Neue 2008 Server in 2000-Domäne kann nicht dcpromo

7

Ich versuche, einen alten Windows 2000-Domänencontroller durch einen neuen Windows 2008-Server zu ersetzen. Ich habe die Rolle der Active Directory-Domänendienste auf dem neuen Server installiert und der Domäne hinzugefügt. Der nächste Schritt besteht darin, den neuen Server als Domänencontroller in der vorhandenen Domäne zu fördern. Danach kann ich den alten Server offline schalten.

Ich habe das Adprep-Tool bereits mit / Forestprep und / Domainprep ausgeführt. Wenn ich es ausführe dcpromo, sieht es so aus, als würde es alles replizieren, Benutzer, Gruppen und Computerobjekte erstellen, aber dann wird folgende Fehlermeldung angezeigt:

Die Operation ist fehlgeschlagen, weil:

Active Directory-Domänendienste fehlen nach der Installation wichtige Informationen und können nicht fortgesetzt werden. Wenn dies ein Replikat des Active Directory-Domänencontrollers ist, verbinden Sie diesen Server erneut mit der Domäne.

"Verzeichnisobjekt nicht gefunden."

Ich habe versucht, den Computer wieder mit der Domäne zu verbinden, und in den Ereignisprotokollen ist nichts hilfreich. Ich weiß nicht, wie ich darüber hinwegkommen soll. Jede Hilfe geschätzt.

Meine eigenen Suchanfragen ergaben diesen MS Knowledge Base-Artikel:
http://support.microsoft.com/kb/248079

Aber es ist nicht wirklich hilfreich. Soweit ich das beurteilen kann, sind alle vier Elemente vorhanden, nach denen gesucht wird. Das Neuerstellen der Domain ist keine gute Option, und der Slipstreaming-Rat für 2000sp1 gilt nicht für meine Windows 2008-Box.

Beim Einchecken in jedes der Objekte aus dem KB-Artikel habe ich festgestellt, dass die SID für mein Administratorkonto wie folgt lautet : S-1-5-21-2025429265-492894223-1708537768-1124. Beachten Sie, dass dies nicht mit "500" endet und daher wahrscheinlich falsch ist. Das integrierte Administratorkonto ist nirgends zu finden. Dies ist das Konto, auf das im zweiten Punkt unter der Überschrift "Ursachen" im verknüpften Knowledge Base-Artikel verwiesen wird. Irgendwelche Ideen, wie man das behebt? Ich werde diesen speziellen Teil auch zu einer separaten Frage machen , aber ich werde sicher beide auf dem neuesten Stand halten.

Update, was passiert sein könnte. Es wird nicht helfen, das Problem zu lösen, aber falls jemand neugierig ist, habe ich einige alte Notizen gefunden, die helfen, das Problem zu erklären. Anscheinend hat dieser Server einmal einen FTP-Dienst ausgeführt, der inzwischen durch bessere Alternativen ersetzt wurde. Zum Zeitpunkt der Ausführung des Dienstes bemerkte der damalige Administrator, dass Skriptkinder versuchten, das Administratorkennwort über diesen Dienst brutal zu erzwingen. Nun scheint es, dass Sie in Windows 2000 den FTP-Zugriff für das Administratorkonto nicht deaktivieren können, ohne den Dienst herunterzufahren. Er hat versucht, das Konto umzubenennen, aber sie folgten irgendwie der Umbenennung. Und so "entfernte" er nach "einem bösen Hack" stattdessen den Account. Ich denke, ich muss die Domain möglicherweise irgendwie neu erstellen :(

windows-server-2008  active-directory  domain-controller  windows-server-2000 
Joel Coel
quelle
Was sagt Ihnen das Ereignisprotokoll? Ich habe das Gefühl, dass es dort einige hilfreiche Informationen geben wird.
MDMarra
Ich weiß, dass dies offensichtlich ist, aber haben Sie sich wieder dem Server angeschlossen, wie es verlangt?
MDMarra
Ja, habe ich.
Joel Coel
+1, interessante Frage
Oskar Duveborn
Ist alles in Ordnung mit dcdiag und netdiag?
JJ01

Antworten:

4

Das wird verrückt klingen, aber nur, weil ich mir das einmal selbst angetan habe. Überprüfen Sie, ob Firewalls oder Netzwerkprobleme vorliegen. Ich hatte einmal ein Netzwerk, in dem versehentlich die Windows-Firewall auf einem der Domänencontroller aktiviert war (es gab 4). Da dieser Domänencontroller nicht ordnungsgemäß repliziert wurde, konnte ich keine AD-Upgrades durchführen. Obwohl der Rest des Netzwerks einwandfrei funktionierte, gab es keine Symptome, bis ich versuchte, das Schema in meinem Fall zu aktualisieren.

Einfacher Test, stellen Sie sicher, dass jeder DC jeden anderen DC anpingen kann und dass alle DNS ordnungsgemäß aufgelöst werden. Stellen Sie außerdem sicher, dass AD der höchste Wert ist, den Windows 2000 erreichen kann. Ich bin mir nicht sicher, wie abwärtskompatibel 2008 als DC ist.

SpaceManSpiff
quelle
+1 für den Firewall-Kommentar. Ich ging davon aus, dass 2008 eine eigene Firewall für AD konfigurieren würde, tat dies aber nicht. Ich konnte mit AD nichts tun, bis ich die Windows-Firewall insgesamt deaktiviert hatte.
Mark Henderson
Das waren ungefähr 4 Stunden, bis ich herausgefunden hatte, dass alles in meiner AD durcheinander war.
SpaceManSpiff
Ich habe das überprüft, aber es war nicht die Firewall.
Joel Coel
3

Sie müssen das AD-Schema auf das Format 2008 aktualisieren. Zwischen jeder Version von AD (2000, 2003, 2003R2 und 2008) wurden Schemaänderungen vorgenommen. Auf der DVD 2008 befindet sich ein Tool namens adprep. Ich denke, zuerst werden Sie adprep / domainprep und dann adprep / Forestprep ausführen . Es gibt möglicherweise einen dritten, der für 2008 neu ist. Adprep /? sollte dir helfen.

Keith Stokes
quelle
Sie führen zuerst / Forestprep aus. Hier ist der Technet-Artikel, der seine Verwendung beschreibt: technet.microsoft.com/en-us/library/cc731728%28WS.10%29.aspx
MDMarra
Das habe ich schon gemacht.
Joel Coel
Nur um ganz sicher zu sein, es wurde auf dem / einem alten 2000 DC ausgeführt, oder? Und wurde die Domain irgendwann von NT4 aktualisiert oder als 2000 installiert?
Oskar Duveborn
Ja, ich habe es auf dem alten DC ausgeführt. Der alte DC war immer Windows 2000, niemals NT.
Joel Coel
1

Die SID Ihres Kontos ist NICHT falsch. Das einzige Konto, das mit 500 endet, ist das integrierte Administratorkonto, das beim Erstellen der Domäne erstellt wird. Dies gilt auch für das integrierte Administratorkonto im lokalen SAM einer Workstation / Server / * NT-Box.

Veröffentlichen Sie für Ihr dcpromo-Problem das dcpromo.log von% SystemRoot% \ Debug.

Vielen Dank, Brian Desmond Active Directory MVP

Brian Desmond
quelle
Entschuldigung, ich meinte nicht mein Administratorkonto: Ich meinte das Administratorkonto - das integrierte Konto, das beim Erstellen der Domäne erstellt wird. Es ist einfach nicht da.
Joel Coel
1

Stellen Sie sicher, dass die Domain aus dem gemischten Modus aktualisiert wird. Die anfängliche 2000-Installation (wie die anderen) hat eine eingeschränkte Funktionsversion. Sie können es bis zur vollen Domain 2000 nur abprallen lassen. Versuchen Sie anschließend erneut, das Upgrade durchzuführen.

Wenn Sie damit keine Freude haben, besorgen Sie sich eine Kopie von 2003 (Ihre 2008-Lizenz wird ebenfalls heruntergestuft) und führen Sie das Upgrade auf eine 2003-Domain durch. Aktualisieren Sie anschließend erneut die Domänenfunktionalität. Versuchen Sie dann, auf die Domain 2008 aufzusteigen.

Lassen Sie nach jedem Schritt etwas Zeit, wenn er abgeschlossen ist, damit sich die Dinge im Hintergrund replizieren können.

Ryaner
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.