Correction d'une erreur déterminant si l'environnement cible nécessite adprep dans Windows Server 2012, lors de la promotion du contrôleur de domaine

9

Je ne parviens pas à promouvoir ma machine Windows Server 2012 nouvellement installée en contrôleur de domaine. J'ai deux contrôleurs de domaine existants. Le serveur principal est au niveau de Windows Server 2003 et exécute W2003Server, et le secondaire exécute Windows Server 2003 R2. ( Mise à jour: à l' origine, cette question portait sur le message d'avertissement non fatal concernant un contrôleur de domaine impossible à localiser, ce qui est normal lors de la mise à niveau à partir de Windows Server 2003, car il est impossible de créer un contrôleur de domaine en lecture seule lorsque le la forêt de répertoires actifs est au niveau fonctionnel de 2003, donc à mon avis, cet avertissement devrait être annulé. Après avoir continué à travers plusieurs erreurs d'apparence plus effrayantes, j'ai finalement trouvé l'erreur réelle qui est une AdPreperreur connexe.)

Sur la nouvelle boîte de serveur Win2012, la jonction du domaine en tant que serveur membre du domaine a bien fonctionné. Mais l'AD DS Cfg Wiz se bloque pendant environ 100 secondes, il passe de la page 1 de l'Assistant à la page 2 (qui affiche la zone de liste déroulante du nom du site et deux zones de modification d'entrée de mot de passe pour le mot de passe DSRM), puis j'obtiens cette erreur dans les services de domaine Active Directory. Assistant de configuration.

Au début, je pensais que c'était la vraie erreur. Mais c'est juste un barrage sur ma route que je continue au-delà:

Options du contrôleur de domaine

Un contrôleur de domaine exécutant Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 n'a pas pu être localisé dans ce domaine. Pour installer un contrôleur de domaine en lecture seule, le domaine doit avoir un contrôleur de domaine exécutant Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012.

[D'ACCORD]

Ensuite, je reçois quelques messages similaires «Vous ne pouvez pas cocher cette case, nous l'avons donc grisée pour vous» que vous pouvez continuer.

Suivant celui-ci:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Quelqu'un a-t-il obtenu un domaine au niveau de 2003 jusqu'en 2012?

Mise à jour Il s'avère que je n'avais pas de maître de schéma actif sur le domaine.

Update2 Pour profiter des futurs utilisateurs avec cette erreur, j'ai montré la capture d'écran avec les erreurs que j'ai vues:

entrez la description de l'image ici

active-directory windows-server-2012 Warren P
la source
1
"Un contrôleur de domaine fonctionnant ....." quoi ? Veuillez publier le message d'erreur complet que vous obtenez.
Massimo
Message d'erreur complet maintenant là-bas.
Warren P
4
Ce message ne devrait concerner que l'installation d'un contrôleur de domaine en lecture seule, ce que vous ne faites probablement pas. L'assistant vous permet-il de continuer à partir de ce message?
joeqwerty
Oui. Et puis il y en a eu beaucoup plus. L'erreur de blocage finale est maintenant ici.
Warren P

Réponses:

7

Votre niveau de forêt / domaine est-il fonctionnel en 2003? Vous devriez pouvoir ajouter un contrôleur de domaine 2012 dans une forêt 2003 - à condition que la forêt soit au niveau fonctionnel 2003.

modifier: Vérifiez également vos paramètres DNS et assurez-vous qu'ils sont corrects et que vous pouvez résoudre les enregistrements srv appropriés pour localiser les contrôleurs de domaine

edit2: Si vous essayez d'installer un contrôleur de domaine en lecture seule, vous devrez disposer d'un contrôleur de domaine accessible en écriture 2008 pour installer un contrôleur de domaine en lecture seule.

Rex
la source
Je l'ai fait. Et le domaine est au niveau de 2003. Je pensais qu'il y avait un problème DNS, mais il semble que mes deux contrôleurs de domaine (tous deux exécutant le serveur 2003) sont tous deux accessibles et le DNS semble correct, mais je suis toujours bloqué.
Warren P
7

Si tous vos contrôleurs de domaine sont au moins Windows Server 2003 et que vos niveaux fonctionnels de domaine et de forêt sont définis sur au moins Windows Server 2003, l'ajout d'un contrôleur de domaine Windows Server 2012 devrait fonctionner correctement:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

La seule situation où vous aurez besoin d'au moins un contrôleur de domaine Windows Server 2008 est si vous ajoutez un contrôleur de domaine en lecture seule.

Éditer:

Si le message que vous recevez est celui affiché ici , alors ce n'est qu'un avertissement (comme cela devrait être clair à partir de l'icône de point d'exclamation jaune); cela ne vous empêchera pas de continuer, sauf si vous essayez réellement d'installer un RODC.

Massimo
la source
Je vous remercie! Cette réponse est correcte pour ma question d'origine (pré-éditions, sur le premier "avertissement" que je pensais être une "erreur fatale" et qui ne l'était pas). J'aurais dû l'ignorer et continuer, et c'était très utile. Cependant, les futurs lecteurs penseront que cela n'est pas applicable car il ne mentionne que la première erreur. Mes excuses pour avoir posé une question confuse.
Warren P
3

Vous devez exécuter les commandes adprep /forestprepet les adprep /domainprepcommandes requises à partir du DVD 2012.

MDMarra
la source
Non correct, ces étapes sont intégrées dans l'assistant de promotion dans Windows Server 2012 (bien qu'elles puissent toujours être exécutées manuellement si vous le souhaitez).
Massimo
1
Cela va sans dire .. techniquement, les morceaux adprep sont tous intégrés maintenant. Cependant, ils peuvent toujours être exécutés manuellement.
Rex
1
Selon cet article, forestprep et domainprep seront exécutés pendant l'assistant de configuration AD DS et n'auront plus besoin d'être exécutés à partir du détenteur de rôle FSMO concerné: blogs.technet.com/b/askpfeplat/archive/2012/09/03/…
joeqwerty
1
@joeqwerty Vous pouvez toujours exécuter ces commandes manuellement en 2012 et vous l'exécutez à partir d' un serveur 2012 en tant que membre du groupe Admin d'entreprise. Tout ce dont vous avez besoin est une connectivité de ce serveur au maître de schéma et au maître d'infrastructure.
MDMarra
1
@WarrenP Dans le cas de 2012, vous l'exécutez à partir du serveur 2012, qui est uniquement x64. Ce n'est pas un problème. Je vous suggère de lire attentivement la documentation avant de continuer.
MDMarra
3

Il s'avère que je n'avais pas de maître de schéma actif sur mon domaine. J'ai demandé ici comment obtenir le propriétaire de schéma actif. Le nom était valide mais le nom de la machine était un nom qui avait depuis longtemps été mis hors tension et mis hors service, mais personne n'a transféré le rôle de maître de schéma avant sa mort.

Voici ce que je devais faire:

  1. Bien que Windows Server 2012 essaie de vous empêcher d'exécuter adprep, il ne peut pas le faire dans certains cas. Dans mon cas, quelqu'un avait créé un contrôleur de domaine et transféré le rôle PDC vers un serveur mais pas le rôle de maître de schéma, puis retiré le serveur de maître de schéma sans transférer le rôle de maître de schéma normalement. Le diagnostic de problèmes comme celui-ci, lors du passage d'une version de 9 ans de Windows à la dernière version, est difficile car dans Windows Server 2012, vous obtenez des erreurs Win32 et ces erreurs ne sont que de grandes valeurs entières négatives comme indiqué dans ma question. Mais même les tentatives de mise à niveau de 2003 à 2008 R2 ont été bloquées de la même manière, et aucun message d'erreur utile n'a été affiché. Bien sûr, cela est typique des problèmes ActiveDirectory. La lecture des journaux et l'exécution des utilitaires de diagnostic en ligne de commande font partie de la norme "

  2. Dans les cas comme ci-dessus, vous n'obtenez des erreurs utiles que lorsque vous exécutez AdPrep en mode autonome. Malheureusement, seulement adprep 64 bits est fourni avec Windows Server 2012. Utilisez le DVD d'installation 2008 R2 pour obtenir 32 bits adprep32.exe.

  3. En recherchant les erreurs lors de l'exécution de la version Windows 2008 R2 d'AdPrep en mode ligne de commande autonome, j'ai constaté que cela venait du fait que je devais m'assurer qu'une machine de contrôleur de domaine avec le rôle Schema Master existe même et qu'elle est en direct sur le réseau. Notez que la version d'AdPrep qui se trouve sur Windows Server 2012 est conçue pour s'exécuter à partir de votre serveur 2012, pas sur vos machines maître de rôle, comme cela a été le cas précédemment pour l'utilisation d'AdPrep. Si vous essayez d'exécuter l'outil AdPrep sur un ordinateur Windows Server 2003 32 bits, vous serez bloqué car AdPrep.exe ne s'exécutera même pas et n'imprimera aucun message d'erreur sur votre ordinateur 32 bits. Dans mon cas, il n'en existait aucun et j'ai dû utiliser ce lien pour "saisir" le rôle de maître de schéma à l'aide de l'aide principale de NTDSUTIL:

    http://technet.microsoft.com/en-us/library/cc976711.aspx

Aide spécifique pour saisir le maître de schéma:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Comme je l'ai dit à l'étape 1, la plupart des gens n'auront pas ce problème, mais la confusion dans les cercles de l'informatique amateur peut conduire d'autres à avoir des problèmes similaires.

J'ai également demandé comment identifier le nom du maître de schéma actif, à partir de la ligne de commande dans la question liée et cette commande fonctionne pour savoir qui est le maître de schéma:

      netdom query fsmo

Ensuite, j'ai exécuté ntdsutilcomme détaillé au point 3 ci-dessus, saisi le rôle de maître de schéma pour réparer le domaine, et après cela, je pouvais exécuter adprepnormalement:

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

Et puis ça adprepmarche. Notez que vous n'avez toujours pas terminé. La configuration du contrôleur de domaine Windows Server 2012 échouera toujours sur l'un des centaines d'autres problèmes, trop nombreux pour être répertoriés ici. D'autres choses que je devais faire pour le faire fonctionner:

  1. Supprimez Symantec Endpoint Protection et désactivez le pare-feu Windows afin que WMI fonctionne sur le réseau, ce qui est requis pour que le nouveau contrôleur de domaine parle à l'ancien contrôleur de domaine.

  2. Réparez quelques erreurs de configuration DNS, puis exécutez ipconfig /flushdns, y compris la suppression des serveurs mis hors service qui n'avaient pas été correctement mis hors service, ce qui signifie essentiellement aller à l'écran de gestion AD et supprimer ces serveurs. D'autres erreurs DNS peuvent inclure le manque d'enregistrements DNS inversés, etc.

  3. Assurez-vous que si vous obtenez des erreurs de communication via WMI / DCOM, vous réparez les autorisations de service ou d'autres erreurs qui peuvent empêcher WMI et DCOM de fonctionner.

Warren P
la source
2

Pour moi, ce problème s'est produit en raison d'une saisie échouée du maître de nommage. J'ai dû à nouveau reprendre le rôle de maître de domaine pour résoudre ce problème. J'ai découvert que quelque chose se passait lorsque j'ai exécuté la commande "netdom query fsmo" et cela m'a donné une erreur après le premier rôle essayant d'énumérer tous les rôles FSMO.

J'ai pu vérifier les rôles FSMO individuellement dans les ordinateurs et utilisateurs Active Directory et les domaines et approbations Active Directory. Lorsque je vérifiais le maître de dénomination de domaine dans les domaines et approbations AD, il n'était pas en mesure de répertorier le maître de nom de domaine actuel et, par conséquent, il ne m'a pas permis de le modifier sur le serveur. J'ai ensuite suivi les étapes décrites sur " https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx " pour saisir le maître de nommage Fonctionné comme un charme!

Bouleau mat
la source
1

Il semble que l'erreur pointe vers un problème de connectivité réseau entre le nouveau contrôleur de domaine en cours de promotion et les contrôleurs de domaine existants sur le domaine. J'ai eu la même erreur "erreur déterminant si l'environnement cible nécessite adprep". Cela était dû au fait que le maître de schéma se trouvait sur un autre site et que le pare-feu ne permettait pas au nouveau contrôleur de domaine de s'y connecter. Une fois que le flux a été ajouté au pare-feu pour le nouveau serveur, l'erreur s'est produite et la promotion vers DC s'est poursuivie sans incident.

Steve Waller
la source
1

Cela peut se produire lorsque vous renommez un contrôleur de domaine pendant une migration. Les meilleures pratiques seraient d'installer le DNS d'abord, puis vous ne devriez pas voir cette erreur. Hack around consiste à choisir supprimer le rôle, il échouera, se fermera et l'erreur sera supprimée.

Phoenix Lester
la source