Napraw błąd określający, czy środowisko docelowe wymaga narzędzia adprep w systemie Windows Server 2012 podczas promocji kontrolera domeny

9

Nie mogę wypromować mojego nowo zainstalowanego komputera z systemem Windows Server 2012 na kontrolerze domeny. Mam dwa istniejące kontrolery domeny. Podstawowa jest na poziomie systemu Windows Server 2003 i działa W2003Server, a druga to Windows Server 2003 R2. ( Aktualizacja: pierwotnie to pytanie dotyczyło nieśmiertelnego komunikatu ostrzegawczego dotyczącego kontrolera domeny, którego nie można zlokalizować, co jest normalne podczas aktualizacji z systemu Windows Server 2003, ponieważ nie można utworzyć kontrolera domeny tylko do odczytu, gdy las active directory jest na poziomie funkcjonalnym 2003, więc moim zdaniem ostrzeżenie powinno zostać unieważnione. Po przejściu przez kilka podobnie przerażających błędów, w końcu doszedłem do prawdziwego błędu, który jest AdPrepbłędem pokrewnym.)

W przypadku nowego serwera Win2012 połączenie z domeną jako serwer będący członkiem domeny działało poprawnie. Ale AD DS Cfg Wiz zawiesza się na około 100 sekund, przechodzi ze strony 1 kreatora do strony 2 (która pokazuje pole kombi nazwy witryny i dwa pola edycji hasła do hasła DSRM), a następnie pojawia się ten błąd w usługach domenowych w usłudze Active Directory Kreator konfiguracji.

Na początku myślałem, że to prawdziwy błąd. Ale to tylko przeszkoda na mojej drodze, którą kontynuuję:

Opcje kontrolera domeny

W tej domenie nie można znaleźć kontrolera domeny z systemem Windows Server 2008, Windows Server 2008 R2 lub Windows Server 2012. Aby zainstalować kontroler domeny tylko do odczytu, domena musi mieć kontroler domeny z systemem Windows Server 2008, Windows Server 2008 R2 lub Windows Server 2012.

[OK]

Następnie otrzymuję kilka podobnych komunikatów „Nie możesz zaznaczyć tego pola wyboru, więc dla Ciebie wyszarzyliśmy”, które możesz kontynuować.

Następnie ten:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Czy ktoś dostał domenę na poziomie od 2003 do 2012?

Aktualizacja Okazuje się, że nie miałem aktywnego wzorca schematu w domenie.

Update2 Aby skorzystać z Przyszłych użytkowników z tym błędem, pokazałem zrzut ekranu z błędami, które widziałem:

wprowadź opis zdjęcia tutaj

active-directory windows-server-2012 Warren P.
źródło
1
„Kontroler domeny działa .....” co ? Prześlij pełny komunikat o błędzie, który otrzymujesz.
Massimo,
Pełny komunikat o błędzie już tam jest.
Warren P,
4
Ten komunikat powinien dotyczyć tylko instalacji kontrolera RODC, co prawdopodobnie nie jest możliwe. Czy kreator pozwala kontynuować od tej wiadomości?
joeqwerty
Tak. A potem było jeszcze kilka innych. Ostatni błąd blokowania jest teraz tutaj.
Warren P

Odpowiedzi:

7

Czy poziom funkcjonalności Twojego lasu / domeny to 2003? Powinieneś być w stanie dodać kontroler domeny 2012 do lasu 2003 - pod warunkiem, że las jest na poziomie funkcjonalnym 2003.

edycja: Sprawdź również ustawienia DNS i upewnij się, że są one poprawne oraz że możesz rozwiązać poprawne rekordy srv w celu zlokalizowania kontrolerów domeny

edit2: Jeśli próbujesz zainstalować kontroler RODC, musisz mieć kontroler domeny z możliwością zapisu w 2008 r., aby zainstalować kontroler tylko do odczytu.

Rex
źródło
Ja to zrobiłem. Domena jest na poziomie z 2003 roku. Myślałem, że wystąpił problem z DNS, ale wydaje się, że moje dwa kontrolery domeny (oba z uruchomionym serwerem 2003) są osiągalne i DNS wydaje się w porządku, ale nadal jestem zablokowany.
Warren P,
7

Jeśli wszystkie kontrolery domeny mają co najmniej system Windows Server 2003, a poziomy funkcjonalności domeny i lasu są ustawione na co najmniej Windows Server 2003, dodanie kontrolera domeny systemu Windows Server 2012 powinno działać poprawnie:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

Jedyną sytuacją, w której potrzebujesz co najmniej kontrolera systemu Windows Server 2008 DC, jest dodanie kontrolera domeny tylko do odczytu.

Edytować:

Jeśli otrzymujesz wiadomość, która jest tutaj pokazana , oznacza to tylko ostrzeżenie (co powinno być wyraźnie zaznaczone żółtą ikoną wykrzyknika); nie powstrzyma cię przed kontynuowaniem, chyba że faktycznie próbujesz zainstalować RODC.

Massimo
źródło
Dziękuję Ci! Ta odpowiedź jest poprawna na moje pierwotne pytanie (wstępne edycje, dotyczące pierwszego „ostrzeżenia”, które moim zdaniem było „fatalnym błędem”, a nie było). Powinienem to zignorować i kontynuować, co było bardzo pomocne. Jednak przyszli czytelnicy uznają, że nie ma to zastosowania, ponieważ wspomina tylko o pierwszym błędzie. Przepraszam, że zadałem zmieszane pytanie.
Warren P,
3

Musisz uruchomić wymagane polecenia adprep /forestprepi adprep /domainpreppolecenia z dysku DVD z 2012 roku.

MDMarra
źródło
Niepoprawne, te kroki są zintegrowane z kreatorem promocji w systemie Windows Server 2012 (chociaż nadal można je uruchomić ręcznie w razie potrzeby).
Massimo,
1
To powinno być oczywiste ... technicznie, wszystkie elementy adprep są teraz zintegrowane. Nadal można je jednak uruchamiać ręcznie.
Rex,
1
Zgodnie z tym artykułem forestprep i domainprep będą uruchamiane podczas kreatora konfiguracji usług AD DS i nie będą już musiały być uruchamiane z odpowiedniego posiadacza roli FSMO: blogs.technet.com/b/askpfeplat/archive/2012/09/03/...
joeqwerty
1
@joeqwerty Nadal możesz uruchamiać te polecenia ręcznie w 2012 r. i uruchamiać je z serwera 2012 jako członek grupy Enterprise Admin. Wszystko czego potrzebujesz to łączność z tego serwera do Schema Master i Infrastructure Master.
MDMarra,
1
@WarrenP W przypadku 2012 roku uruchamiasz go z serwera 2012, który jest tylko x64. To nie jest problem. Sugeruję dokładne przeczytanie dokumentacji przed kontynuowaniem.
MDMarra
3

Okazuje się, że nie miałem aktywnego Schema Master w mojej domenie. Zapytałem tutaj o to, jak uzyskać aktywnego właściciela schematu. Nazwa była poprawna, ale nazwa maszyny była nazwą, która już dawno została wyłączona i wycofana z użytku, ale nikt nie przeniósł roli wzorca schematu przed jego śmiercią.

Oto, co musiałem zrobić:

  1. Podczas gdy Windows Server 2012 próbuje cię uratować przed uruchomieniem programu adprep, w niektórych przypadkach nie może tego zrobić. W moim przypadku ktoś utworzył kontroler domeny i przeniósł rolę PDC na serwer, ale nie rolę wzorca schematu, a następnie wycofał serwer wzorca schematu bez normalnego przesyłania roli wzorca schematu. Diagnozowanie takich problemów przy przechodzeniu z 9-letniej wersji systemu Windows do najnowszej wersji jest trudne, ponieważ w systemie Windows Server 2012 występują błędy Win32, a te błędy są po prostu dużymi ujemnymi liczbami całkowitymi, jak pokazano w moim pytaniu. Ale nawet próby aktualizacji z 2003 do 2008 R2 były podobnie zablokowane i nie były wyświetlane żadne pomocne komunikaty o błędach. Oczywiście jest to typowe dla problemów z ActiveDirectory. Odczytywanie dzienników i uruchamianie narzędzi diagnostycznych wiersza poleceń jest częścią standardowego „

  2. W przypadkach takich jak wyżej przydatne błędy pojawiają się tylko wtedy, gdy uruchomisz AdPrep w trybie autonomicznym. Niestety, tylko 64-bitowy program adprep jest dostarczany z systemem Windows Server 2012. Aby zainstalować 32-bitowy program adprep32.exe, użyj instalatora DVD 2008 R2.

  3. Badając błędy związane z uruchamianiem wersji AdPrep dla systemu Windows 2008 R2 w autonomicznym trybie wiersza poleceń, sprowadziłem się do faktu, że musiałem się upewnić, że maszyna kontrolera domeny z rolą Schema Master w ogóle istnieje i jest w sieci. Należy pamiętać, że wersja AdPrep na Windows Server 2012 została zaprojektowana do uruchamiania z serwera 2012, a nie na komputerach głównych, jak to miało miejsce wcześniej w przypadku użycia AdPrep. Jeśli spróbujesz uruchomić narzędzie AdPrep na 32-bitowym komputerze z systemem Windows Server 2003, utkniesz, ponieważ AdPrep.exe nawet nie uruchomi się i nie wydrukuje żadnego komunikatu o błędzie na twoim 32-bitowym komputerze. W moim przypadku żaden nie istniał i musiałem użyć tego linku, aby „przejąć” rolę wzorca schematu, korzystając z głównej pomocy NTDSUTIL:

    http://technet.microsoft.com/en-us/library/cc976711.aspx

Konkretna pomoc w przejęciu wzorca schematu:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Jak powiedziałem w kroku 1, większość ludzi nie będzie miała tego problemu, ale zamieszanie w środowiskach amatorskich może prowadzić innych do podobnych problemów.

Zapytałem również, jak zidentyfikować nazwę aktywnego wzorca schematu, z wiersza polecenia w połączonym pytaniu, a to polecenie działa, aby dowiedzieć się, kto jest wzorzec schematu:

      netdom query fsmo

Następnie uruchomiłem, ntdsutiljak opisano w punkcie 3 powyżej, przejąłem rolę wzorca schematu, aby naprawić domenę, a następnie mogłem adprepnormalnie działać :

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

A potem adprepdziała. Pamiętaj, że nadal nie skończyłeś. Konfiguracja kontrolera domeny systemu Windows Server 2012 nadal nie powiedzie się w przypadku setek innych problemów, zbyt wielu, aby je tutaj wymienić. Inne rzeczy, które musiałem zrobić, aby to zadziałało:

  1. Usuń program Symantec Endpoint Protection i wyłącz zaporę systemu Windows, aby WMI działało w sieci, co jest wymagane dla nowego kontrolera domeny rozmawiającego ze starym kontrolerem domeny.

  2. Napraw kilka błędów konfiguracji DNS, a następnie uruchom ipconfig /flushdns, w tym usunięcie zepsutych serwerów, które nie zostały poprawnie zlikwidowane, co oznacza po prostu przejście do ekranu zarządzania AD i usunięcie tych serwerów. Inne błędy DNS mogą obejmować brak rekordów odwrotnego DNS itp.

  3. Upewnij się, że jeśli wystąpią błędy komunikacji za pośrednictwem WMI / DCOM, naprawisz uprawnienia do usługi lub inne błędy, które mogą zablokować działanie WMI i DCOM.

Warren P.
źródło
2

Dla mnie ten problem wystąpił z powodu nieudanego zajęcia wzorca nazw. Musiałem ponownie przejąć rolę wzorca domeny, aby rozwiązać ten problem. Odkryłem, że coś było nie tak, kiedy uruchomiłem polecenie „netdom query fsmo” i dało mi to błąd po pierwszej roli, która próbowała wyliczyć wszystkie role FSMO.

Mogłem osobno sprawdzić role FSMO w komputerach i użytkownikach usługi Active Directory oraz domenach i relacjach zaufania w usłudze Active Directory. Kiedy sprawdzałem wzorzec nazw domen w Domenach i trustach AD, nie było w stanie wyświetlić aktualnego wzorca nazw domen, w związku z czym nie pozwoliłem zmienić go na serwer. Następnie wykonałem kroki opisane na „ https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx ”, aby przejąć mistrza nazewnictwa Działa jak urok!

Matt Birch
źródło
1

Wygląda na to, że błąd wskazuje na problem z połączeniem sieciowym między promowanym nowym DC a istniejącymi DC w domenie. Miałem ten sam błąd „błąd określający, czy środowisko docelowe wymaga adprep”. Było to spowodowane tym, że wzorzec schematu znajdował się w innej witrynie, a zapora między nimi nie pozwalała nowemu DC połączyć się z nim. Po dodaniu przepływu do zapory dla nowego serwera wystąpił błąd i awans do DC przebiegł bez żadnych problemów.

Steve Waller
źródło
1

Może się to zdarzyć, gdy zmienisz nazwę kontrolera domeny podczas migracji. Najlepszą praktyką byłoby najpierw zainstalować DNS, a następnie nie powinien pojawić się ten błąd. Hack wokół polega na wybraniu opcji usuwania roli, zakończy się ona niepowodzeniem, zamknie się i błąd zostanie usunięty.

Phoenix Lester
źródło