Correção de erro ao determinar se o ambiente de destino requer adprep no Windows Server 2012, durante a promoção do controlador de domínio

Não consigo promover minha máquina Windows Server 2012 recém-instalada para um controlador de domínio. Eu tenho dois controladores de domínio existentes. O principal está no nível do Windows Server 2003 e está executando o W2003Server, e o secundário está executando o Windows Server 2003 R2. ( Atualização: originalmente, essa pergunta era sobre a mensagem de aviso não fatal sobre um controlador de domínio que não podia ser localizado, o que é normal durante a atualização do Windows Server 2003, pois é impossível criar um controlador de domínio somente leitura quando o A floresta do Active Directory está no nível funcional de 2003, portanto, na minha opinião, esse aviso deve ser anulado. Depois de continuar com vários erros de aparência igualmente assustadores, finalmente cheguei ao erro real, que é um AdPreperro relacionado.)

Na nova caixa do servidor Win2012, ingressar no domínio como um servidor membro do domínio funcionou bem. Mas o AD DS Cfg Wiz congela por cerca de 100 segundos, passa da página 1 do assistente para a página 2 (que mostra a caixa de combinação de nome do site e duas caixas de edição de entrada de senha para a senha do DSRM), e recebo esse erro nos Serviços de Domínio Active Directory Assistente de configuração.

No começo eu pensei que este era o erro real. Mas é apenas um obstáculo no meu caminho que continuo além:

Opções de controlador de domínio

Um controlador de domínio executando o Windows Server 2008, o Windows Server 2008 R2 ou o Windows Server 2012 não pôde ser localizado nesse domínio. Para instalar um controlador de domínio somente leitura, o domínio deve ter um controlador de domínio executando o Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012.

[ESTÁ BEM]

Em seguida, recebo mais algumas mensagens semelhantes de "Você não pode marcar esta caixa de seleção, para que possamos acinzentá-la", pelas quais você pode continuar.

Em seguida este:

Error determining whether the target environment requires adprep: Validation error: 
Validation error: Unable to check forest upgrade status for server 
SERVERNAME.localdomain.local.
Exception: The specified server cannot perform the requested operation 
Details:Test.VerifyForestUpgradeStatus.ADPrep.Win32Exception.-2147467259 

[ OK  ]

Alguém conseguiu um domínio no nível de 2003 até 2012?

Atualização Acontece que eu não tinha um mestre de esquema ativo no domínio.

Atualização2 Para tirar proveito dos usuários futuros com este erro, mostrei a captura de tela com os erros que vi:

Seu nível funcional de floresta / domínio está em 2003? Você deve poder adicionar um controlador de domínio 2012 a uma floresta de 2003 - desde que a floresta esteja no nível funcional de 2003.

editar: verifique também as configurações de DNS e verifique se estão corretas e se você pode resolver os registros srv adequados para localizar os controladores de domínio

edit2: se você estiver tentando instalar um RODC, precisará de um DC gravável em 2008 para instalar um DC somente leitura.

Se todos os seus controladores de domínio tiverem pelo menos o Windows Server 2003 e os níveis funcionais do domínio e da floresta estiverem definidos como pelo menos o Windows Server 2003, a adição de um controlador de domínio do Windows Server 2012 funcionará bem:

http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels

A única situação em que você precisará de pelo menos um controlador de domínio do Windows Server 2008 é se você estiver adicionando um controlador de domínio somente leitura.

Editar:

Se a mensagem que você está recebendo é a mostrada aqui , é apenas um aviso (como deve ser claro no ícone amarelo do ponto de exclamação); isso não impedirá que você continue, a menos que você esteja realmente tentando instalar um RODC.

Você precisa executar o requisito adprep /forestprepe os adprep /domainprepcomandos do DVD de 2012.

Acontece que eu não tinha nenhum mestre de esquema ativo no meu domínio. Eu perguntei aqui sobre como obter o proprietário do esquema ativo. O nome era válido, mas o nome da máquina era um nome que há muito havia sido desligado e desativado, mas ninguém transferiu a função de mestre de esquema antes de morrer.

Aqui está o que eu tinha que fazer:

1. Embora o Windows Server 2012 tente salvá-lo da execução do adprep, ele não pode ser feito em alguns casos. No meu caso, alguém criou um controlador de domínio e transferiu a função PDC para um servidor, mas não a função de mestre de esquema, e depois retirou o servidor de mestre de esquema sem transferir a função de mestre de esquema normalmente. Diagnosticar problemas como esse, ao passar de uma versão de 9 anos do Windows para a versão mais recente, é difícil, porque no Windows Server 2012 você obtém erros do Win32 e esses erros são apenas valores inteiros negativos grandes, como mostrado na minha pergunta. Porém, mesmo as tentativas de atualização de 2003 para 2008 R2 foram igualmente bloqueadas e nenhuma mensagem de erro útil foi exibida. Claro que isso é típico para problemas do ActiveDirectory. A leitura de logs e a execução de utilitários de diagnóstico de linha de comando fazem parte do padrão "

2. Em casos como o acima, você só obtém erros úteis ao executar o AdPrep no modo autônomo. Infelizmente, apenas o adprep de 64 bits vem com o Windows Server 2012. use o 2008 r2 install dvd para obter o adprep32.exe de 32 bits.

3. Pesquisando os erros da execução da versão do AdPrep no Windows 2008 R2 no modo de linha de comando autônomo, descobri que era necessário garantir que uma máquina controladora de domínio com a função Mestre de esquema existisse e estivesse ativa na rede. Observe que a versão do AdPrep que está no Windows Server 2012 foi projetada para ser executada no servidor 2012, não nas máquinas principais de função, como anteriormente ocorreu no uso do AdPrep. Se você tentar executar a ferramenta AdPrep em uma máquina Windows Server 2003 de 32 bits, ficará bloqueado porque o AdPrep.exe nem sequer será executado e imprimirá qualquer mensagem de erro na sua máquina de 32 bits. No meu caso, não existia e eu tive que usar esse link para "aproveitar" a função Mestre do Esquema usando a ajuda principal do NTDSUTIL:

   http://technet.microsoft.com/en-us/library/cc976711.aspx

Ajuda específica para apreender o mestre de esquema:

http://technet.microsoft.com/en-us/library/cc783650(v=ws.10).aspx

Como eu disse na etapa 1, a maioria das pessoas não terá esse problema, mas a confusão nos círculos de TI amadores pode levar outras a ter problemas semelhantes.

Também perguntei como identificar o nome do mestre de esquema ativo, na linha de comando na pergunta vinculada e esse comando funciona para descobrir quem é o mestre de esquema:

      netdom query fsmo

Executei ntdsutilconforme detalhado no ponto 3 acima, assumi a função Schema Master para reparar o domínio e, depois disso, pude executar adprepnormalmente:

       adprep /forestPrep
       ...  <takes about 10 minutes and outputs several screens of info>
       adprep /domainPrep
       ...  <takes about 1 second and outputs about 15 lines>

E então adprepfunciona. Observe que você ainda não terminou. A instalação do controlador de domínio do Windows Server 2012 ainda falhará em centenas de outros problemas, muitos para listar aqui. Outras coisas que eu tive que fazer para fazê-lo funcionar:

1. Remova o Symantec Endpoint Protection e desative o Firewall do Windows, para que o WMI funcione na rede, necessária para o novo controlador de domínio falar com o controlador de domínio antigo.

2. Repare alguns erros de configuração do DNS e execute-os ipconfig /flushdns, incluindo a remoção de servidores descomissionados que não foram descomissionados corretamente, o que significa basicamente acessar a tela de gerenciamento do AD e excluir esses servidores. Outros erros de DNS podem incluir falta de registros DNS reverso, etc.

3. Certifique-se de que, se houver erros na comunicação via WMI / DCOM, repare as permissões de serviço ou outros erros que possam impedir o funcionamento do WMI e do DCOM.

Para mim, esse problema ocorreu devido a uma falha na captura do mestre de nomeação. Eu tive que re-aproveitar a função de mestre de domínio novamente para resolver esse problema. Descobri que algo estava acontecendo quando executei o comando "netdom query fsmo" e isso me deu um erro após a primeira função, tentando enumerar todas as funções do FSMO.

Consegui verificar as funções do FSMO individualmente nos computadores e usuários do Active Directory e nos domínios e relações de confiança do Active Directory. Quando eu estava verificando o mestre de nomeação de domínio nos domínios e relações de confiança do AD, não foi possível listar o mestre de nomeação de domínio atual e, consequentemente, não me permitiu alterá-lo para o servidor. Segui as etapas descritas em " https://technet.microsoft.com/en-us/library/cc816779(v=ws.10).aspx " para aproveitar o mestre de nomenclatura. Trabalhou como um encanto!

Parece que o erro aponta para um problema de conectividade de rede entre o novo controlador de domínio que está sendo promovido e os controladores de domínio existentes no domínio. Eu tive o mesmo erro "erro ao determinar se o ambiente de destino requer adprep". Isso foi causado pelo fato de o mestre de esquema estar em um site diferente e o firewall não permitir que o novo controlador de domínio se conecte a ele. Depois que o fluxo foi adicionado ao firewall para o novo servidor, ocorreu o erro e a promoção para o DC avançou sem incidentes.

Isso pode acontecer quando você renomeia um controlador de domínio durante uma migração. As práticas recomendadas seriam instalar o DNS primeiro, e você não verá esse erro. Hackear é escolher remover a função, ela falhará, fechará e o erro será removido.