Mislim da Globalni katalog ne moze da pravi takav problem, tj. da sprecava korisnike da se loguju na domen, sem u slucaju pripadnosti Univerzalnim grupama. Mislim da se samo u tom slucaju koristi Globalni katalog za logovanje. Neko ko zaista dobro poznaje tu tematiku bi mogao nesto vise da kaze. Kako bilo, clanovi grupe Domain Admins ce moci da se loguju iako Globalni katalog nije dostupan. Proveri, ako ni takav korisnik ne moze da se loguje, onda svakako nije do Globalnog kataloga.
Dalje, "Single Master Operations" rola ima ukupno pet (ni manje ni vise). Njihovo prebacivanje je trebalo da uradis iz AD Users and Computers (tri role), AD Domains and Trusts (jedna rola) i AD Schema MMC-a (jedna rola). Ti si to uradio kroz "ntdsutil", a ta alatka se koristi samo ako je DC sa rolama pao pa se role ne mogu prebaciti regularnim putem. Pored toga, "ntdsutil" ce se iskoristiti u slucaju ako se DC koji je sadrzao role ne moze vratiti na mrezu, a iz toga proizilazi veoma vazan uslov, a to je da se
onesposobljeni DC ne sme vratiti na mrezu iako ga npr. osposobis posle nekoliko dana. U tvom slucaju mislim da si prekrsio to pravilo, jer koriscenjem "ntdsutil"-a ti nisi prebacio pet rola sa starog na novi DC, vec si nasilno osposobio novi DC za te role. Tako na mrezi imas dva DC-a sa istim rolama (sigurno su izvesno vreme bili istovremeno na mrezi) sto je neprihvatljivo. Ali, za utehu, mislim da i to nije srz tvog problema (do problema moze doci i mesecima kasnije), jer kada su oba DC-a podignuta - logovanje je uspesno (ako sam dobro shvatio). Cak i da nema ni jednog DC-a sa rolama, vec samo DC-ovi bez rola, na korisnike ima uticaja samo PDC emulator i to samo u slucaju ako imas klijente koji nisu Win2k/XP ili ako na mrezi postoji WinNT Server kao BDC. Zbog toga i dalje mislim da tvoji klijenti ne mogu da lociraju novi DC, a za to koriste usluge DNS-a.
Pozdrav.

U potpunosti se sad slazem sa tobom da je DNS. ali mislim da gresis za ntdsutil. to je odlican alat ne samo za popravku role-a nego i za transfer. Jest ima ih tacno 5 ,malo sam se ja ovih dana pogubio, i sve se lepo mogu prebaciti sa ntdsutil. popravka istih se vrsi naredbom SEIZE sto je isto odlicna stvar kad neko prebaci sve role na sekundarni a posle ga formatira. Nego da se vratim na poentu.
Dali da DNS podesavam rucno ili ce se nesreca sama podesiti kada sve ovo sto sam radio uradim iz pocetka? btw vratio sam stanje na nulu.
hvala jos jednom
pozdrav nikola

Da, u pravu si. Moze i kroz Cmd. Cim sam vid'o "ntdsutil" pomislih na "seize", pa se uplasih.
Probaj bez DHCP-a. Mozda novi DHCP na novom DC-u ustvari jos nije ni poceo da deli adrese, a samim tim ni novu adresu DNS-a.

Ako si provjerio da je sa drugim DC-om sve uredu, odnosno da sve funkcionise potrbno je da prvi DC "demotujes" sa dcpromo komandom.

pozdrav
donkihot

Ma da nista nisi prebacivao, da si samo iscupao glavni server iz struje to bi moralo da radi (za to i sluzi). Nesto tu drugo smrdi najverovatnije vezano za DNS. Probaj videti da li clienti dobijaju IP adrese od DHCP servera sa novim podesavanjima i probaj da rezolviras ime domena sa nslookup.

Kad ti njemu u nslookup upises ime domena on mora da ti vrati IP adrese DC-(ov)a.

Najzad imam ideju sta bi mozda moglo da bude uzrok problemu. Pored DNS koji bi sad trebao da radi kako treba provalio sam da serveri uopste ne rade dobro replikaciju fajlova . Tj. SYSVOL na sekundarnom serveru je skroz prazan 0kb dok je na glavnom oko 9MB a ntds direktorijum je za 3MB manji u odnosu na glavni. Netdiag mi na sekundarnom prijavljuje da replikacija fajlova nije bas najbolje uradjena i da taj domen kontroler nije preuzeo sve funkcije domain kontrolera. A u logu od glavnog domena mi prijavljuje da nije uspela replikacija fajlova u ntds direktorijum kao i problem sa nekim KCC modulom. Ima li resenja, tj. ima li nade da se taj replikativni sistem popravi.
nikola