AD域提升为域控服务器报ADPrep执行失败处理
AD域提升为域控服务器报ADPrep执行失败处理及常见故障处理思路(已验证)
【事件描述】
在现有域控2008R2环境中配置ad的备用主机server 2012 r2时,即提升windows server 2012 R2为server 2008 R2域环境中域控时,报如下错误:
报错信息:System.ComponetModel.Win32Exception连到系统上的设备没有发挥作用;
检查日志报错:ADPrep执行失败,回叫功能失败,无法访问主域控,找不到网络路;
【问题分析】
安装提示进入日志路径查看ADPrep日志:
从上述日志已可知原因。
【关于ADPrep说明】:
什么是Adprep.exe?
Adprep.exe是一个命令行工具,包含在每个版本的Windows Server的安装盘上。Adprep.exe执行必须在现有Active Directory环境中运行的域控制器上完成的操作,然后才能添加运行该版本Windows Server的域控制器。
在运行Windows Server 2012或更高版本的服务器上,Adprep.exe命令会根据需要自动运行,作为AD DS安装过程的一部分。这些命令需要在以下情况下运行:
在添加第一个运行Windows Server版本的域控制器之前,该版本比现有域中运行的最新版本晚。
在将现有域控制器升级到更高版本的Windows Server之前,如果该域控制器将是域或林中第一个运行该版本Windows Server的域控制器。
例如,如果您的组织具有运行Windows 2000 Server或Windows Server 2003的域控制器,则在添加运行Windows Server 2008 R2的新域控制器或将其中一个现有域控制器升级到Windows Server 2008 R2之前,必须运行来自现有域控制器上Windows Server 2008 R2安装DVD的\ Support \ Adprep文件夹中的Adprep.exe。
注意:
Adprep.exe是此工具的所有先前版本的汇总。换句话说,如果您当前具有运行Windows Server 2003的域控制器,并且您想要添加运行Windows Server 2008 R2的域控制器,则只需从Windows Server 2008 R2操作系统磁盘运行Adprep.exe。没有必要从Windows Server 2008运行该版本,因为Windows Server 2008 R2中的版本包含以前版本的所有更改。
Adprep.exe有什么作用?
Adprep.exe具有执行各种操作的参数,这些操作有助于为运行更高版本的Windows Server的域控制器准备现有的Active Directory环境。并非所有版本的Adprep.exe都执行相同的操作,但通常Adprep.exe可以执行的不同类型的操作包括:
1)更新Active Directory架构
2)更新安全描述符
3)修改Active Directory对象和SYSVOL共享文件夹中文件的访问控制列表(ACL)
4)根据需要创建新对象
5)根据需要创建新容器
有关Adprep.exe执行的更改的详细信息,请参阅以下资源:
对于Windows Server 2012及更高版本,请参阅Adprep.exe所做的更改。
对于Windows Server 2008 R2,请参阅Windows Server 2008 R2:Adprep.exe更改附录以支持AD DS。
对于Windows Server 2008,请参阅Windows Server 2008:Adprep.exe更改附录以支持AD DS。
对于Windows Server 2003 R2,请参阅在Windows Server 2003 R2中扩展Active Directory架构(http://go.microsoft.com/fwlink/?LinkId=138879)。
对于Windows Server 2003,请参阅准备升级基础结构(http://go.microsoft.com/fwlink/?LinkId=138878)。
在Windows Server 2012 R2和Windows Server 2012中使用Adprep.exe的注意事项
从Windows Server 2012开始,Adprep.exe已集成到AD DS安装过程中,并根据需要自动运行。例如,当您将运行Windows Server 2012的第一个域控制器 安装到现有域和林 中时,adprep / forestprep和adprep / domainprep会自动运行 并报告操作结果。
某些组织可能更喜欢在AD DS安装之前单独运行Adprep.exe,或者只是扩展现有AD DS架构以支持新功能,例如Windows Server 2012 R2中的设备注册服务。因此,Adprep.exe也包含在操作系统磁盘的\ Support \ Adprep文件夹中。
同样从Windows Server 2012开始,只有一个64位版本的Adprep.exe。它可以从运行64位版本的Windows Server 2008或更高版本的任何服务器远程运行。运行它的计算机可以是域加入的,也可以是工作组。它包括新的语法和参数选项,以便远程运行它。
【问题处理及思路】
1)将备用ad主机的域名解析加入到现有DNS中;
2)检查开启Remote Registry服务;(注:此处是在主域控上开启,而非备用域)
3)之前因误安装ad证书服务,导致该AD域控提示先决条件检查不通过,后删除角色,先决条件已通过,理应排除该情况下的错误;
无法使此域控制器降级,因为它同样是证书颁发机构。 在仔细清查其用途之前不要删除 CA - 如果它正在颁发证书,删除该角色将导致中断。 不建议在域控制器上运行 CA
4)在主域控服务器上开启Remote Registry服务:
5)重新尝试提升域控,操作成功,至此问题得到处理。如下图所示:
6)如不成功,请执行:使dcdiag.exe 和 repadmin.exe 验证林的总体运行状况,他们将指示可能会阻止进一步域控制器升级的细微配置错误。进一步排查处理。
7)使用 AutoRuns.exe、任务管理器或 MSinfo32.exe 检查计算机中可能造成干扰的第三方软件。
删除第三方软件(不仅仅禁用该软件,这样不会阻止驱动程序加载)。
8)在未能升级的计算机以及复制伙伴域控制器上安装 NetMon 3.4,并使用双向网络捕获分析升级过程。
将其与你的工作实验室环境进行比较以了解运行状况良好的升级的样子以及出现故障的位置。此时,错误可能出现在林对象、非默认安全更改或网络中,而且此新域控制器会受到 DNS、防火墙、主机入侵防护软件或其他外部因素中的错误配置的负面影响。
9)检查 dcpromo.log 和 dcpromoui.log日志;
10)如报错:域列表无法从林中读取,无法找到指定域的域控制器:
验证 DNS 客户端设置、LDAP 功能和防火墙规则
11)RODC 无法升级,因为未执行 rodcprep:使用 Windows Server 2012 准备林或使用 adprep.exe /rodcprep
12)未执行 Domainprep:使用 Windows Server 2012 准备域或使用 adprep.exe /domainprep
13)未执行 Forestprep:使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep
14)林架构不匹配:使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep
15)指定域的 RID 的主机处于脱机状态:
使用 netdom.exe query fsmo 检测 RID 主机。 使其联机,并使其可供你正在升级的域控制器访问。
16)域命名主机处于脱机状态:
使用 netdom.exe query fsmo 检测域命名主机。 使其联机,并使其可供你正在升级的域控制器访问。
17)林功能级别过低(错误仅限 Windows Server 2012):
将林功能级别至少提高到 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再是受支持的操作系统。
18)域功能级别过低(错误仅限 Windows Server 2012):
将域功能级别至少提高到 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再是受支持的操作系统。
19)其他AD域故障,请参见官方文档:
https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/deploy/troubleshooting-domain-controller-deployment
附录:AD故障处理流程图:
