我们有一个名为 test-companyname.com 的域,其中包含三个 DC,即 XXX01、XXX02 和 XXX03。这三台机器都运行 2008 R2。我们必须在域中添加一个新的 DC,即 2012 R2 机器。
在此过程中,我有一个属于域/企业/架构管理员的用户,我正尝试与他将我的 2012 R2 成员服务器提升为 DC。
在最后阶段我收到一个错误 -
Adprep 执行失败 - System.ComponentModel.System32Exception (0x80004005)
在调试日志中:
Adprep 日志 - 如果错误为“权限不足”(Ldap 错误代码 50),请确保指定的用户有权读取/写入架构和配置容器中的对象,或者注销并以具有这些权限的用户身份登录并重新运行 forestprep。在大多数情况下,同时成为架构管理员和企业管理员的成员就足以运行 forestprep。
条目 DN:CN=Top、CN=Schema、CN=Configuration、DC=XXX、DC=local 从第 617 行开始的条目上添加错误:权限不足
服务器端错误为:0x2098 访问权限不足,无法执行操作。
扩展服务器错误是:
00002098:SecErr:DSID-03150BB9,问题 4003(INSUFF_ACCESS_RIGHTS),数据 0
程序出现错误
过去 12 个小时里,我与多个团队一起努力解决这个问题,但始终无法找到根本原因。这个真的很奇怪!
答案1
确保以提升的进程身份启动命令提示符或 PowerShell 窗口。
右键单击命令提示符(或 PowerShell)快捷方式并选择“以管理员身份运行”。即使您已经以管理员身份登录,这也是必需的。
另外,请确保用户帐户仍在域管理员和架构管理员组中。组策略设置可能会将该帐户从这两个受限组中删除。
现在,再试dcpromo一次 或adprep /forestprep /domainprep。它应该可以正常工作。