2012 R2 - [решено] Трансфер fsmo schema master

2012 R2 - [решено] Трансфер fsmo schema master

nanervax

Новый участник

Сообщения: 25
Благодарности: 0

Добрый день.
Ситуация такая:
Есть DC на 2008r2, сервер называется windc, развернут на физической машине.
Есть DC на 2012r2, сервер называется windctest, развернут на Hyper-V
windctest включен в домен, является ГК
С DNS косяков быть не должно, репликации ходят без проблем. Все проверял, в журналах DNS ошибок нет на обоих серверах.
Недавно решил полностью виртуализировать AD, начал с переноса ролей и наступил на неведомые грабли,
перенес все роли FSMO кроме schema master
вот что пишет в консольке на сервере windctest при попытке трансфера мастер роли:

Скрытый текст

ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server windctest
Binding to windctest ...
Connected to windctest using credentials of locally logged on user.
server connections: q
fsmo maintenance: transfer schema master
ldap_modify_sW error 0x32(50 (Insufficient Rights).
Ldap extended error message is 00002098: SecErr: DSID-0315256E, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Win32 error returned is 0x2098(Insufficient access rights to perform the operation.)
)
Depending on the error code this may indicate a connection,
ldap, or role transfer error.
Server "windctest" knows about 5 roles
Schema - CN=NTDS Settings,CN=WINDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=profit,DC=local
Naming Master - CN=NTDS Settings,CN=WINDCTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=profit,DC=local
PDC - CN=NTDS Settings,CN=WINDCTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=profit,DC=local
RID - CN=NTDS Settings,CN=WINDCTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=profit,DC=local
Infrastructure - CN=NTDS Settings,CN=WINDCTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=profit,DC=local

Я состою в группе schema admins.
В гуях обоих серверов во вкладке "Member Of" видно группу "Shema Admins"
Интересно вот что
Это я получаю на windc в консольке whoami /groups:

Скрытый текст

Group Name Type SID Attributes
============================================= ================ =========================================== ===============================================================
PROFIT\Schema Admins Group S-1-5-21-199429320-2110906339-61651236-518 Mandatory group, Enabled by default, Enabled group
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Remote Desktop Users Alias S-1-5-32-555 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\REMOTE INTERACTIVE LOGON Well-known group S-1-5-14 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
PROFIT\Domain Admins Group S-1-5-21-199429320-2110906339-61651236-512 Mandatory group, Enabled by default, Enabled group
PROFIT\Enterprise Admins Group S-1-5-21-199429320-2110906339-61651236-519 Mandatory group, Enabled by default, Enabled group
PROFIT\FS IT Private FC Alias S-1-5-21-199429320-2110906339-61651236-1142 Mandatory group, Enabled by default, Enabled group
PROFIT\Access VPN to PL Alias S-1-5-21-199429320-2110906339-61651236-1432 Mandatory group, Enabled by default, Enabled group, Local Group
PROFIT\FS IT Public FC Alias S-1-5-21-199429320-2110906339-61651236-1150 Mandatory group, Enabled by default, Enabled group, Local Group
PROFIT\Denied RODC Password Replication Group Alias S-1-5-21-199429320-2110906339-61651236-572 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level Label S-1-16-12288 Mandatory group, Enabled by default, Enabled group, Local Group

А это вывод той же команды на windctest:

Скрытый текст

GROUP INFORMATION
-----------------

Group Name Type SID Attributes
============================================= ================ =========================================== ===============================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Remote Desktop Users Alias S-1-5-32-555 Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators Alias S-1-5-32-544 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\REMOTE INTERACTIVE LOGON Well-known group S-1-5-14 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
PROFIT\Domain Admins Group S-1-5-21-199429320-2110906339-61651236-512 Mandatory group, Enabled by default, Enabled group
PROFIT\Enterprise Admins Group S-1-5-21-199429320-2110906339-61651236-519 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity Well-known group S-1-18-1 Mandatory group, Enabled by default, Enabled group
PROFIT\FS IT Private FC Alias S-1-5-21-199429320-2110906339-61651236-1142 Mandatory group, Enabled by default, Enabled group, Local Group
PROFIT\Access VPN to PL Alias S-1-5-21-199429320-2110906339-61651236-1432 Mandatory group, Enabled by default, Enabled group, Local Group
PROFIT\FS IT Public FC Alias S-1-5-21-199429320-2110906339-61651236-1150 Mandatory group, Enabled by default, Enabled group, Local Group
PROFIT\Denied RODC Password Replication Group Alias S-1-5-21-199429320-2110906339-61651236-572 Mandatory group, Enabled by default, Enabled group, Local Group

Как так? почему на первом DC я есть в группе админов схемы, а во второй меня там нет... может в этом трабла с переносом роли мастера схемы?
Что в этом случае можно сделать? Весь гугл уже перерыл

Отправлено: 16:52, 08-05-2015

ko4evneg

Ветеран

Сообщения: 567
Благодарности: 146

Профиль | Отправить PM | Цитировать

Перелогиниться пробовали на втором сервере? Членство в группах обновляется только с обновление керберос тикета. Если вы добавили юзера в группу и не перелогинились, то новое членство не применится.

-------
MCSA:Windows Server 2012, MCSE:Messaging, MCSE:Communication, VCP5:Datacenter Virtualization, CCENT
Ит блог, бесплатные курсы по администрированию

Отправлено: 14:52, 09-05-2015 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

nanervax

Новый участник

Сообщения: 25
Благодарности: 0

Профиль | Отправить PM | Цитировать

Да пробовал конечно, проблема сохраняется

Отправлено: 08:52, 12-05-2015 | #3

nanervax

Новый участник

Сообщения: 25
Благодарности: 0

Профиль | Отправить PM | Цитировать

klist.exe не помог, тикеты убились, но проблема осталась
Помог только ребут..
Отсюда вывод, ребята, разворачивайте АД на отдельном сервере.
Тему закрываю.

Отправлено: 11:33, 12-05-2015 | #4