Исправлена ​​ошибка, определяющая, требует ли целевая среда adprep в Windows Server 2012 во время продвижения контроллера домена

9

Я не могу продвинуть свою недавно установленную машину Windows Server 2012 на контроллер домена. У меня есть два существующих контроллера домена. Основной находится на уровне Windows Server 2003 и работает под управлением W2003Server, а дополнительный - под управлением Windows Server 2003 R2. ( Обновление. Первоначально этот вопрос задавался о нефатальном предупреждающем сообщении о контроллере домена, который не может быть обнаружен, что является нормальным явлением при обновлении с Windows Server 2003, поскольку невозможно создать контроллер домена только для чтения, когда Лес активного каталога находится на функциональном уровне 2003 года, так что, по моему мнению, предупреждение должно быть отменено. После продолжения работы с несколькими более пугающе выглядящими ошибками я наконец-то добрался до реальной ошибки, которая является AdPrepсвязанной ошибкой.)

На новой коробке сервера Win2012 присоединение к домену в качестве сервера, который является членом домена, работало нормально. Но AD DS Cfg Wiz зависает примерно на 100 секунд, он переходит со страницы 1 мастера на страницу 2 (на которой отображается поле со списком имени сайта и два поля ввода ввода пароля для пароля DSRM), затем я получаю эту ошибку в доменных службах Active Directory Мастер настройки.

Сначала я подумал, что это была настоящая ошибка. Но на моем пути это просто контрольно-пропускной пункт, который я продолжаю:

Параметры контроллера домена

Контроллер домена под управлением Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 не может быть расположен в этом домене. Чтобы установить контроллер домена только для чтения, домен должен иметь контроллер домена под управлением Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012.

[ХОРОШО]

Затем я получаю еще несколько похожих сообщений «Вы не можете установить этот флажок, поэтому мы выделили его для вас серым цветом», которые вы можете продолжить.

Далее этот:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Кто-нибудь получил домен на уровне 2003 до 2012 года?

Обновление Оказывается, у меня не было активного мастера схемы в домене.

Update2 Чтобы воспользоваться будущими пользователями с этой ошибкой, я показал скриншот с ошибками, которые я видел:

введите описание изображения здесь

active-directory windows-server-2012 Уоррен П
источник
1
«Контроллер домена работает .....» что ? Пожалуйста, опубликуйте полное сообщение об ошибке, которое вы получаете.
Массимо
Полное сообщение об ошибке теперь там.
Уоррен П
4
Это сообщение должно относиться только к установке контроллера домена только для чтения, что, по-видимому, вы не делаете. Мастер позволяет вам продолжить с этого сообщения?
Joeqwerty
Да. А потом было еще куча. Последняя ошибка блокировки теперь здесь.
Уоррен П

Ответы:

7

Работает ли ваш лес / домен в 2003 году? Вы должны иметь возможность добавить контроллер домена 2012 в лес 2003 года - при условии, что лес находится на функциональном уровне 2003 года.

edit: Кроме того, проверьте настройки DNS и убедитесь, что они правильные, и что вы можете разрешить правильные записи srv, чтобы найти контроллеры домена

edit2: Если вы пытаетесь установить контроллер домена только для чтения, вам понадобится контроллер DC с возможностью записи 2008 для установки контроллера домена только для чтения.

Rex
источник
Я это сделал. И домен находится на уровне 2003 года. Я думал, что была проблема с DNS, но кажется, что мои два контроллера домена (оба работают под управлением 2003) оба доступны, и DNS кажется нормальным, но я все еще заблокирован.
Уоррен П
7

Если все ваши контроллеры домена установлены как минимум на Windows Server 2003, а функциональные уровни домена и леса установлены как минимум на Windows Server 2003, добавление контроллера домена Windows Server 2012 должно работать нормально:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

Единственная ситуация, когда вам понадобится хотя бы Windows Server 2008 DC, - это если вы добавляете контроллер домена только для чтения.

Редактировать:

Если вы получаете сообщение, показанное здесь , то это всего лишь предупреждение (как должно быть ясно из желтого значка с восклицательным знаком); это не остановит вас от продолжения, если вы на самом деле не пытаетесь установить RODC.

Massimo
источник
Спасибо! Этот ответ является правильным для моего первоначального вопроса (предварительные правки, о первом «предупреждении», которое я считал «фатальной ошибкой» и не было). Я должен был проигнорировать это и продолжить, и это было очень полезно. Однако будущие читатели сочтут это неприменимым, поскольку в нем упоминается только первая ошибка. Мои извинения за то, что задали запутанный вопрос.
Уоррен П
3

Вам необходимо запустить реквизиты adprep /forestprepи adprep /domainprepкоманды с DVD 2012 года.

MDMarra
источник
Неправильно, эти шаги интегрированы в мастер продвижения в Windows Server 2012 (хотя при желании их можно запустить вручную).
Массимо
1
Это само собой разумеется ... технически, все элементы adprep теперь интегрированы. Они все еще могут быть запущены вручную, хотя.
Рекс
1
Согласно этой статье, forestprep и domainprep будут запускаться во время работы мастера настройки AD DS, и его больше не нужно будет запускать от соответствующего держателя роли FSMO: blogs.technet.com/b/askpfeplat/archive/2012/09/03/…
Joeqwerty
1
@joeqwerty Вы можете запустить эти команды вручную в 2012 году и запустить их с сервера 2012 года в качестве члена группы «Администратор предприятия». Все, что вам нужно, это подключение с этого сервера к хозяину схемы и хозяину инфраструктуры.
MDMarra
1
@WarrenP В случае 2012 года вы запускаете его с сервера 2012 года, который является только x64. Это не проблема. Я предлагаю вам внимательно прочитать документацию, прежде чем продолжить.
MDMarra
3

Оказывается, у меня не было активного мастера схемы в моем домене. Я спросил здесь о том, как получить активного владельца схемы. Имя было допустимым, но имя машины было именем, которое давно было отключено и выведено из эксплуатации, но никто не передавал роль хозяина схемы до его смерти.

Вот что я должен был сделать:

  1. Хотя Windows Server 2012 пытается спасти вас от запуска adprep, в некоторых случаях он не может этого сделать. В моем случае кто-то создал контроллер домена и перенес роль PDC на сервер, но не роль хозяина схемы, а затем удалил сервер-хозяин схемы без обычной передачи роли хозяина схемы. Диагностировать подобные проблемы при переходе от 9-летней версии Windows к последней версии сложно, потому что в Windows Server 2012 вы получаете ошибки Win32, и эти ошибки являются просто большими отрицательными целочисленными значениями, как показано в моем вопросе. Но даже попытки обновления с 2003 до 2008 R2 были аналогичным образом заблокированы, и никаких полезных сообщений об ошибках не отображалось. Конечно, это типично для проблем ActiveDirectory. Чтение журналов и запуск утилиты диагностики командной строки является частью стандарта "

  2. В случаях, подобных описанным выше, вы получаете полезные ошибки только при запуске AdPrep в автономном режиме. К сожалению, только 64-битный adprep поставляется с Windows Server 2012. Используйте 2008 r2 install dvd, чтобы получить 32-битный adprep32.exe.

  3. Изучая ошибки запуска версии AdPrep для Windows 2008 R2 в автономном режиме командной строки, я обнаружил, что все сводится к тому, что мне нужно убедиться, что компьютер контроллера домена с ролью хозяина схемы даже существует и работает в сети. Обратите внимание, что версия AdPrep для Windows Server 2012 предназначена для запуска с вашего сервера 2012 года, а не с ваших главных компьютеров роли, как это было ранее для использования AdPrep. Если вы попытаетесь запустить инструмент AdPrep на 32-разрядной машине с Windows Server 2003, вы застрянете, потому что AdPrep.exe даже не запустится и не выведет сообщение об ошибке на 32-разрядной машине. В моем случае ничего не существовало, и мне пришлось использовать эту ссылку, чтобы «захватить» роль хозяина схемы с помощью основной справки NTDSUTIL:

    http://technet.microsoft.com/en-us/library/cc976711.aspx

Специальная помощь для захвата хозяина схемы:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Как я сказал в шаге 1, у большинства людей не будет этой проблемы, но путаница в кругах любителей-ИТ может привести к тому, что у других возникнут аналогичные проблемы.

Я также спросил, как определить имя мастера активной схемы из командной строки в связанном вопросе, и эта команда работает, чтобы выяснить, кто является хозяином схемы:

      netdom query fsmo

Затем я запустил, ntdsutilкак описано в пункте № 3 выше, использовал роль хозяина схемы для восстановления домена, и после этого я смог adprepнормально работать :

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

И тогда adprepработает. Обратите внимание, что вы все еще не сделали. Настройка контроллера домена Windows Server 2012 все равно не удастся решить из-за сотен других проблем, слишком много, чтобы перечислять их здесь. Другие вещи, которые я должен был сделать, чтобы заставить его работать:

  1. Удалите Symantec Endpoint Protection и отключите брандмауэр Windows, чтобы WMI работал по сети, что необходимо для связи нового контроллера домена со старым контроллером домена.

  2. Исправьте несколько ошибок конфигурации DNS, а затем запустите ipconfig /flushdns, в том числе удалите списанные серверы, которые не были должным образом выведены из эксплуатации, что означает в основном переход к экрану управления AD и удаление этих серверов. Другие ошибки DNS могут включать отсутствие записей обратного DNS и т. Д.

  3. Убедитесь, что если вы получаете сообщения об ошибках через WMI / DCOM, вы восстанавливаете разрешения службы или другие ошибки, которые могут блокировать работу WMI и DCOM.

Уоррен П
источник
2

Для меня эта проблема произошла из-за неудачного захвата мастера именования. Мне пришлось снова воспользоваться ролью хозяина домена, чтобы решить эту проблему. Я обнаружил, что что-то не так, когда я выполнил команду «netdom query fsmo», и это выдало мне ошибку после первой роли, пытающейся перечислить все роли FSMO.

Мне удалось проверить роли FSMO по отдельности в компьютерах и пользователях Active Directory, а также в доменах и трастах Active Directory. Когда я проверял Мастер именования доменов в доменах и трастах AD, он не смог перечислить текущий Мастер именования доменов и, следовательно, не позволил мне сменить его на сервер. Затем я следовал инструкциям, изложенным на « https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx », чтобы захватить мастер именования.

Мэтт Бёрч
источник
1

Кажется, ошибка указывает на проблему с сетевым подключением между новым продвигаемым DC и существующими DC в домене. У меня была та же ошибка "ошибка, определяющая, требует ли целевая среда adprep". Это было вызвано тем, что хозяин схемы находился на другом сайте, а межсетевой экран не разрешал подключаться к нему новому DC. Как только поток был добавлен в брандмауэр для нового сервера, ошибка пошла, и продвижение к DC прошло без инцидентов.

Стив Уоллер
источник
1

Это может произойти, когда вы переименуете DC во время миграции. Рекомендуется сначала установить DNS, тогда вы не увидите эту ошибку. Нужно выбрать удалить роль, она не удастся закрыть, и ошибка будет удалена.

Феникс Лестер
источник