Se corrigió el error que determina si el entorno de destino requiere adprep en Windows Server 2012, durante la promoción del controlador de dominio

No puedo promocionar mi máquina Windows Server 2012 recién instalada a un controlador de dominio. Tengo dos controladores de dominio existentes. El primario está en el nivel de Windows Server 2003, y está ejecutando W2003Server, y el secundario está ejecutando Windows Server 2003 R2. ( Actualización: originalmente, esta pregunta se refería al mensaje de advertencia no fatal sobre un controlador de dominio que no se pudo ubicar, lo cual es normal cuando se actualiza desde Windows Server 2003, ya que es imposible crear un controlador de dominio de solo lectura cuando el El bosque de Active Directory se encuentra en el nivel funcional de 2003, por lo que, en mi opinión, esa advertencia debería anularse. Después de continuar a través de varios errores de aspecto similar, finalmente llegué al error real, que es un AdPreperror relacionado).

En el nuevo cuadro del servidor Win2012, unirse al dominio como un servidor que es miembro del dominio funcionó bien. Pero el AD DS Cfg Wiz se congela durante aproximadamente 100 segundos, va de la página 1 del asistente a la página 2 (que muestra el cuadro combinado de nombre de sitio y dos cuadros de edición de entrada de contraseña para la contraseña DSRM) y luego aparece este error en los Servicios de dominio de Active Directory Asistente de configuración.

Al principio pensé que este era el verdadero error. Pero es solo un obstáculo en mi camino que continúo pasando:

Opciones de controlador de dominio

Un controlador de dominio que ejecuta Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 no se pudo ubicar en este dominio. Para instalar un controlador de dominio de solo lectura, el dominio debe tener un controlador de dominio que ejecute Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012.

[OKAY]

A continuación, recibo algunos mensajes más similares de "No puede marcar esta casilla de verificación, así que lo hemos atenuado" que puede continuar.

Siguiente este:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

¿Alguien ha obtenido un dominio a nivel de 2003 hasta 2012?

Actualizar resulta que no tenían maestro de esquema activo en el dominio.

Update2 Para aprovechar a los futuros usuarios con este error, he mostrado la captura de pantalla con los errores que vi:

¿Su nivel funcional de bosque / dominio es 2003? Debería poder agregar un controlador de dominio de 2012 en un bosque de 2003, siempre que el bosque esté en el nivel funcional de 2003.

editar: Además, verifique su configuración de DNS y asegúrese de que sea correcta y de que pueda resolver los registros srv adecuados para ubicar los controladores de dominio

edit2: si está intentando instalar un RODC, necesitará un DC de escritura de 2008 para instalar un DC de solo lectura.

Si todos sus controladores de dominio son al menos Windows Server 2003 y sus niveles funcionales de dominio y bosque están configurados en al menos Windows Server 2003, agregar Windows Server 2012 DC debería funcionar bien:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

La única situación en la que necesitará al menos un Windows Server 2008 DC es si está agregando un controlador de dominio de solo lectura.

Editar:

Si el mensaje que está recibiendo es el que se muestra aquí , entonces es solo una advertencia (como debería quedar claro en el icono de signo de exclamación amarillo); no impedirá que continúes, a menos que realmente estés intentando instalar un RODC.

Debe ejecutar los requisitos adprep /forestprepy los adprep /domainprepcomandos del DVD de 2012.

Resulta que no tenía Schema Master activo en mi dominio. Pregunté aquí sobre cómo obtener el propietario del esquema activo. El nombre era válido, pero el nombre de la máquina era un nombre que hacía tiempo que se había apagado y dado de baja, pero nadie transfirió la función de maestro de esquema antes de que muriera.

Esto es lo que tuve que hacer:

1. Si bien Windows Server 2012 intenta evitar que ejecute adprep, en algunos casos no puede hacerlo. En mi caso, alguien creó un controlador de dominio y transfirió la función PDC a un servidor pero no la función de maestro de esquema, luego retiró el servidor maestro de esquema sin transferir la función de maestro de esquema normalmente. Diagnosticar problemas como este, al pasar de una versión de Windows de 9 años a la última versión, es difícil porque en Windows Server 2012, obtienes errores de Win32 y estos errores son solo valores enteros negativos grandes como se muestra en mi pregunta. Pero incluso los intentos de actualización de 2003 a 2008 R2 se bloquearon de manera similar, y no se mostraron mensajes de error útiles. Por supuesto, eso es típico para los problemas de ActiveDirectory. Leer registros y ejecutar utilidades de diagnóstico de línea de comandos es parte del estándar "

2. En casos como el anterior, solo obtiene errores útiles cuando ejecuta AdPrep en modo independiente. Lamentablemente, solo el adprep de 64 bits viene con Windows Server 2012. use el DVD de instalación 2008 r2 para obtener adprep32.exe de 32 bits.

3. Al investigar los errores al ejecutar la versión de Windows 2008 R2 de AdPrep en modo de línea de comandos independiente, descubrí que tenía que asegurarme de que tenía que asegurarme de que existiera una máquina controladora de dominio con la función de maestro de esquema, y ​​que estuviera activa en la red. Tenga en cuenta que la versión de AdPrep que se encuentra en Windows Server 2012 está diseñada para ejecutarse desde su servidor 2012, no en sus máquinas maestras de roles, como ha sido anteriormente el caso para el uso de AdPrep. Si intenta ejecutar la herramienta AdPrep en una máquina con Windows Server 2003 de 32 bits, se atascará porque AdPrep.exe ni siquiera ejecutará e imprimirá ningún mensaje de error en su máquina de 32 bits. En mi caso, no existía ninguno y tuve que usar este enlace para "aprovechar" el rol de maestro de esquema utilizando la ayuda principal de NTDSUTIL:

   http://technet.microsoft.com/en-us/library/cc976711.aspx

Ayuda específica para aprovechar el maestro de esquema:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Como dije en el paso 1, la mayoría de las personas no tendrán este problema, pero la confusión en los círculos de TI amateur puede llevar a otros a tener problemas similares.

También pregunté cómo identificar el nombre del maestro de esquema activo, desde la línea de comando en la pregunta vinculada y este comando funciona para averiguar quién es el maestro de esquema:

      netdom query fsmo

Luego ejecuté ntdsutilcomo se detalla en el punto # 3 anterior, tomé el rol de Maestro de esquema para reparar el dominio, y después de eso, pude ejecutar adprepnormalmente:

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

Y luego adprepfunciona. Tenga en cuenta que aún no ha terminado. La configuración del controlador de dominio de Windows Server 2012 seguirá fallando en cualquiera de los cientos de otros problemas, demasiados para enumerarlos aquí. Otras cosas que tuve que hacer para que funcionara:

1. Elimine Symantec Endpoint Protection y desactive el Firewall de Windows para que WMI funcione en la red, lo cual es necesario para que el nuevo controlador de dominio se comunique con el controlador de dominio anterior.

2. Repare algunos errores de configuración de DNS y luego ejecútelos ipconfig /flushdns, incluida la eliminación de servidores desarmados que no se desarmaron correctamente, lo que significa básicamente ir a la pantalla de administración de AD y eliminar esos servidores. Otros errores de DNS pueden incluir la falta de registros de DNS inverso, etc.

3. Asegúrese de que si recibe errores de comunicación a través de WMI / DCOM, repare los permisos del servicio u otros errores que pueden bloquear el funcionamiento de WMI y DCOM.

Para mí, este problema ocurrió debido a una incautación fallida del maestro de nombres. Tuve que volver a tomar el rol de maestro de dominio nuevamente para resolver este problema. Descubrí que algo estaba pasando cuando ejecuté el comando "netdom query fsmo" y me dio un error después de que el primer rol intentara enumerar todos los roles FSMO.

Pude verificar las funciones de FSMO individualmente en equipos y usuarios de Active Directory y dominios y fideicomisos de Active Directory. Cuando estaba comprobando el Maestro de nombres de dominio en AD Domains and Trusts, no pude enumerar el Maestro de nombres de dominio actual y, en consecuencia, no me permitió cambiarlo al servidor. Luego seguí los pasos establecidos en " https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx " para apoderarse del maestro de nombres ¡Funcionó de maravilla!

Parece que el error apunta a un problema de conectividad de red entre el nuevo DC que se promociona y los DC existentes en el dominio. Tuve el mismo error "error al determinar si el entorno de destino requiere adprep". Esto se debió a que el maestro de esquema estaba en un sitio diferente y el firewall intermedio no permitía que el nuevo DC se conectara a él. Una vez que se agregó el flujo al firewall para el nuevo servidor, se produjo el error y la promoción a DC se realizó sin incidentes.

Esto puede suceder cuando cambia el nombre de un DC durante una migración. Las mejores prácticas serían instalar DNS primero y luego no debería ver este error. Hackear es elegir eliminar el rol, fallará, se cerrará y se eliminará el error.