Виправте помилку, визначаючи, чи потрібне цільове середовище для попереднього підключення в Windows Server 2012, під час просування контролера домену

Я не в змозі просувати свій щойно встановлений апарат Windows Server 2012 до контролера домену. У мене є два існуючих контролери домену. Первинний знаходиться на рівні Windows Server 2003 і працює під керуванням W2003Server, а вторинним - Windows Server 2003 R2. ( Оновлення. Спочатку це питання задавали про нефатальне попередження про контролер домену, який не міг бути розташований, що є нормальним при оновленнях до Windows Server 2003, оскільки неможливо створити контролер домену лише для читання, коли Ліс активних каталогів знаходиться на функціональному рівні 2003 року, тому, на мою думку, попередження слід скасувати. Продовживши ще кілька подібних страхітливих помилок, я нарешті дійшов до реальної помилки, яка AdPrepпов'язана з цим помилкою.)

На новому вікні сервера Win2012, приєднання до домену як сервера, який є членом домену, спрацювало чудово. Але Wiz AD DS Cfg заморожується приблизно на 100 секунд, він переходить від сторінки 1 майстра до сторінки 2 (на якій відображається комбіноване поле імені сайту та два поля редагування пароля для пароля DSRM), тоді я отримую цю помилку в службах домену Active Directory Майстер налаштування.

Спочатку я подумав, що це справжня помилка. Але я просто перешкода на моєму шляху, що я продовжую минуле:

Параметри контролера домену

Контролер домену під управлінням Windows Server 2008, Windows Server 2008 R2 або Windows Server 2012 не міг бути розташований у цьому домені. Щоб встановити контролер домену лише для читання, він повинен мати контролер домену під управлінням Windows Server 2008, Windows Server 2008 R2 або Windows Server 2012.

[ДОБРЕ]

Далі я отримую ще декілька подібних повідомлень "Ви не можете встановити цей прапорець, щоб ми його виділили" повідомлення, які ви можете продовжувати.

Наступний:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Хтось отримав домен на рівні 2003 року до 2012 року?

Оновлення Виявляється, у мене не було активного майстра схеми в домені.

Update2 Щоб скористатися майбутніми користувачами з цією помилкою, я показав знімок екрана з помилками, які я побачив:

Чи функціональний рівень вашого лісу / домену на 2003 рік? Ви повинні мати змогу додати контролер домену 2012 року в ліс 2003 року, якщо ліс є на функціональному рівні 2003 року.

редагувати: також перевірте свої настройки DNS і переконайтесь, що вони правильні, і чи можете ви вирішити відповідні записи srv, щоб знайти контролери домену

edit2: Якщо ви намагаєтесь встановити RODC, для встановлення постійного струму, доступного для читання, вам знадобиться встановити постійний постійний струм 2008 року.

Якщо всі ваші контролери домену мають принаймні Windows Server 2003, і ​​ваш доменний та лісовий функціональні рівні встановлені принаймні Windows Server 2003, додавання Windows Server 2012 DC повинно працювати нормально:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

Єдина ситуація, коли вам знадобиться принаймні Windows Server 2008 DC - це якщо ви додаєте контролер домену лише для читання.

Редагувати:

Якщо повідомлення, яке ви отримуєте, є таким, що відображається тут , то це лише попередження (як це повинно бути зрозуміло з жовтого значка оклику); це не завадить вам продовжувати, якщо ви насправді не намагаєтесь встановити RODC.

Потрібно запустити реквізити adprep /forestprepта adprep /domainprepкоманди з DVD-диска 2012 року.

Виявляється, у мене в активі не було активного майстра схеми. Я запитав тут про те, як отримати активного власника схеми. Ім’я було дійсним, але ім'я машини було ім'ям, яке давно було вимкнено та виведене з експлуатації, але ніхто не переніс роль головного виконавця схеми до того, як він помер.

Ось що я повинен був зробити:

1. Хоча Windows Server 2012 намагається врятувати вас від запуску рекламної реклами, у деяких випадках це не вдається. У моєму випадку хтось створив контролер домену та передав роль PDC на сервер, але не роль головного режиму схеми, після чого звільнився з головного сервера схеми, не переносячи головну роль схеми. Діагностувати подібні проблеми при переході від 9-річної версії Windows до останньої версії важко, оскільки в Windows Server 2012 ви отримуєте помилки Win32, і ці помилки - це лише великі негативні цілі значення, як показано в моєму запитанні. Але навіть спроби оновлення з 2003 по 2008 рік R2 були аналогічно заблоковані, і жодних корисних повідомлень про помилки не відображалося. Звичайно, це характерно для питань ActiveDirectory. Читання журналів та запуску діагностичних утиліт командного рядка є частиною стандарту "

2. У таких випадках, як описано вище, ви отримуєте корисні помилки лише під час запуску AdPrep в автономному режимі. На жаль, тільки 64-бітний adprep постачається з Windows Server 2012. Використовуйте 2008 r2 install DVD, щоб отримати 32-бітний adprep32.exe.

3. Досліджуючи помилки під час запуску версії AdPrep для Windows 2008 R2 в автономному режимі командної лінії, я виявив, що зводився до того, що мені довелося переконатися, що машина контролера домену з роллю схеми Master навіть існує та працює в мережі. Зауважте, що версія AdPrep, що знаходиться на Windows Server 2012, призначена для роботи з вашого сервера 2012 року, а не на ваших головних машинах ролей, як це було раніше для використання AdPrep. Якщо ви спробуєте запустити інструмент AdPrep на 32-розрядній машині Windows Server 2003, ви застрягнете, оскільки AdPrep.exe навіть не запустить і не надрукує жодне повідомлення про помилку на вашому 32-бітному апараті. У моєму випадку жодного не існувало, і мені довелося скористатися цим посиланням, щоб "захопити" роль Майстра схеми за допомогою основної довідки NTDSUTIL:

   http://technet.microsoft.com/en-us/library/cc976711.aspx

Конкретна допомога щодо захоплення головного режиму схеми:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Як я вже сказав на кроці 1, більшість людей не матимуть цієї проблеми, але плутанина в аматорських і ІТ-колах може призвести до подібних проблем інших.

Я також запитав, як ідентифікувати ім'я головного режиму активної схеми з командного рядка у зв'язаному питанні, і ця команда працює, щоб дізнатися, хто такий майстер схеми:

      netdom query fsmo

Потім я пробіг, ntdsutilяк детально описано в пункті 3 вище, захопив роль Майстра схеми, щоб відновити домен, і після цього я міг adprepнормально працювати :

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

А далі adprepпрацює. Зауважте, що ви все ще не закінчили. Налаштування контролера домену Windows Server 2012 все ще не вдасться до жодної із сотень інших проблем, тут їх можна назвати занадто багато. Інші речі, які мені довелося зробити, щоб він працював:

1. Видаліть захист кінцевої точки Symantec і відключіть брандмауер Windows, щоб WMI працював по мережі, що потрібно, щоб новий контролер домену спілкувався зі старим контролером домену.

2. Виправте кілька помилок конфігурації DNS, а потім запустіть ipconfig /flushdns, включаючи видалення розроблених серверів, які не були належним чином розведені, що означає перехід на екран управління AD та видалення цих серверів. Інші помилки DNS можуть включати відсутність зворотних записів DNS тощо.

3. Переконайтеся, що якщо у вас виникають помилки при спілкуванні через WMI / DCOM, ви ремонтуєте сервісні дозволи або інші помилки, які можуть перешкоджати роботі WMI та DCOM.

Для мене ця проблема трапилася через невдалий захоплення майстра імен. Щоб вирішити цю проблему, мені довелося знову застосувати роль головного домену. Я виявив, що щось було зроблено, коли я запустив команду "запит на запит у мережі", і це дало мені помилку після першої ролі, намагаючись перерахувати всі ролі FSMO.

Мені вдалося окремо перевірити ролі FSMO у комп’ютерах та користувачах Active Directory та доменах та довірях Active Directory. Коли я перевіряв майстер імен домену в AD Domains and Trusts, він не зміг перерахувати поточний Master Name Name і, отже, не дозволив мені змінити його на сервер. Потім я дотримувався кроків, викладених на сторінці " https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx ", щоб захопити майстра імен. Працював як шарм!

Здається, помилка вказує на проблему підключення до мережі між новим постійним током, який рекламується, та існуючими постійними DC в домені. У мене була така ж помилка "помилка визначення того, чи потрібне попереднє підключення для цільового середовища". Це було викликано тим, що майстер схеми знаходився на іншому сайті, і міжмережевий екран між ними не дозволяв новому постійному струму підключатися до нього. Як тільки потік був доданий до брандмауера для нового сервера, помилка пішла і просування до DC пройшло вперед без випадків.

Це може статися під час перейменування постійного струму під час міграції. Найкраща практика - спочатку встановити DNS, тоді ви не повинні бачити цю помилку. Злому навколо - це вибрати видалити роль, вона не вдасться, закриється і помилка буде видалена.