Я пытаюсь заменить старый контроллер домена Windows 2000 новым Windows 2008 Server. У меня установлена роль доменных служб Active Directory на новом сервере, и я присоединил ее к домену. Следующим шагом будет повышение роли нового сервера до контроллера домена в существующем домене. После этого я могу отключить старый сервер.
Я уже запускал инструмент adprep с / forestprep и / domainprep. Когда я бегу dcpromo похоже, что он копирует все, создает пользователей, группы и компьютерные объекты, но затем я получаю эту ошибку:
Операция завершилась неудачно, потому что:
После установки доменным службам Active Directory не хватает важной информации, и они не могут быть продолжены. Если это реплика контроллера домена Active Directory, повторно присоедините этот сервер к домену.
«Объект каталога не найден».
Я попытался повторно присоединить компьютер к домену, но в журналах событий нет ничего полезного. Я не понимаю, как это пережить. Любая помощь приветствуется.
Мои собственные поиски нашли эту статью базы знаний MS:
http://support.microsoft.com/kb/248079
Но это не совсем помогает. Насколько я могу судить, присутствуют все четыре элемента, которые он ищет, воссоздание домена - не лучший вариант, а совет по скольжению 2000sp1 неприменим к моему компьютеру с Windows 2008.
Проверяя каждый из объектов из статьи базы знаний, я заметил SID для мой Учетная запись администратора: S-1-5-21-2025429265-492894223-1708537768-1124. Обратите внимание, что это не заканчивается на «500», и поэтому, скорее всего, это неверно. Встроенной учетной записи администратора нигде нет. Это учетная запись, на которую ссылается второй пункт маркированного списка под заголовком «Причины» в связанной статье базы знаний. Любые идеи, как это исправить? Я собираюсь сделать эту конкретную часть отдельный вопрос также, но я обязательно буду поддерживать их в актуальном состоянии.
Обновите информацию о том, что могло случиться. Это не поможет решить проблему, но, если кому-то интересно, я нашел несколько старых заметок, которые помогают объяснить проблему. По-видимому, когда-то на этом сервере работала служба FTP, которая с тех пор была заменена лучшими альтернативами. В то время, когда служба работала, тогдашний администратор заметил, что скриптовые дети пытались подобрать пароль администратора через эту службу. Теперь кажется, что в Windows 2000 вы не можете отключить FTP-доступ для учетной записи администратора, не закрывая службу. Он попытался переименовать аккаунт, но они каким-то образом последовали за переименованием. И поэтому после «неприятного взлома» он вместо этого «удалил» аккаунт. Думаю, мне придется как-то заново создать домен :(
Это будет звучать безумно, но только потому, что однажды я сделал это с собой. Проверьте и убедитесь, что нет проблем с брандмауэрами или сетью. Однажды у меня была одна сеть, в которой я случайно включил брандмауэр Windows, на одном из контроллеров домена (их было 4), поэтому, поскольку этот контроллер домена не реплицировался должным образом, я не мог выполнять никаких обновлений AD. Хотя остальная часть сети работала нормально, поэтому никаких проблем не было, пока я не попытался обновить схему в моем случае.
Простой тест: убедитесь, что каждый DC может пинговать каждый другой DC и что все DNS разрешаются правильно. Также убедитесь, что AD находится на самом высоком уровне, на котором может работать Windows 2000, я не уверен, насколько обратно совместим 2008 год как DC.
Вам необходимо обновить схему AD до формата 2008 года. Между каждой версией AD (2000, 2003, 2003R2 и 2008) были изменения схемы. На DVD 2008 года есть инструмент под названием adprep. Я думаю, сначала ты убежишь adprep / domainprep а потом adprep / forestprep. Возможно, существует третий, новый для 2008 года. adprep /? должен вам помочь.
Убедитесь, что домен обновлен из смешанного режима. Первоначальная установка 2000 (как и другие) имеет версию с ограниченной функциональностью. Вы можете перебросить его до полного домена 2000. Как только это будет сделано, повторите попытку обновления.
Если вам это не нравится, получите копию 2003 (ваша лицензия 2008 также понижается) и выполните обновление до домена 2003. Еще раз, после этого обновите уровень функциональности домена. Затем попробуйте перейти на домен 2008 года.
Кроме того, оставляйте некоторое время после каждого шага, если / когда он завершится, чтобы все могло воспроизводиться в фоновом режиме.
SID вашей учетной записи НЕ неправильный. Единственная учетная запись, оканчивающаяся на 500, - это встроенная учетная запись администратора, которая создается при создании домена. То же самое относится и к встроенной учетной записи администратора в локальной системе SAM на рабочей станции / сервере / * NT.
Что касается вашей проблемы с dcpromo, опубликуйте dcpromo.log из% SystemRoot% \ Debug.
Спасибо, Брайан Десмонд, MVP Active Directory