Active-Directory

將 Windows Server 2016 提升為 Server 2008 R2 Active Directory 中的域控制器

  • May 15, 2017

我現在花了五個多小時來解決在將新安裝的Windows Server 2016 Standard-Server升級到我們的Server 2008 R2級別網路中的域控制器的過程中出現的故障。

這是問題所在:如果我嘗試將 2016 伺服器添加為域控制器並選擇從 DC2 複製(具有所有 FSMO 角色),則當
我選擇 DC2時會提示以下失敗消息:

確定目標環境是否需要 adprep 時出錯:

驗證錯誤 驗證錯誤:無法與伺服器 DC2.company.lan 建立 LDAP 連接
異常:指定的伺服器無法執行請求的操作
詳細資訊:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259

截圖失敗消息 DC2

如果我選擇 DC1

確定目標環境是否需要 adprep 時出錯:

驗證錯誤 驗證錯誤:無法檢查伺服器 DC1.company.lan 的林昇級狀態
異常:指定的伺服器無法執行請求的操作
詳細資訊:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259

截圖失敗消息 DC1

在我對網路的研究期間 - 我不得不承認我是 Windows 網路管理的高級初學者,可能會錯過一些基本知識 - 我在 serverfault 上發現了一個類似的主題: Fix error determine whether the target environment requires adprep in windows server 2012, during域控制器提升 但我已經檢查過,DC2 是方案主控。

我的第二種方法是我缺少管理員權限,因為我只是域管理員。所以我寫了我們的主要管理員,將我的帳戶設置為方案管理員。他已經做到了。但我仍然收到這些失敗消息……它們是相同的。我什至嘗試重新啟動,但沒有任何改變。不幸的是,我們的主要管理員甚至沒有更多的想法……

你有什麼想法?我是否遺漏了一些重要的東西,比如計劃管理權限?

順便說一句,DC2 失敗消息是關於 ldap 的,這令人困惑,但我們並沒有故意在網路中使用 LDAP……或者它是 Active Directory 的一部分?(我認為它具有 Kerberos 或類似的身份驗證…)

FSOM (netdom query fsom)

Scheme-Master:

DC2.company.lan

Domain-Master:
DC2.company.lan

PDC:
DC2.company.lan

RID-Pool-Manager:
DC2.company.lan

Infrastrukturmaster
DC2.company.lan

Active Directory使用 LDAP。您應該首先驗證您可以從新伺服器訪問現有域控制器,並且沒有任何東西(包括現有 dc 上的防火牆)阻止 LDAP/AD 使用的埠。

要執行與森林相關的任務,您可能正在尋找該Enterprise Admins組。這是 所需的組adprep /forestprep

根據源連結中的資訊,執行架構升級需要域中的所有三個管理員組。

確保您可以使用具有足夠憑據來執行 adprep /forestprep 的帳戶登錄到架構主機。您必須是託管架構主機的域的架構管理員組、企業管理員組和域管理員組的成員,預設情況下,它是林根域。

完成所需任務後,最好將自己從該組中刪除。作為一個Domain Admin,您有權添加和刪除自己。小組也是如此Schema Admins

來源: https ://technet.microsoft.com/en-us/library/dd464018(v=ws.10).aspx

感謝 JBaldridge 發現了幾個錯誤。

引用自:https://serverfault.com/questions/847805