我正在尝试用新的 Windows 2008 Server 替换旧的 Windows 2000 域控制器。我在新服务器上安装了 Active Directory 域服务角色并将其加入域。下一步是将新服务器提升为现有域中的域控制器。完成后,我可以将旧服务器脱机。
我已经使用 /forestprep 和 /domainprep 运行了 adprep 工具。运行时,dcpromo它似乎复制了所有内容,创建了用户、组和计算机对象,但随后我收到此错误:
操作失败,因为:
Active Directory 域服务在安装后缺少关键信息,无法继续。如果这是副本 Active Directory 域控制器,请将此服务器重新加入域。
“未找到目录对象。”
我尝试将计算机重新加入域,但事件日志中没有任何有用的信息。我不知道该如何解决这个问题。任何帮助都值得感激。
我自己搜索找到了这篇 MS 知识库文章:
http://support.microsoft.com/kb/248079
但它并没有真正起到帮助作用。据我所知,它寻找的所有四个项目都存在,重新创建域不是一个好选择,并且 2000sp1 集成建议不适用于我的 Windows 2008 机器。
检查知识库文章中的每个对象,我注意到我的管理员帐户的 SID 是:S-1-5-21-2025429265-492894223-1708537768-1124。请注意,它不以“500”结尾,因此可能是错误的。内置管理员帐户无处可寻。这是链接知识库文章中“原因”标题下第二个项目符号项引用的帐户。有什么想法可以解决这个问题?我将把这个特定部分变成单独问题但我一定会保持最新的。
更新可能发生的情况。这不会帮助解决问题,但如果有人好奇,我找到了一些有助于解释问题的旧笔记。显然,这台服务器曾经运行过一个 FTP 服务,后来被更好的替代方案取代了。在服务运行时,当时的管理员注意到脚本小子试图通过该服务强行破解管理员密码。现在看来,在 Windows 2000 中,除非关闭服务,否则无法禁用管理员帐户的 FTP 访问。他尝试重命名该帐户,但他们不知何故也跟着重命名了。所以在“恶意攻击”之后,他反而“删除”了该帐户。我想我可能不得不以某种方式重新创建域 :(
答案1
这听起来很疯狂,但这只是因为我曾经这样做过。检查并确保没有防火墙或网络问题。我曾经有一个网络,我意外地在其中一个 DC(共有 4 个)上打开了 Windows 防火墙,因此由于这个 DC 无法正确复制,我无法进行任何 AD 升级。尽管网络的其余部分运行良好,所以在我尝试更新架构之前没有任何症状。
简单测试,确保每个 DC 都可以 ping 通其他每个 DC,并且所有 DNS 解析正确。还要确保 AD 处于 Windows 2000 可以达到的最高水平,我不确定 2008 作为 DC 的向后兼容性如何。
答案2
您需要将 AD 架构更新为 2008 格式。每个版本的 AD(2000、2003、2003R2 和 2008)之间都有架构更改。2008 DVD 上有一个名为 adprep 的工具。我认为您首先要运行adprep/域准备进而adprep/forestprep。可能还有第三个,是 2008 年新推出的。正在运行adprep /?应该可以帮助你。
答案3
您的帐户的 SID 没有错。唯一以 500 结尾的帐户是内置管理员帐户,该帐户是在构建域时创建的。同样,这适用于工作站/服务器/* NT 盒的本地 SAM 中的内置管理员帐户。
至于您的 dcpromo 问题,请从 %SystemRoot%\Debug 发布 dcpromo.log。
谢谢,Brian Desmond Active Directory MVP
答案4
确保域已从混合模式升级。初始 2000 安装(与其他安装一样)具有功能受限的版本。您可以将其升级到完整的 2000 域。完成后,再次尝试升级。
如果您对此不满意,请获取 2003 版(您的 2008 版许可证也会降级)并升级到 2003 版域。再次升级域功能级别。然后尝试升级到 2008 版域。
此外,在每个步骤完成后留出一些时间,以便可以在后台复制。