с новыми контроллерами домена.
repadmin /kcc
и проверяем, что синхронизация проходит без ошибок на каждом из контроллеров
Код:
Repadmin /syncall /AeS
repadmin /replsum8. Перераспределяем роли FSMO:
Код:
[B]Move-ADDirectoryServerOperationMasterRole -Identity “dc-01” -OperationMasterRole SchemaMaster, DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity “dc-02” -OperationMasterRole RIDMaster,PDCEmulator, InfrastructureMaster[/B]где dc-01 и dc-02 новые сервера на WS2016
Еще раз запускаем репликацию на всех контроллерах:
repadmin /syncall /AeS
Командой netdom query fsmo убеждаемся, что все роли переехали на нужные сервера.
9. На новых серверах в настройках сетевых адаптеров указываем в качестве DNS-сервера новые контроллеры домена.
10. Выполняем команду dcpromo на старых контроллерах для понижения уровня сервера. После отключения всех серверов не забываем запустить
Код:
repadmin /kcc
repadmin /syncall /AeS
repadmin /replsum11. Через оснастку «Active Directory – домены и доверие» поднимаем уровень домена и леса до 2016.