Behebung eines Fehlers beim Feststellen, ob für die Zielumgebung in Windows Server 2012 während der Heraufstufung des Domänencontrollers Adprep erforderlich ist

9

Ich kann meinen neu installierten Windows Server 2012-Computer nicht auf einen Domänencontroller hochstufen. Ich habe zwei vorhandene Domänencontroller. Die primäre Version befindet sich auf Windows Server 2003-Ebene und führt W2003Server aus. Auf der sekundären Ebene wird Windows Server 2003 R2 ausgeführt. ( Update: Ursprünglich wurde diese Frage nach der nicht schwerwiegenden Warnmeldung zu einem Domänencontroller gestellt, der nicht gefunden werden konnte. Dies ist beim Upgrade von Windows Server 2003 normal, da es unmöglich ist, einen schreibgeschützten Domänencontroller zu erstellen, wenn der Die Active Directory-Gesamtstruktur befindet sich auf der Funktionsebene 2003. Daher sollte meiner Meinung nach die Warnung aufgehoben werden. Nachdem ich einige ähnlich beängstigend aussehende Fehler durchgearbeitet hatte, kam ich schließlich zu dem tatsächlichen Fehler, der ein AdPrepverwandter Fehler ist.)

Auf der neuen Win2012-Serverbox funktionierte der Beitritt zur Domäne als Server, der Mitglied der Domäne ist, einwandfrei. Der AD DS Cfg-Assistent friert jedoch etwa 100 Sekunden lang ein. Er wechselt von Seite 1 des Assistenten zu Seite 2 (in der das Kombinationsfeld für den Site-Namen und zwei Bearbeitungsfelder für die Kennworteingabe für das DSRM-Kennwort angezeigt werden). In Active Directory-Domänendiensten wird dieser Fehler angezeigt Konfigurationsassistent.

Zuerst dachte ich, das sei der wahre Fehler. Aber es ist nur eine Straßensperre auf meinem Weg, an der ich vorbeigehe:

Domänencontroller-Optionen

Ein Domänencontroller unter Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 konnte nicht in dieser Domäne gefunden werden. Um einen schreibgeschützten Domänencontroller zu installieren, muss die Domäne über einen Domänencontroller verfügen, auf dem Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird.

[OKAY]

Als nächstes erhalte ich einige ähnliche Meldungen "Sie können dieses Kontrollkästchen nicht aktivieren, damit wir es für Sie ausgegraut haben", die Sie weiterverfolgen können.

Als nächstes dieses:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Hat jemand bis 2012 eine Domain auf 2003-Niveau bekommen?

Update Es stellte sich heraus, dass ich keinen aktiven Schema-Master in der Domäne hatte.

Update2 Um zukünftige Benutzer mit diesem Fehler zu unterstützen, habe ich den Screenshot mit den Fehlern gezeigt, die ich gesehen habe:

Geben Sie hier die Bildbeschreibung ein

active-directory windows-server-2012 Warren P.
quelle
1
"Ein Domänencontroller läuft ....." was ? Bitte posten Sie die vollständige Fehlermeldung, die Sie erhalten.
Massimo
Vollständige Fehlermeldung jetzt dort.
Warren P
4
Diese Nachricht sollte nur für die Installation eines RODC relevant sein, was Sie vermutlich nicht tun. Können Sie mit dem Assistenten von dieser Nachricht fortfahren?
Joeqwerty
Ja. Und dann gab es noch ein paar mehr. Der letzte Blockierungsfehler ist jetzt hier.
Warren P

Antworten:

7

Befindet sich Ihre Gesamtstruktur- / Domänenfunktionsebene im Jahr 2003? Sie sollten in der Lage sein, einer Gesamtstruktur von 2003 einen 2012-Domänencontroller hinzuzufügen - vorausgesetzt, die Gesamtstruktur befindet sich auf der Funktionsebene von 2003.

Bearbeiten: Überprüfen Sie auch Ihre DNS-Einstellungen und stellen Sie sicher, dass sie korrekt sind und dass Sie die richtigen srv-Einträge auflösen können, um die Domänencontroller zu finden

edit2: Wenn Sie versuchen, einen RODC zu installieren, benötigen Sie einen beschreibbaren 2008-DC, um einen schreibgeschützten DC zu installieren.

Rex
quelle
Ich habe das gemacht. Und die Domain befindet sich auf dem Niveau von 2003. Ich dachte, es gibt ein DNS-Problem, aber es scheint, dass meine beiden Domänencontroller (beide mit Server 2003) erreichbar sind und der DNS in Ordnung zu sein scheint, aber ich bin immer noch blockiert.
Warren P
7

Wenn alle Ihre Domänencontroller mindestens Windows Server 2003 sind und sowohl Ihre Domänen- als auch Ihre Gesamtstrukturfunktionsebene auf mindestens Windows Server 2003 eingestellt sind, sollte das Hinzufügen eines Windows Server 2012-Domänencontrollers einwandfrei funktionieren:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

Die einzige Situation, in der Sie mindestens einen Windows Server 2008-Domänencontroller benötigen, besteht darin, dass Sie einen schreibgeschützten Domänencontroller hinzufügen.

Bearbeiten:

Wenn die Nachricht, die Sie erhalten, die hier gezeigte ist , handelt es sich nur um eine Warnung (wie aus dem gelben Ausrufezeichen hervorgeht). Es hindert Sie nicht daran, fortzufahren, es sei denn, Sie versuchen tatsächlich, einen RODC zu installieren.

Massimo
quelle
Danke! Diese Antwort ist für meine ursprüngliche Frage richtig (Vorbearbeitungen über die erste "Warnung", die ich für einen "schwerwiegenden Fehler" hielt und nicht). Ich hätte es ignorieren und weitermachen sollen, und das war sehr hilfreich. Zukünftige Leser werden jedoch denken, dass dies nicht zutreffend ist, da nur der erste Fehler erwähnt wird. Ich entschuldige mich für die verwirrte Frage.
Warren P
3

Sie müssen die erforderlichen adprep /forestprepund adprep /domainprepBefehle von der 2012-DVD ausführen.

MDMarra
quelle
Nicht korrekt, diese Schritte sind in den Heraufstufungsassistenten in Windows Server 2012 integriert (obwohl sie bei Bedarf weiterhin manuell ausgeführt werden können).
Massimo
1
Das sollte selbstverständlich sein. Technisch gesehen sind die Adprep-Teile jetzt alle integriert. Sie können jedoch weiterhin manuell ausgeführt werden.
Rex
1
Gemäß diesem Artikel werden Forestprep und Domainprep während des AD DS-Konfigurationsassistenten ausgeführt und müssen nicht mehr vom entsprechenden FSMO-Rolleninhaber ausgeführt werden: blogs.technet.com/b/askpfeplat/archive/2012/09/03/…
Joeqwerty
1
@joeqwerty Sie können diese Befehle 2012 noch manuell ausführen und sie von einem 2012-Server als Mitglied der Enterprise Admin-Gruppe ausführen . Sie benötigen lediglich eine Verbindung von diesem Server zum Schema-Master und zum Infrastruktur-Master.
MDMarra
1
@WarrenP Im Fall von 2012 führen Sie es vom 2012-Server aus, der nur x64 ist. Dies ist kein Problem. Ich empfehle Ihnen, die Dokumentation gründlich durchzulesen, bevor Sie fortfahren.
MDMarra
3

Es stellte sich heraus, dass ich keinen aktiven Schema-Master in meiner Domain hatte. Ich habe hier gefragt , wie man den aktiven Schema-Besitzer bekommt. Der Name war gültig, aber der Computername war ein Name, der längst ausgeschaltet und außer Betrieb genommen wurde, aber niemand hat die Schema-Master-Rolle übertragen, bevor sie starb.

Folgendes musste ich tun:

  1. Windows Server 2012 versucht zwar, Sie vor der Ausführung von adprep zu bewahren, kann dies jedoch in einigen Fällen nicht. In meinem Fall hatte jemand einen Domänencontroller erstellt und die PDC-Rolle auf einen Server übertragen, jedoch nicht die Schema-Master-Rolle. Anschließend wurde der Schema-Master-Server außer Betrieb genommen, ohne die Schema-Master-Rolle normal zu übertragen. Die Diagnose solcher Probleme beim Wechsel von einer 9 Jahre alten Windows-Version auf die neueste Version ist schwierig, da in Windows Server 2012 Win32-Fehler auftreten und diese Fehler nur große negative Ganzzahlwerte sind, wie in meiner Frage gezeigt. Aber auch Versuche, ein Upgrade von 2003 auf 2008 R2 durchzuführen, wurden auf ähnliche Weise blockiert, und es wurden keine hilfreichen Fehlermeldungen angezeigt. Das ist natürlich typisch für ActiveDirectory-Probleme. Das Lesen von Protokollen und das Ausführen von Dienstprogrammen zur Befehlszeilendiagnose ist Teil des Standards "

  2. In Fällen wie den oben genannten erhalten Sie nur dann nützliche Fehler, wenn Sie AdPrep im Standalone-Modus ausführen. Leider wird nur 64-Bit-Adprep mit Windows Server 2012 geliefert. Verwenden Sie die Installations-DVD 2008 r2, um 32-Bit-Adprep32.exe zu erhalten.

  3. Als ich die Fehler beim Ausführen der Windows 2008 R2-Version von AdPrep im eigenständigen Befehlszeilenmodus untersuchte, stellte ich fest, dass ich sicherstellen musste, dass ein Domänencontroller mit der Schema-Master-Rolle überhaupt vorhanden ist und im Netzwerk aktiv ist. Beachten Sie, dass die Version von AdPrep auf Windows Server 2012 für die Ausführung auf Ihrem 2012-Server ausgelegt ist und nicht auf Ihren Rollenmaster-Computern, wie dies zuvor bei der Verwendung von AdPrep der Fall war. Wenn Sie versuchen, das AdPrep-Tool auf einem 32-Bit-Windows Server 2003-Computer auszuführen, bleiben Sie hängen, da AdPrep.exe auf Ihrem 32-Bit-Computer nicht einmal ausgeführt und keine Fehlermeldung ausgedruckt wird. In meinem Fall gab es keine und ich musste diesen Link verwenden, um die Schema-Master-Rolle mithilfe der NTDSUTIL-Haupthilfe zu "beschlagnahmen":

    http://technet.microsoft.com/en-us/library/cc976711.aspx

Spezifische Hilfe zum Erfassen des Schemamasters:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Wie ich in Schritt 1 sagte, werden die meisten Menschen dieses Problem nicht haben, aber die Verwirrung in Amateur-IT-Kreisen kann dazu führen, dass andere ähnliche Probleme haben.

Ich habe auch gefragt, wie der Name des aktiven Schemamasters über die Befehlszeile in der verknüpften Frage identifiziert werden soll, und dieser Befehl ermittelt, wer der Schemamaster ist:

      netdom query fsmo

Dann lief ich ntdsutilwie in Punkt 3 oben beschrieben, übernahm die Schema-Master-Rolle, um die Domäne zu reparieren, und danach konnte ich adprepnormal laufen :

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

Und dann adprepfunktioniert. Beachten Sie, dass Sie immer noch nicht fertig sind. Das Setup des Windows Server 2012-Domänencontrollers schlägt bei Hunderten anderer Probleme immer noch fehl, zu viele, um sie hier aufzulisten. Andere Dinge, die ich tun musste, um es zum Laufen zu bringen:

  1. Entfernen Sie Symantec Endpoint Protection und deaktivieren Sie die Windows-Firewall, damit WMI über das Netzwerk funktioniert. Dies ist erforderlich, damit der neue Domänencontroller mit dem alten Domänencontroller kommuniziert.

  2. Reparieren Sie einige DNS-Konfigurationsfehler und führen Sie sie dann aus ipconfig /flushdns, einschließlich des Entfernens nicht ordnungsgemäß heruntergefahrener Server, was bedeutet, dass Sie im Grunde zum AD-Verwaltungsbildschirm wechseln und diese Server löschen. Andere DNS-Fehler können das Fehlen von Reverse-DNS-Einträgen usw. umfassen.

  3. Stellen Sie sicher, dass Sie bei Fehlern bei der Kommunikation über WMI / DCOM die Dienstberechtigungen oder andere Fehler reparieren, die die Funktionsweise von WMI und DCOM blockieren können.

Warren P.
quelle
2

Bei mir trat dieses Problem aufgrund einer fehlgeschlagenen Beschlagnahme des Namensmeisters auf. Ich musste die Domänenmaster-Rolle erneut übernehmen, um dieses Problem zu beheben. Als ich den Befehl "netdom query fsmo" ausführte, stellte ich fest, dass etwas nicht stimmte. Nach der ersten Rolle, bei der versucht wurde, alle FSMO-Rollen aufzulisten, trat ein Fehler auf.

Ich konnte die FSMO-Rollen in Active Directory-Computern und -Benutzern sowie in Active Directory-Domänen und -Vertrauensstellungen einzeln überprüfen. Als ich den Domain Naming Master in AD Domains and Trusts überprüfte, konnte er den aktuellen Domain Naming Master nicht auflisten und ließ mich daher nicht auf den Server ändern. Ich folgte dann den Schritten unter " https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx ", um den Namensmeister zu ergreifen. Arbeitete wie ein Zauber!

Matt Birch
quelle
1

Es scheint, dass der Fehler auf ein Problem mit der Netzwerkkonnektivität zwischen dem heraufgestuften neuen Domänencontroller und den vorhandenen Domänencontrollern in der Domäne hinweist. Ich hatte den gleichen Fehler "Fehler beim Bestimmen, ob die Zielumgebung adprep erfordert". Dies wurde dadurch verursacht, dass sich der Schema-Master an einem anderen Standort befand und die Firewall dazwischen dem neuen Domänencontroller keine Verbindung zu diesem zuließ. Nachdem der Flow zur Firewall für den neuen Server hinzugefügt wurde, ging der Fehler verloren und die Heraufstufung zu DC wurde ohne Zwischenfälle fortgesetzt.

Steve Waller
quelle
1

Dies kann passieren, wenn Sie einen DC während einer Migration umbenennen. Best Practices wären, zuerst DNS zu installieren, dann sollte dieser Fehler nicht angezeigt werden. Beim Herumhacken wird die Rolle zum Entfernen ausgewählt. Sie schlägt fehl, wird geschlossen und der Fehler wird entfernt.

Phoenix Lester
quelle