Filka13bga83,
Вот что значит сила слова... )) Оказывается надо было писать "Захват...", а я то писал "Как можно убедить вышедший из строя AD отдать своему доверенному... ". Локальность однако ))
Пошел грызть гранит...
Трём админам в течении нескольких лет голову не пришло такая простая фраза... Мда... я из-за этого поддержку TMS Server Aladdin потерял...
Про роль глобального каталога не забудьте

bga83__Avenger__пропущено...
А где она должна быть на PDC или BDC?
в домене 2003 нет понятия PDC и BDС. Все контроллеры равноправны, хотя для для ряда вещей осуществляется эмуляция этой роли.
А учитывая, что все контроллеры равноправны, вопрос где именно хранить ГК отпадает. Я, когда еще занимался этими вопросами, по ряду причин хранил на всех.
Обычно все роли сосредоточены на первом созданном контроллере, упоминание о ГК вызвано тем, что его роль не передается и не захватывается, а просто назначается и о ней просто забывают, когда гибнет его хранитель, а реплики при этом нормально функционируют...

Filka13Я вернулся. Прошу прощения. Подгадывал момент, молился и делал резервные копии...
И... все тщетно, говорят не имею я права...
Серверу "PDC2" известно о 5 ролях
Схема - CN=NTDS Settings,CN=PDC1,CN=Servers,CN=GENDD,CN=Sites,CN=Co
nfiguration,DC=DDR,DC=HJK,DC=ru
Домен - CN=NTDS Settings,CN=PDC1,CN=Servers,CN=GENDD,CN=Sites,CN=Co
nfiguration,DC=DDR,DC=HJK,DC=ru
PDC - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=Sites,CN=Con
figuration,DC=DDR,DC=HJK,DC=ru
RID - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=Sites,CN=Con
figuration,DC=DDR,DC=HJK,DC=ru
Инфраструктура - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=S
ites,CN=Configuration,DC=DDR,DC=HJK,DC=ru
PDC1 я не вижу уже более года, да и он меня ))
Попробуй заюзать учетку из группы группе enterprice admins

забыл что на стандарте этой группы нет...

У вас 2-е роли остались на старом PDC1, а 3-и перенеслись на PDC2...
Filka13Схема - CN=NTDS Settings,CN=PDC1,CN=Servers,CN=GENDD,CN=Sites,CN=Co
nfiguration,DC=DDR,DC=HJK,DC=ru
Домен - CN=NTDS Settings,CN=PDC1,CN=Servers,CN=GENDD,CN=Sites,CN=Co
nfiguration,DC=DDR,DC=HJK,DC=ru
PDC - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=Sites,CN=Con
figuration,DC=DDR,DC=HJK,DC=ru
RID - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=Sites,CN=Con
figuration,DC=DDR,DC=HJK,DC=ru
Инфраструктура - CN=NTDS Settings,CN=PDC2,CN=Servers,CN=Nerungry,CN=S
ites,CN=Configuration,DC=DDR,DC=HJK,DC=ru

Следовательно права должны быть....

Filka13Вот такое гад пишет...

авторfsmo maintenance: seize schema master
Попытка безопасной передачи schema FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x32(50 (Недостаточные права).
Расширенное сообщение об ошибке LDAP 00002098: SecErr: DSID-03151D7D, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x2098(Для выполнения операции права недостаточны.)
)
В зависимости от кода ошибки это может быть
ошибка подключения, LDAP или передачи роли.
Не удалось передать schema FSMO, выполняется захват...
При выполнении функции ldap_modify для SD произошла ошибка 0x32(50 (Недостаточны
е права).
Расширенное сообщение об ошибке LDAP 00000005: SecErr: DSID-03151E04, problem 40
03 (INSUFF_ACCESS_RIGHTS), data 0

Возвращенная ошибка Win32 0x5(Отказано в доступе.)
)
Там должна быть какая то dll перед этим зарегистрирована Sch****.dll...

Filka13Sergey Orlov,
Да, действительно, нашел в инструкциях необходимость регистрации schmmgmt.dll . Зарегистрировал, но увы, результат остался тот же, недостаточно прав .
Я вот думаю, если я для начала передам три имеющиеся роли, а именно PDC,RID,Infrastructure с 2003 r2 на 2008 r2 и уже на 2008 буду пытаться забрать права, это же не критично?
А PDC2 у вас сейчас владелец глобального каталога или нет, если нет, сделайте его владельцем, галочка в остнастке, подождите минут 15, затем повторите ipconfig /registerdns и через 15 минут снова попробуйте овладеть 2-мя оставшимися ролями...

У вас судя по картинке довольно раскиданное дерево(топология), может у вас есть взаимодействие с другими контроллерами домена, поэтому вас и не пускают...
У меня сложилось впечатление, что вам придется не переносить пользователей/компьютеры, а мигрировать в другое дерево/домен, т.е. вам придется воспользоваться утилитой ADMT

Filka13Спасибо большое за направление ) Пойду изучать, что можно с этим сделать... Впервые сталкиваюсь со всем этим... А перебивать домен жуть как не охото, да и опасно, ибо предприятие соц. направления, я не могу остановить работу... А за день или два не управлюсь.
Там есть режим имитации, так что можно все оценить, если ошибок не будет, то в принципе народ и не почувствует, что они в другом AD. Я в свое время мигрировал, правда с nt4 сразу на w2k3, с 38 машинами, все прошло очень гладко, пользователи и не заметили, правда готовились в течении недели, в основном анализировали сетевые ресурсы, их использование и права доступа...

Filka13Если позволите, прошу уточнить. Мне принципиально оставить наименования доменного имени. В случае миграции я поднимаю PDC3 и передаю все с PDC2 на PDC3, т.е. домен у меня меняется? Был GG.KK.RU, стал KK.RU? Потом по логики я останавливаю PDC2 домен GG.KK.RU более недоступен, поднимаю его заново и мигрирую снова с KK.RU на него уже с мне необходимым именем?
При миграции ты создаешь новое дерево(новое AD), в которое мигрируют пользователи/компьютеры, никакие роли ты уже не передаешь, было дерево DDR.HJK.ru станет я_хочу.такое.дерево. В дальнейшем вы можете переименовать и дерево, и домен, и имя контроллера... Т.е. есть разница между миграцией (из одного дерева в другое) и перемещением (внутри одного дерева...) Доменное имя на работу сети не влияет...