题 修复在域控制器升级期间确定目标环境是否需要在Windows Server 2012中使用adprep的错误


我无法将我新安装的Windows Server 2012计算机升级为域控制器。我有两个现有的域控制器。主要是在Windows Server 2003级别,并且正在运行W2003Server,而辅助服务器正在运行Windows Server 2003 R2。 (更新: 最初这个问题询问有关域控制器的非致命警告消息 - 无法定位,这在从Windows Server 2003升级时是正常的,因为在活动目录林中创建只读域控制器是不可能的是在2003年的功能水平,所以我认为警告应该被撤销。继续经历几个类似的可怕的错误后,我终于得到了真正的错误,这是一个 AdPrep 相关错误。)

在新的Win2012服务器框上,将域作为域成员的服务器加入工作正常。但是AD DS Cfg Wiz会冻结大约100秒,它从向导的第1页到第2页(显示网站名称组合框和DSRM密码的两个密码输入编辑框)然后我在Active Directory域服务中收到此错误配置向导。

起初我以为这是真正的错误。但这只是我继续前进的障碍:

域控制器选项

运行Windows Server 2008,Windows Server 2008的域控制器   无法在此域中找到R2或Windows Server 2012。至   安装只读域控制器,域必须具有域   控制器运行Windows Server 2008,Windows Server 2008 R2或   Windows Server 2012。

[好]

接下来我得到一些类似的“你不能选中这个复选框,所以我们已经为你涂了灰色”的消息,你可以继续。

接下来这个:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

有没有人在2003年达到2003年的域名?

更新 事实证明我在域上没有活动的架构主机。

UPDATE2 为了使未来用户受益于此错误,我已经显示了我看到的错误的屏幕截图:

enter image description here


9
2017-10-09 18:23




“域控制器运行.....” 什么?请发布您收到的完整错误消息。 - Massimo
现在有完整的错误消息。 - Warren P
该消息应仅与RODC的安装相关,这可能是您没有做到的。向导是否允许您从该消息继续? - joeqwerty
是。然后还有更多。最后的阻塞错误现在在这里。 - Warren P


答案:


你的森林/域名功能级别是2003年吗?您应该能够将2012域控制器添加到2003林中 - 前提是林处于2003功能级别。

编辑: 此外,检查您的DNS设置并确保它们是正确的,并且您可以解析正确的srv记录以找到域控制器

edit2:如果您尝试安装RODC,则需要使用2008可写DC来安装只读DC。


7
2017-10-09 18:26



我做到了该域名处于2003级。我认为有一个DNS问题,但似乎我的两个域控制器(都运行服务器2003)都可以访问,DNS似乎很好,但我仍然被阻止。 - Warren P


如果所有域控制器至少都是Windows Server 2003,并且域和林功能级别都设置为至少Windows Server 2003,则添加Windows Server 2012 DC应该可以正常工作:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

如果您要添加只读域控制器,那么您至少需要Windows Server 2008 DC的唯一情况。


编辑:

如果您收到的消息是显示的消息 这里,那只是一个警告(从黄色感叹号图标中可以清楚地看到);它不会阻止你继续,除非你真的试图安装RODC。


7
2017-10-09 18:38



谢谢!这个答案对我原来的问题是正确的(预编辑,关于我认为是“致命错误”的第一个“警告”,而不是)。我应该忽略它并继续,这非常有帮助。然而,未来的读者会认为这是不适用的,因为它只提到了第一个错误。我很抱歉问一个混乱的问题。 - Warren P


你需要运行必备的 adprep /forestprep 和 adprep /domainprep 来自2012年DVD的命令。


3
2017-10-09 18:33



不正确,这些步骤集成在Windows Server 2012的升级向导中(尽管如果需要,它们仍然可以手动运行)。 - Massimo
这应该是不言而喻的..从技术上讲,adprep片段现在都已集成。它们仍然可以手动运行。 - Rex
根据本文,将在AD DS配置向导期间运行forestprep和domainprep,不再需要从相关的FSMO角色持有者运行: blogs.technet.com/b/askpfeplat/archive/2012/09/03/... - joeqwerty
@joeqwerty您仍然可以在2012年手动运行这些命令并运行它 从 2012服务器作为Enterprise Admin组的成员。您只需要从此服务器连接到Schema Master和Infrastructure Master。 - MDMarra
@WarrenP在2012年的情况下,你运行它 从 2012服务器,仅限x64。这不是问题。我建议你在继续之前仔细阅读文档。 - MDMarra


事实证明我的域名中没有活动的Schema Master。我问 这里 关于如何获取活动架构所有者。该名称有效,但机器名称是一个很久以来已关闭和退役的名称,但没有人在架构主机角色死亡之前转移它。

这是我必须做的:

  1. 虽然Windows Server 2012试图让您免于运行adprep,但在某些情况下无法执行此操作。在我的例子中,有人创建了域控制器并将PDC角色转移到服务器而不是架构主机角色,然后退出架构主服务器而不正常传输架构主机角色。从9年前的Windows版本升级到最新版本时,诊断这样的问题很难,因为在Windows Server 2012中,您会收到Win32错误,这些错误只是大的负整数值,如我的问题所示。但是,即使尝试从2003升级到2008 R2也同样被阻止,并且没有显示有用的错误消息。当然,这是ActiveDirectory问题的典型特征。如果您查看TechNet,读取日志和运行命令行诊断实用程序是标准“故障排除流程图”的一部分。这是一个意外复杂的巨大焦油。

  2. 在上述情况下,只有在独立模式下运行AdPrep时才会出现有用的错误。遗憾的是,Windows Server 2012只附带64位adprep。使用2008 r2 install dvd获取32位adprep32.exe。

  3. 研究在独立命令行模式下运行Windows 2008 R2版本的AdPrep时出现的错误,我发现我必须确保具有Schema Master角色的域控制器机器存在,并且在网络上处于活动状态。请注意,Windows Server 2012上的AdPrep版本设计为从2012服务器运行,而不是在角色主机上运行,​​就像之前使用AdPrep一样。如果您尝试在32位Windows Server 2003计算机上运行AdPrep工具,您将无法运行,因为AdPrep.exe甚至无法在您的32位计算机上运行并打印出任何错误消息。在我的情况下,没有一个,我不得不使用此链接“抓住”使用NTDSUTIL主帮助的架构主角色:

    http://technet.microsoft.com/en-us/library/cc976711.aspx

获取架构主机的具体帮助:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

正如我在第1步中所说,大多数人都不会遇到这个问题,但业余爱好者界的困惑可能导致其他人遇到类似的问题。

我还问过如何从命令行中识别活动架构主名称 关联 问题和此命令用于找出架构主机是谁:

      netdom query fsmo

然后我跑了 ntdsutil 如上面第3点所述,抓住了Schema Master角色来修复域,之后我就可以运行了 adprep 一般:

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

然后 adprep 作品。请注意,您还没有完成。 Windows Server 2012域控制器设置仍将在数百个其他问题中失败,这里列出的问题太多了。我需要做的其他事情才能让它发挥作用:

  1. 删除Symantec Endpoint Protection并禁用Windows防火墙,以便WMI通过网络工作,这是新域控制器与旧域控制器通信所必需的。

  2. 修一下 DNS配置错误 然后跑 ipconfig /flushdns,包括删除未正确退出的已退役服务器,这意味着基本上进入AD管理屏幕并删除这些服务器。其他DNS错误可能包括缺少反向DNS记录等。

  3. 确保如果通过WMI / DCOM进行通信时出现错误,则会修复服务权限或其他可能阻止WMI和DCOM工作的错误。


3
2017-10-16 13:44





对我来说,这个问题是由于命名主人的癫痫发作失败而发生的。我不得不再次重新抓住域主机角色来解决此问题。 我发现当我跑的时候发生了什么事 “netdom query fsmo”命令,在第一个尝试枚举所有FSMO角色的角色后,它给了我一个错误。

我能够在Active Directory计算机和用户以及Active Directory域和信任中单独检查FSMO角色。当我检查AD域和信任域中的域命名主机时,它无法列出当前的域命名主机,因此不允许我将其更改为服务器。然后我按照“上面列出的步骤”https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx“抓住命名大师 像魅力一样工作!


2
2017-09-06 00:00





似乎该错误指向正在提升的新DC与域上的现有DC之间的网络连接问题。 我有同样的错误“错误确定目标环境是否需要adprep”。这是由于架构主机位于不同的站点上,并且两者之间的防火墙不允许新的DC连接到它。一旦将流程添加到新服务器的防火墙中,就会出现错误,并且升级到DC的过程中没有发生任何事故。


1
2017-07-07 13:37





在迁移期间重命名DC时可能会发生这种情况。最佳实践是首先安装DNS,然后您不应该看到此错误。 Hack是选择删除角色,它将失败,关闭,错误将被删除。


1
2018-05-22 08:08