我花了五个多小时来解决推广新安装的Windows Server 2016 标准版-服务器到域控制器在我们的服务器 2008 R2级网络。
问题如下:如果我尝试将 2016 服务器添加为域控制器,并选择从 DC2(具有所有 FSMO 角色)进行复制,则会提示以下失败消息:
我选择DC2:
确定目标环境是否需要 adprep 时出错:
验证错误验证错误:无法与服务器 DC2.company.lan 建立 LDAP 连接
异常:指定的服务器无法执行请求的操作
详细信息:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259
如果我选择 DC1:
确定目标环境是否需要 adprep 时出错:
验证错误验证错误:无法检查服务器 DC1.company.lan 的林升级状态
异常:指定的服务器无法执行请求的操作
详细信息:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259
在我进行网络研究期间 - 我必须承认我是 Windows 网络管理的高级初学者,可能会错过一些基本知识 - 我在 serverfault 上发现了一个类似的主题: 修复在域控制器升级期间确定目标环境是否需要 Windows Server 2012 中的 adprep 时出错的问题 但我已经检查过,DC2 是方案主控。
我的第二种方法是,由于我只是一个域管理员,因此我缺少管理员权限。因此,我写信给我们的主要管理员,要求他将我的帐户设置为方案管理员。他已经这样做了。但我仍然收到这些失败消息……它们是一样的。我甚至尝试过重新启动,但什么都没有改变。不幸的是,我们的主要管理员甚至没有进一步的想法……
您有什么想法?我是否遗漏了一些重要信息,例如计划管理权限?
顺便说一句,DC2 失败消息与 ldap 有关,这令人困惑,但我们在网络中并没有故意使用 LDAP...或者它是 Active Directory 的一部分?(我以为它有 Kerberos 或类似的东西用于身份验证...)
FSOM(netdom 查询 fsom)
Scheme-Master:
DC2.company.lan
域主控:
DC2.company.lan
PDC:
DC2.company.lan
RID 池管理器:
DC2.company.lan
Infrastrukturmaster
DC2.company.lan
答案1
活动目录使用 LDAP。您首先应验证是否可以从新服务器访问现有域控制器,并且没有任何事物(包括现有域控制器上的防火墙)阻止 LDAP/AD 使用的端口。
答案2
要执行与森林相关的任务,您可能正在寻找该Enterprise Admins组。这就是 所需的组adprep /forestprep。
根据源链接中的信息,运行 Schema 升级需要域中的所有三个管理组。
确保您可以使用具有足够凭据的帐户登录架构主机以运行 adprep /forestprep。您必须是架构主机所在域(默认情况下为林根域)的架构管理员组、企业管理员组和域管理员组的成员。
完成所需任务后,最好将自己从该组中移除。作为Domain Admin,您有权添加和移除自己。Schema Admins组也是如此。
来源: https://technet.microsoft.com/en-us/library/dd464018(v=ws.10).aspx
感谢 JBaldridge 发现了几个错误。