AdPrep 日志显示 LDAP 错误

tag-icon tag-icon ldap windows-server-2008-r2 active-directory migration
AdPrep 日志显示 LDAP 错误

我正在尝试将我们的域从 Server 2003 Enterprise x32 转换为 Server 2008 R2 Enterprise x64。以下是我到目前为止所做的工作。2003 服务器是一台物理机,2008 服务器是一台虚拟机

  • 构建了具有 Server 2008 R2 Enterprise x64 的虚拟机,并将其作为域成员加入到域中
  • 在 2003 DC 上,将域功能级别和林功能级别提升至 Windows Server 2003
  • 在 2003 DC 上,进入注册表并导航至HKLM\SYSTEM\CurrentControlSet\Services\NTDS\参数并验证架构版本为 30
  • 在 2003 DC 上,插入 Windows Server 2008 Enterprise x32 Edition 以复制 adprep 文件夹。此版本似乎是唯一有效的版本
  • 在 2003 DC 上,打开命令提示符并转到 adprep 目录并运行adprep /forestprep 、 adprep /domainprep 和 adprep /domainprep /gpprep
  • 在 2008 服务器上,从服务器管理器安装 Active Directory 域服务角色
  • 在 2003 DC 上,进入注册表并导航至HKLM\SYSTEM\CurrentControlSet\Services\NTDS\参数并验证架构版本现在为 44

当我在 2008 服务器上运行 dcpromo 时,收到一条消息:

“要将域控制器安装到此 Active Directory 林中,您必须首先使用 adprep /forestprep 做好准备”

我回到了 2003 DC 服务器并查看了 adprep 日志,发现了以下内容:

Adprep 无法修改对象 CN=DomainControllerAuthentication、CN=Certificate Templates、CN=Public Key Services、CN=Services、CN=Configuration、DC=xeroxtoledo、DC=com 上的安全描述符。

[状态/后果] ADPREP 无法将现有的安全描述符与新的访问控制条目 (ACE) 合并。

[用户操作] 检查 C:\WINDOWS\debug\adprep\logs\20100327143517 目录中的日志文件 ADPrep.log 以获取更多信息。

Adprep 遇到 LDAP 错误。

错误代码:0x20。服务器扩展错误代码:0x208d,服务器错误消息:0000208D:NameErr:DSID-031001CD,问题 2001 (NO_OBJECT),数据 0,最佳匹配:'CN=Certificate Templates、CN=Public Key Services、CN=Services、CN=Configuration、DC=xeroxtoledo、DC=com

事实上,我遇到了三个这样的错误。LDAP 错误与这三个错误一致,但顶部显示“Adprep 无法修改对象的安全描述符“ 有所不同。它们如下:

CN=DomainControllerAuthentication、CN=证书模板、CN=公钥服务、CN=服务、CN=配置、DC=xeroxtoledo、DC=com。

CN=DirectoryEmailReplication、CN=证书模板、CN=公钥服务、CN=服务、CN=配置、DC=xeroxtoledo、DC=com。

CN=KerberosAuthentication、CN=证书模板、CN=公钥服务、CN=服务、CN=配置、DC=xeroxtoledo、DC=com。

我在 2008 服务器上运行 dcpromo 时使用的凭据是我的域帐户。我的帐户是域和企业管理员组的一部分。

我尝试过通过 Google 搜索找到的各种快速修复方法,包括:

  • 在当前 DC 上禁用防病毒软件
  • 将 PDC 上的 DNS 指向其自身
  • 将“Schema Update Allowed”项更改为 1,然后尝试重新运行 adprep - 重新运行 adprep 时,系统提示全林信息已更新
  • 在 Server 2008 上禁用 Windows 防火墙
  • 在 2003 DC 上,转到域控制器安全策略 > 本地策略 > 用户权限分配,并将域管理员添加到启用计算机和用户帐户的委派信任功能政策制定

我们的 PDC 和 BDC 都是全局目录服务器。不确定这是否重要

我运行了命令netdom 查询 fsmo并验证 FSMO 角色持有者是当前的 2003 PDC

我跑了dcdiag /v在 2003 年 PDC 上,唯一失败的是服务。Dnscache 服务已停止在 PDC 上

我甚至删除了虚拟机并从头开始重新创建它 - 但无济于事......

帮助 :(

答案1

我进行了一些调查,并找到了两个关于整个过程的非常好的博客: http://blogs.technet.com/askds/archive/2008/11/11/so-you-want-to-upgrade-to-windows-2008-domain-controllers-adprep.aspx

http://blogs.technet.com/askds/archive/2008/12/15/troubleshooting-adprep-errors.aspx

第二个似乎有您想要的东西。您可以再检查一下您是否也是架构管理员组的成员。

答案2

Server 2008 R2...架构版本必须是 47,而不是 44

相关内容