Перехват ролей контроллеров домена

[systemevil]

Добрый день господа! Есть локальная сеть на ~80 компьютеров с АД.

Возникла проблема: в сети был единственный контроллер домена на 2003 сервере, который авлялся держателем всех ролей в домене. Далее этот сервер по техническим причинам отказал и в сети был поднят второй контроллер домена из резервной копии каталога AD. Как оказалось, второй контроллер домена при повышении стал только держателем каталога AD и являясь Global Catalog'ом позволял проходить аутентификацию пользрвателям домена. Так же отмечу, что в каталоге осталась информация об "упавшем" контроллере домена, который авлялся держателем ролей.

Соответственно не имея в сети функционирующего держателя ролей, кабота AD сводится только к аутентификации пользователей и добавлении копьютеров в домен.

Есть утилита ntdsutil, позволяюшая назначить (transfer) определенный контроллер домена держателем определенных ролей (которые выберет администратор). НО, при назначении роли контроллеру, назначаемый контроллер пытается связаться с несуществующим держателем передаваемой роли для корректного исправления информации в каталоге и ненаходя держателя в сети выдает ошибку.

В утилите ntdsutil есть возможность перехвата ролей (sieze), придуманная специально для потери держателя основных ролей и невозможности его восстановления.

Собственно меня интересует, сталкивались ли вы с работой этой утилиты, в особенности с возможностью захвата ролей другим контроллером домена?

[Bormoto]

Собственно меня интересует, сталкивались ли вы с работой этой утилиты, в особенности с возможностью захвата ролей другим контроллером домена?

Здорово, что Вы рассказали народу о богатых возможностях ntdsutil. Самое главное - она действительно работает!
Хотя читать Technet для реальных пацанов и некошерно, рискну привести несколько ссылок которые Вам должны помочь:
1. Принудительный перехват ролей DC: http://support.microsoft.com/kb/255504/en-us
2. Зачистка AD от следов "скончавшегося" DC: http://support.microsoft.com/kb/216498/en-us
И, на всякий случай, Вы, конечно же это знаете, как роли переносят между нормально функционирующими DC: http://support.microsoft.com/kb/324801/en-us
Некоторые забывают про Schema master role.
Кстати, не забудьте о достаточных правах учетной записи, под которой Вы будете все это делать.  
Все работает, кроме особо запущенных случаев. Если сомневаетесь, смоделируйте ситуацию на стенде из виртуальных машин. Много времени не займет, а опыт получите.

[systemevil]

Что за привычка у людей на поставленный вопрос не отвечать, а начинать острить, тыкать носом в мануалы и строить из себя величайших гуру. Я спросил, сталкивались ли с возможностью перехвата и ждал ответа вроде "прекрасно роли передаются" или "домен упал, восстанавливал все заново".

Ладно, хоть и с сарказмом, но все же это ответ! Низкий Вам поклон, уважаемый Bormoto от реально-кошерного пацана.

[Bormoto]

Что за привычка у людей на поставленный вопрос не отвечать, а начинать острить, тыкать носом в мануалы и строить из себя величайших гуру.

Тщеславием особо не страдаю. Сама-то проблема несложная, просто нечасто повторяющаяся - DC редко "теряются" безвозвратно, ибо могут наказать. А настоящим "гуру", наверное, просто надоело отвечать на одни и те же вопросы много лет подряд.
Просто "порадовала" позиция специалиста, ставящего под сомнение информацию от вендора, но готового поверить на слово незнакомым ему личностям. Отсюда и пожелание "тыкать носом в мануалы". Ну, это уже оффтоп. Успехов!