Я потратил более пяти часов, чтобы устранить сбой в процессе продвижения недавно установленного Стандартный сервер Windows Server 2016 к контроллер домена в нашем Сервер 2008 R2 уровень сети.
Вот проблема: если я попытаюсь добавить сервер 2016 в качестве контроллера домена и выберу репликацию с DC2 (имеет все роли FSMO), он выдаст следующее сообщение об ошибке, когда
Выбираю DC2:
Ошибка при определении, требуется ли целевой среде adprep:
Ошибка проверки Ошибка проверки: невозможно установить LDAP-соединение с сервером DC2.company.lan
Исключение: указанный сервер не может выполнить запрошенную операцию.
Подробности: Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259
Скриншот Сообщение об ошибке DC2
Если я выберу DC1:
Ошибка при определении, требуется ли целевой среде adprep:
Ошибка проверки Ошибка проверки: невозможно проверить состояние обновления леса для сервера DC1.company.lan
Исключение: указанный сервер не может выполнить запрошенную операцию.
Подробности: Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259
Скриншот Сообщение об ошибке DC1
Во время моих исследований в Интернете - я должен признаться, что я продвинутый новичок в администрировании сети Windows и могу упустить некоторые базовые знания - я нашел похожую тему о serverfault: Исправлена ошибка определения того, требует ли целевая среда adprep в Windows Server 2012 во время повышения уровня контроллера домена. Но я это проверил, и DC2 является мастером схемы.
Мой второй подход заключался в том, что мне не хватало прав администратора, потому что я был только администратором домена. Поэтому я написал нашему главному администратору, чтобы он назначил мою учетную запись администратору схемы. Он это сделал. Но я все еще получаю эти сообщения об ошибках ... они такие же. Я даже попробовал перезагрузить, но ничего не изменилось. К сожалению, наш главный администратор даже не догадывается ...
Какие у тебя идеи? Мне не хватает чего-то важного, например, привилегий администрирования схемы?
Кстати, сбивает с толку то, что сообщение об ошибке DC2 касается ldap, но мы сознательно не используем LDAP в нашей сети ... или это часть Active Directory? (Я думал, что у него есть Kerberos или что-то в этом роде для аутентификации ...)
FSOM (запрос netdom fsom)
Схема-Мастер:
DC2.company.lan
Домен-Мастер:
DC2.company.lan
PDC:
DC2.company.lan
RID-пул-менеджер:
DC2.company.lan
Инфраструктурмастер
DC2.company.lan
Для выполнения задач, связанных с лесом, вам может понадобиться Enterprise Admins группа. Это группа, необходимая для adprep /forestprep.
Для запуска обновления схемы требуются все три группы администраторов в домене, согласно информации из исходной ссылки.
Убедитесь, что вы можете войти в мастер схемы с учетной записью, имеющей достаточные учетные данные для запуска adprep / forestprep. Вы должны быть членом группы администраторов схемы, группы администраторов предприятия и группы администраторов домена домена, в котором размещен мастер схемы, который по умолчанию является корневым доменом леса.
Также рекомендуется удалить себя из этой группы, когда вы закончите с необходимыми задачами. Как Domain Admin, у вас есть право добавлять и удалять себя. То же самое и с Schema Admins группа.
Источник: https://technet.microsoft.com/en-us/library/dd464018(v=ws.10).aspx
Благодарим JBaldridge за то, что он поймал пару ошибок.
Active Directory использует LDAP. Вы должны начать с проверки того, что вы можете получить доступ к существующим контроллерам домена с нового сервера и что ничто, включая брандмауэры на существующих DC, не блокирует порты, используемые LDAP / AD.
