AdPrep 日誌顯示 LDAP 錯誤
我要做的是將我們的域從 Server 2003 Enterprise x32 轉換為 Server 2008 R2 Enterprise x64。這是我到目前為止所做的。2003伺服器是物理機,2008伺服器是虛擬機
- 建構具有 Server 2008 R2 Enterprise x64 的虛擬機並將其作為域成員加入域
- 在 2003 DC 上,將域功能級別和林功能級別提升到 Windows Server 2003
- 在 2003 DC 上,進入系統資料庫並導航到HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters並驗證架構版本為 30
- 在 2003 DC 上,插入 Windows Server 2008 Enterprise x32 Edition 以複製 adprep 文件夾。這個版本是唯一一個似乎工作的版本
- 在 2003 DC 上,打開命令提示符並轉到 adprep 目錄並執行adprep /forestprep 、 adprep /domainprep 和 adprep /domainprep /gpprep
- 在 2008 伺服器上,從伺服器管理器安裝了 Active Directory 域服務角色
- 在 2003 DC 上,進入系統資料庫並導航到HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters並驗證架構版本現在是 44
當我在 2008 伺服器上執行 dcpromo 時,我收到一條消息:
“要將域控制器安裝到此 Active Directory 林中,您必須首先使用 adprep /forestprep 進行準備”
我回到 2003 DC 伺服器並查看了 adprep 日誌,發現了這個:
Adprep 無法修改對象 CN=DomainControllerAuthentication、CN=Certificate Templates、CN=Public Key Services、CN=Services、CN=Configuration、DC=xeroxtoledo、DC=com 的安全描述符。
$$ Status/Consequence $$ ADPREP 無法將現有的安全描述符與新的訪問控制條目 (ACE) 合併。
$$ User Action $$ 查看 C:\WINDOWS\debug\adprep\logs\20100327143517 目錄中的日誌文件 ADPrep.log 以獲取更多資訊。
Adprep 遇到 LDAP 錯誤。
錯誤程式碼:0x20。伺服器擴展錯誤程式碼:0x208d,伺服器錯誤消息:0000208D:NameErr:DSID-031001CD,問題 2001 (NO_OBJECT),數據 0,最佳匹配:‘CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=配置,DC=xeroxtoledo,DC=com
事實上,我得到了其中三個錯誤。LDAP 錯誤與所有三個一致,但頂部顯示“ Adprep 無法修改對像上的安全描述符”的部分不同。它們是:
CN=DomainControllerAuthentication,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=xeroxtoledo,DC=com。
CN=DirectoryEmailReplication,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=xeroxtoledo,DC=com。
CN=KerberosAuthentication,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=xeroxtoledo,DC=com。
執行 dcpromo 時我在 2008 伺服器上使用的憑據是我的域帳戶。我的帳戶是域和企業管理員組的一部分。
我嘗試了各種通過 Google 搜尋找到的快速修復方法,包括:
- 在目前 DC 上禁用防病毒軟體
- 將 PDC 上的 DNS 指向自身
- 將 Schema Update Allowed 鍵更改為 1 並嘗試重新執行 adprep - 重新執行 adprep 時,告訴我Forest-wide 資訊已經更新
- 在 Server 2008 框中禁用 Windows 防火牆
- 在 2003 DC 上,轉到域控制器安全策略 > 本地策略 > 使用者權限分配,並將域管理員添加到啟用電腦和使用者帳戶受信任以進行委派策略設置
我們的 PDC 和 BDC 都是全域編錄伺服器。不確定這是否重要
我執行命令netdom query fsmo並驗證 FSMO 角色持有者是目前的 2003 PDC
我在 2003 PDC 上執行了dcdiag /v,唯一失敗的是服務。PDC 上的Dnscache 服務已停止
我什至甚至刪除了虛擬機並從頭開始重新創建它 - 無濟於事……
幫助 :(
Server 2008 R2…架構版本必須是 47 而不是 44
我做了一些探勘,並提出了兩個關於整個過程的非常好的部落格:http: //blogs.technet.com/askds/archive/2008/11/11/so-you-want-to-upgrade-to-windows -2008-域控制器-adprep.aspx
http://blogs.technet.com/askds/archive/2008/12/15/troubleshooting-adprep-errors.aspx
第二個似乎有你可能正在尋找的東西。您可能會仔細檢查您是否也是 Schema Admins Group 的成員。