Вопрос: Содействовать Windows Server 2016 контроллеру домена в Server 2008 R2 Active Directory


Я потратил более пяти часов на то, чтобы решить проблему в процессе продвижения недавно установленной Стандартный сервер Windows Server 2016 к контроллер домена в нашем Сервер 2008 R2 уровня.

Вот проблема: если я попытаюсь добавить сервер 2016 в качестве контроллера домена и выбрать репликацию из DC2 (имеет все FSMO-роли), он запрашивает следующее сообщение об ошибке, когда
Я выбираю DC2:

Ошибка определения того, требуется ли целевой среде adprep:
  Ошибка проверки Ошибка проверки: невозможно выполнить подключение LDAP   сервер DC2.company.lan
 Исключение: указанный сервер не может   выполнить запрошенную операцию
 Детали:   Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259

Сообщение об ошибке скриншота DC2

Если я выберу DC1:

Ошибка определения того, требуется ли целевой среде adprep:
  Ошибка проверки Ошибка проверки: невозможно проверить обновление леса   статус для сервера DC1.company.lan
 Исключение: указанный сервер   не может выполнить запрошенную операцию
 Детали:   Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259

Сообщение об ошибке скриншота DC1

Во время моих исследований в Интернете - я должен признаться, что я - продвинутый новичок в Windows Network Administration и могу пропустить некоторые базовые знания - я нашел подобную тему на сервере: Исправить ошибку, определяющую, требует ли целевая среда adprep на сервере Windows 2012, во время продвижения контроллера домена Но я проверил это, а DC2 - мастер схемы.

Мой второй подход заключался в том, что у меня отсутствуют привилегии администратора, поскольку я только администратор домена. Поэтому я написал нашему главному администратору, чтобы установить мою учетную запись администратору схемы. Он это сделал. Но я все еще получаю эти сообщения об ошибках ... они одинаковы. Я даже попробовал перезапуск, но ничего не изменилось. К сожалению, наш главный администратор даже не имеет дополнительной идеи ...

Какие у вас идеи? Я пропустил что-то важное, как привилегии администратора схемы?

Кстати, это сбивает с толку, что сообщение об ошибке DC2 о ldap, но мы не сознательно используем LDAP в нашей сети ... или это часть Active Directory? (Я думал, что у него есть Kerberos или что-то подобное для аутентификации ...)

FSOM (netdom query fsom)
Схема-Master:
DC2.company.lan

Домен-Master:
        DC2.company.lan
PDC:
                        DC2.company.lan
РИД-Pool-менеджер:
           DC2.company.lan
Infrastrukturmaster
        DC2.company.lan


5
2018-05-02 15:08


Источник




Ответы:


Active Directory использует LDAP. Вы должны начать с проверки того, что вы можете связаться с существующими контроллерами домена с нового сервера и что ничто, включая брандмауэры на существующих dc, не блокирует порты, используемые LDAP / AD.


3
2018-05-02 15:18



Мой коллега временно отключил брандмауэр, все еще получая описанные выше ошибки. : - / Какие инструменты / программное обеспечение можно использовать, чтобы проверить, достигли ли пакеты на этих портах DC2? - frankhammer
Проверьте это, Можно использовать любое количество инструментов. Например, nmap будет работать или portqry от MS. - Matt Southward
Это была последняя проблема. Порти были заблокированы для DC2, особенно LDAP. Похоже, что аппаратный брандмауэр был проблемой. - frankhammer


Для выполнения задач, связанных с лесом, вы можете искать Enterprise Admins группа. Это группа, необходимая для adprep /forestprep,

Для выполнения обновления схемы требуется все три группы администратора в домене, за каждую информацию из исходной ссылки.

Убедитесь, что вы можете войти в мастер схемы с учетной записью с достаточными учетными данными для запуска adprep / forestprep. Вы должны быть участником группы «Администраторы схемы», группы «Администраторы предприятия» и группы «Администраторы домена» домена, на котором размещается мастер схемы, который по умолчанию является корневым доменом леса.

Это также лучшие практики, чтобы удалить себя из этой группы, когда вы закончите с требуемыми задачами. Как Domain Admin, у вас есть права добавлять и удалять себя. То же самое касается Schema Admins группа.

Источник: https://technet.microsoft.com/en-us/library/dd464018(v=ws.10).aspx

Кредит JBaldridge за то, что он поймал пару ошибок.


5
2018-05-02 15:14



Я являюсь членом групп «Администраторы домена», «Администраторы схемы» и еще один, который находится на немецком «Администраторе организаций». Является ли это носителем «Администратора предприятия»? - frankhammer
Администраторы предприятия явно требуются для нескольких действий, связанных с лесом. Другие группы не предоставляют доступ к нескольким действиям, таким как adprep. - Cory Knutson
Мы не очень-то знаем о вашей среде. Сколько доменов у вас в вашем лесу? Вы работаете в домене корневого леса или дочернем домене? Ошибка вызывает ADPrep. Вам нужно запустить adprep /forestprep на хозяине операций схемы для леса, чтобы вы могли видеть результат и иметь дело с любыми ошибками оттуда. Обязательно войдите в систему как администратор, который уже является членом Enterprise Admins, Это должно решить проблему (или, по крайней мере, приблизиться к вам). - JBaldridge
Спасибо, JBaldridge. Поэтому мне нужно скопировать adprep с установочного носителя (в моем случае ISO-Image -> support / adprep) на мастер операций с схемами? Я сделаю это. :-) - frankhammer
Я сделал это и выполнил команду «adprep / forestprep». Сообщение об ошибке (переводится с немецкого на английский) заключается в том, что мой пользователь не входит в группу «Администраторы схемы». Но это не так ... если я посмотрю на свою учетную запись, у меня есть членство в группе «Администраторы схемы» ... может ли перезапуск сервера или работающий сервис действительно помогает? - frankhammer