Adprep forestprep для windows server 2008 r2 - Доктор Windows

Прежде чем вы cможете поместить контроллеры домена на Windows Server 2008 в существующий домен Windows 2000 или Windows Server 2003, вы должны подготовить лес и домен с помощью утилиты ADPREP. Adprep.exe это инструмент командной строки, который расширяет схему Active Directory и обновляет разрешения, необходимые для подготовки леса и домена к работе с контроллерами домена на ОС Windows Server 2008.

Примечание: ADPREP также была доступна в Windows Server 2003 и Windows Server 2003 R2. В Windows Server 2008, ADPREP работает по той же логике и выполняет аналогичные задачи, которые она выполняла при подготовке обновления схемы до Windows Server 2003 или Windows Server 2003 R2.

Adprep.exe это инструмент командной строки, который доступен на дистрибутиве Windows Server 2008 на установочном диске в папке sourcesadprep.

Где запускать ADPREP?

ADPREP /forestprep необходимо запустить на хозяине схемы в лесу и с правами администратора схемы(Schema Admins) и администратора предприятия (Enterprise Admins).

ADPREP /domainprep должен быть запущен на хозяине инфраструктуры домена и с правами администратора домена.

Важно: Поскольку во время запуска ADPREP у Вас еще нет контроллера домена на Windows Server 2008, должно быть понятно, что эти команды нужно выполнить на работающем контроллере домена под управлением Windows 2000 или Windows Server 2003. Вот почему вы должны убедиться, что вы имеете 32-разрядный дистрибутив Windows Server 2008. Вы не сможете использовать 64-разрядную версию установочного диска для запуска ADPREP на 32-разрядных версиях Windows 2000/2003. Потому, так как установочный диск с Windows Server 2008 по умолчанию 64-разрядной, не забывайте взять 32-разрядную версию. В случае, если у вас нет 32-разрядной версии, вы также можете использовать ознакомительную 32-битную версию Windows Server 2008 для запуска ADPREP ), и использовать ее для запуска ADPREP на ваших 32-битных контроллерах Windows 2000/2003.

Что делает ADPREP?

Перед запуском ADPREP, все контроллеры домена в лесу под управлением Windows 2000 должены быть обновлены до Windows 2000 Service Pack 4 (SP4) или более поздней версии.

Команда ADPREP /forestprep расширяет схему некоторыми новыми классами и атрибутами. Эти новые объекты схемы необходимы для поддержки новых функций в Windows Server 2008. Вы можете увидеть на все расширения схемы, посмотрев на .ldf файлы в каталоге sourcesadprep на установовчном диске с Windows Server 2008 . Эти файлы содержат записи LDIF, которые добавят новые или изменят существующие классы и атрибуты.

ADPREP /domainprep создает новые контейнеры и объекты, модифицирует ACL на некоторые объекты, а также изменяет установки безопасности для группы «Everyone».

Перед тем как запустить run ADPREP /domainprep, вы должны быть уверены, что обновления команды /forestprep были реплицированы на все контроллеры домена в лесу.

Вы можете просмотреть подробный вывод команды ADPREP в лог-файлах в каталоге %Systemroot%system32debugadpreplogs. Каждый раз, когда ADPREP запускается, создается новый файл, который содержит все действия, выполняемые в рамках текущего вызова. Лог-файлы именуются в зависимости от времени и даты запуска ADPREP.

После того как вы выполните обе команды /forestprep и /domainprep, и дадите время для репликации изменений на все контроллеры домена, вы можете начать модернизацию ваших контроллеров домена до Windows Server 2008.

Запуск ADPREP

Для того чтобы запустить ADPREP, вставьте DVD с дистрибутивом Windows Server 2008 в соответствующий контроллер домена Windows 2000/2003, который, как отмечалось выше, должны быть мастером схемы в лесу.

Перейдите в каталог sourcesadprep.

Откройте окно командной строки (меню Пуск> Выполнить> CMD> Enter) и перетащите файл adprep.exe в окно командной строки.

В командной строке введите следующую команду:

adprep /forestprep

В целях предотвращения случайного запуска команды необходимо нажать клавишу «С» на клавиатуре, а затем нажмите Enter. Команда начнет загрузку кучи LDIF-файлов, содержащих все необходимые изменения для внесения в текущую схему. Процесс займет несколько минут.

Когда команда закончится, она вернет вам пустую командную строку. Прежде чем перейти к следующему шагу, убедитесь, что изменения отреплицировались по всем существующим контроллерам домена.

Затем перейдите на хозяина инфраструктуры для каждого домена, который вы хотите обновить. В командной строке введите:

 adprep /domainprep

В отличие от процедуры /forestprep, выполнение которой занимает некоторое время, /domainprep выполняется почти мгновенно.

Примечание: существующий домен Windows 2000/2003 должен работать в режиме Native, т.к. BDC (резервные контроллеры) Windows NT 4.0 не поддерживаются контроллерами домена Windows Server 2008. Поэтому, если это не так, то вы получите ошибку:

 Adprep detected that the domain is not in native mode

[Status/Consequence]

Adprep has stopped without making changes.

[User Action

Configure the domain to run in native mode and re-run domainprep

Переключите ваш домен в режим Native, и повторите операцию.

Прежде чем перейти к следующему шагу, опять же, убедитесь, что вы все изменения были реплицированы на все контроллеры домена.

Повторите /domainprep для каждого домена в лесу, который требует новых Windows Server 2008 контроллеры домена.

Перейдите на хозяина инфраструктуры в каждом домене, который вы хотите обновить. Выполните следующую команду:

 adprep /domainprep /gpprep

Эта команда выполняет те же обновления, что и domainprep, и дополнительно она обновляет функционал Resultant Set of Policy (RSOP).

Заметка: Домен Windows 2003 и RODC

В Windows Server 2008, доступна новая опция установки контроллера домена, называемая » Read Only domain Controller. Я не буду вдаваться в подробности RODC, просто учтите, что для того, чтобы установить первый RODC в существующем лесу Windows Server 2003, в который Вы уже добавили как минимум 1 контроллер на Windows Server 2008 C, Вы должны выполнить следующую команду:

 adprep /rodcprep

Эта команда обновляет разрешения на разделы каталога приложения, с целью разрешить репликацию разделов RODC. Эта операция выполняется удаленно, путем соединения с хозяевами инфраструктуры в каждом домене, чтобы обновить разрешения. Вам необходимо запустить эту команду один раз для всего леса. Вы можете запустить эту команду на любом компьютере в лесу с правами администратора предприятия (Enterprise Admins).

Также стоит познакомится со статьей:установка и делегировать управление контроллера домена RODC в Windows Server

Источник

В единственном домене существующего леса доменов нашего предприятия, в одном из удаленных филиалов, потребовалось установить дополнительный домен-контроллер. Роли домен-контроллеров в организации подняты на серверах с операционной системой Microsoft Windows Server 2003 R2 (rus, 32-bit, sp2). На текущий момент купить данную операционку нельзя, пришлось поднимать роль контроллера домена на вновь приобретенной Microsoft Windows Server 2008 R2 (rus, 64-bit, sp1).

При осуществлении этой, вроде бы простой операции, столкнулся с некоторыми трудностями. При попытке добавить роль “Диспетчер службы Active Directory” через “Диспетчер сервера” Microsoft Windows Server 2008 R2 или просто через командную строку с помощью команды dcpromo, выскочила ошибка:

Чтобы установить контроллер домена в этом лесу Active Directory, сначала необходимо подготовить лес
с помощью команды "adprep /forestprep".

Данная команда доступна на установочном диске DVD с дистрибутивом Windows Server 2008 R2 в папке supportadprep. Внутри вы найдете файлы для выполнения на 32-х битной (adprep32.exe) и 64-х битной (adprep.exe) системах. Но дело в том, что запускать их необходимо на существующих домен-контроллерах. Естественно, язык операционных систем на этих серверах может отличаться от того, что вы только что приобрели. На этот случай предлагаю вам скачать у меня на сервере команду adprep для соответствующих языков: русского или английского:

ru-adprep.zip
en-adprep.zip

Команда adprep имеет следующий синтаксис:

 The syntax of the command is:

 adprep  [option]

 Supported :
 /forestPrep             Update forest information
                         Must be run on the schema role master

 /domainPrep             Update domain information
                         Must be run on the infrastructure role master
                         Must be run after /forestPrep is finished

 /domainprep /gpprep     Update permissions on Group Policy Objects in
                         Active Directory Domain Services and SYSVOL
                         Must be run on the infrastructure role master
                         Must be run after /forestPrep is finished

 /rodcPrep               Update permissions on NDNC partitions to
                         enable replication for Read-only Domain Controllers.
                         Runs remotely and contacts a NDNC replica to update
                         permissions. Must be run after /forestPrep is
                         finished. Can be re-run at any time. You should run
                         this in particular when you have DNS application
                         partitions in your forest.

 Supported [option]:

 /noSPWarning            adprep will suppress the Windows 2000 service
                         pack 4 requirement warning during /forestprep

 /silent                 adprep will suppress all output.

Для того, чтобы подготовить существующий лес доменов, необходимо на домен-контроллере с ролью “хозяина схемы” с правами администратора дать команду adprep /forestprep. При этом вы увидите предупреждение, что выполнить такую подготовку можно только на серверах с установленной операционной системой не ниже Windows 2000 Service Pack 4 (SP4). Если у вас выполняется такое требование (у меня – выполняется), необходимо нажать клавишу С и ввод, для продолжения.

Итак, делаем: Пуск -> Выполнить -> cmd.exe

 Microsoft Windows [Версия 5.2.3790]
 (С) Корпорация Майкрософт, 1985-2003.

 C:Documents and SettingsАдминистратор>cd c:

 C:>C:ru-adprepadprep32.exe /forestprep

 ADPREP WARNING:

 Before running adprep, all Windows 2000 Active Directory Domain Controllers in t
 he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

 [User Action]
 If ALL your existing Windows 2000 Active Directory Domain Controllers meet this
 requirement, type C and then press ENTER to continue. Otherwise, type any other
 key and press ENTER to quit.

 C
 Открытое подключение к DC
 Привязка SSPI успешно выполнена
 Текущая версия схемы: 31
 Обновление схемы до версии 47
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch32.ldf”
 Загружаются элементы…………………
 18 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch33.ldf”
 Загружаются элементы………………
 17 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch34.ldf”
 Загружаются элементы……………………………………………………
 60 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch35.ldf”
 Загружаются элементы………
 7 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch36.ldf”
 Загружаются элементы………………………
 26 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch37.ldf”
 Загружаются элементы…………………………………………………
 56 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch38.ldf”
 Загружаются элементы……
 3 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch39.ldf”
 Загружаются элементы……………
 14 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch40.ldf”
 Загружаются элементы……………………………………………………
 69 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch41.ldf”
 Загружаются элементы…………
 9 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch42.ldf”
 Загружаются элементы……………………………………………………
 364 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch43.ldf”
 Загружаются элементы………………………
 24 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch44.ldf”
 Загружаются элементы…………
 11 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch45.ldf”
 Загружаются элементы……………………………………………………
 66 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch46.ldf”
 Загружаются элементы……
 3 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32sch47.ldf”
 Загружаются элементы……
 4 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “dc.peresvet.ru”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:WINDOWSsystem32PAS.ldf”
 Загружаются элементы……………
 13 элементов успешно изменено.

 Команда успешно выполнена
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ……
 Adprep successfully updated the forest-wide information.
 C:>

Как видно из листинга, приведенного выше, команда adprep /forestprep произвела автоматическое обновление версии схемы с 31 до версии 47.

Теперь необходимо подготовить домен. Это делается командой adprep /domainprep на домен-контроллере с ролью “мастер инфраструктуры”. У меня эта роль установлена на другом сервере, поэтому при попытку выполнить данную команду на домен-контроллере не имеющего этой роли, у меня выскочила ошибка с указанием, на каком сервере необходимо выполнять данную команду:

 C:>C:ru-adprepadprep32.exe /domainprep
 Running domainprep …

 Domain-wide information can only be updated on the Active Directory Domain Contr
 oller that holds the infrastructure operations master role.
 [Status/Consequence]
 Adprep has stopped on this Active Directory Domain Controller and must be run on
 the current infrastructure master, which is dc2.domain.ru.
 [User Action]
 Log on to the dc2.domain.ru Active Directory Domain Controller, change to t
 he directory of adprep.exe on the installation media, and then type the followin
 g command at the command prompt to complete the domain update:
 adprep.exe /domainprep
 C:>

Делаем так, как и предписано. Логинюсь с правами администратора на указанный сервер dc2.domain.ru и выполняю команду adprep /domainprep:

 Microsoft Windows [Версия 5.2.3790]
 (С) Корпорация Майкрософт, 1985-2003.

 C:>C:ru-adprepadprep32.exe /domainprep
 Running domainprep …

 Adprep successfully updated the domain-wide information.

 The new cross domain planning functionality for Group Policy, RSOP Planning
 Mode, requires file system and Active Directory Domain Services permissions
 to be updated for existing Group Policy Objects (GPOs). You can enable this
 functionality at any time by running “adprep.exe /domainprep /gpprep” on the
 Active Directory Domain Controller that holds the infrastructure operations
 master role.
 This operation will cause all GPOs located in the policies folder of the
 SYSVOL to be replicated once between the AD DCs in this domain.
 Microsoft recommends reading KB Q324392, particularly if you have a large
 number of Group policy Objects.

 C:>

Далее, на этом же сервере необходимо дать команду adprep /domainprep /gpprep для обновления разрешений объектов групповой политики:

 C:>C:ru-adprepadprep32.exe /domainprep /gpprep
 Running domainprep …

 Domain-wide information has already been updated.
 [Status/Consequence]
 Adprep did not attempt to rerun this operation.
 ……………

 Adprep successfully updated the Group Policy Object (GPO) information.

 C:>

На этом подготовительная часть по вводу в существующий домен нового домен-контроллера на Windows Server 2008 R2 окончена. Нам осталось запустить мастер добавления роли “Диспетчера службы Active Directory” на новом сервере и следовать указаниям:

После команды dcpromo появится окно “Мастера установки доменных служб Active Directory”. Поставьте галочку “Использовать расширенный режим установки” для полного контроля за процессом и нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Я осуществлял добавление домен-контроллера в домен существующего леса, поэтому и поставил соответствующие галочки. После своего выбора нажмите “Далее >”:

В следующем окне вы увидите наименование существующего домена и выберите, с чьими правами вы будете добавлять новый домен-контроллер к домену. После своего выбора нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Произойдет проверка только что подготовленного нами леса Active Directory:

Так как мне необходим полноценный домен-контроллер, а не “только для чтения”, я выбираю “Да”:

Выбираю сайт для дополнительного домен-контроллера (в филиале Нижнего Новгорода). После своего выбора нажмите “Далее >”:

На данном этапе произойдет проверка конфигурации DNS:

Мной была уже установлена роль “DNS-сервер” без ее настройки, поэтому мне осталось только поставить галочку “Глобальный каталог” и нажать “Далее >”:

Соглашаюсь с выскочившим предупреждением “Мастера настройки…”, нажав “Да”:

Существует возможность реплицировать данные домена с внешнего носителя. Так как в данной точке провайдер предоставляет быстрый проводной интернет, мой выбор – “Реплицировать данные по сети с существующего контроллера домена”:

В следующем окне я явно указываю имя исходного домен-контроллера для осуществления репликации:

Оставляю наименование папок для хранения данных “по-умолчанию”:

Ввожу пароль администратора домена (или выбранной вами ранее учетной записи для добавления роли контроллера домена):

В следующем окне внимательно просмотрите сделанные вами настройки и если все в порядке, нажмите “Далее >”:

После этого вы увидите процесс установки роли доменных служб Active Directory:

Установите флажок “Перезагрузка по завершению”:

В окошке процесса установки вы сможете наблюдать за ходом репликации данных:

После окончания репликации и завершения установки, сервер перезагрузится автоматически. В итоге я получил полноценный контроллер домена на базе операционной системы Windows Server 2008 R2.

Удачи!

Источник

Как известно — ничего вечного нет, все меняется, особенно в такой отрасли как IT. Развернутая один раз инфраструктура постоянно развивается, расширяется, совершенствуется и наступает момент когда в вашу Active Directory требуется ввести контроллер домена под управлением более поздней версии операционной системы.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Казалось бы — в чем проблема? Но, как показывает практика, проблемы возникают, во многом от того, что системные администраторы слабо владеют теорией и откровенно путаются в данном вопросе. Поэтому самое время разобраться в том, что такое схема AD и какое отношение она имеет к нашему случаю.

Схемой AD называется описание всех объектов каталога и их атрибутов. По существу схема отражает базовую структуру каталога и имеет первостепенное значение для его правильного функционирования.

Новые версии ОС и содержат новые объекты и атрибуты, поэтому для их нормального функционирования в качестве контроллеров домена нам потребуется обновить схему.

Вроде бы понятно, но не совсем, поэтому перейдем к распространенным ошибкам и заблуждениям.

Обновление схемы необходимо для включения в домен ПК под управлением более новых версий ОС Windows. Это не так, даже самые последние версии Windows могут вполне успешно работать в домене уровня Windows 2000 без обновления схемы. Хотя, если вы все-таки обновите схему, то ничего страшного не произойдет.

Для включения в домен контроллера под управлением более новой ОС требуется повысить уровень работы домена (леса). Это тоже не так, но в отличие от предыдущего случая, данная операция сделает невозможным использование контроллеров домена под управлением ОС ниже, чем режим его работы. Поэтому в случае ошибки вам придется восстанавливать вашу структуру AD из резервной копии.

Также заострим ваше внимание на режиме работы леса и домена. Домены входящие в лес могут иметь различные режимы работы, например один из доменов может работать в режиме Windows 2008, а остальные в режиме Windows 2003. Схема работы леса не может быть выше, чем схема работы самого старого домена. В нашем примере режим работы леса не может быть выше, чем Windows 2003.

При этом более низкий режим работы леса никак не мешает использовать более высокий режим работы в домене, все что для этого требуется — это обновить схему.

Ознакомившись с теорией, перейдем к практическому примеру. Допустим у нас есть домен уровня Windows 2000 (смешанный режим) — самый низкий уровень AD — в котором имеется контроллер под управлением Windows 2003, а наша цель — создать новый контроллер взамен вышедшего из строя.

Новый сервер работает под управлением Windows 2008 R2. Заметьте, у нас не возникло никаких сложностей по включению данного сервера в существующий домен.

Однако при попытке добавить новый контроллер домена мы получим ошибку:

Для успешного включения контроллера под управлением более новой версии ОС нам потребуется обновить схему леса и схему домена. Исключение составляет Windows Server 2012, который при добавлении нового контроллера домена произведет обновление схемы самостоятельно.

Для обновления схемы используется утилита Adprep которая находится в папке supportadprep на установочном диске Windows Server. Начиная с Windows Server 2008 R2 эта утилита по умолчанию 64-разрядная, при необходимости использовать 32-разрядную версию следует запускать adprep32.exe.

Для выполнения обновления схемы данная утилита должна быть запущена на Хозяине схемы. Чтобы узнать какие из контроллеров имеют необходимую нам роль FSMO воспользуемся командой:

netdom query FSMO

В Windows 2008 и новее данная утилита установлена по умолчанию, а в Windows 2003 ее нужно установить с диска из директории supporttools

Результатом вывода данной команды будет перечисление всех ролей FSMO и контроллеров имеющих данные роли:

В нашем случае все роли находятся на одном контроллере, поэтому копируем папку supportadprep на жесткий диск (в нашем случае в корень диска C:) и приступаем к обновлению схемы леса. Для успешного выполнения операции ваш аккаунт должен входить в группы:

Администраторы схемы
Администраторы предприятия
Администраторы домена, в котором находится хозяин схемы

Чтобы обновить схему леса выполните команду:

C:adprepadprep /forestprep

Ознакомьтесь со стандартным предупреждением и продолжите нажав C, затем Enter.

Начнется процесс обновления схемы. Как видим ее версия изменится с 30 (Windows 2003) до 47 (Windows 2008 R2).

После обновления схемы леса следует обновить схему домена. Перед этим следует убедиться что домен работает как минимум в режиме Windows 2000 (основной режим). Как помним, у нас домен работает в смешанном режиме, поэтому следует изменить режим работы домена на основной или повысить его до Windows 2003. Так как в данном домене у нас нет контроллеров под управлением Windows 2000, то наиболее разумно будет повысить режим домена.

Для успешного обновления схемы домена выполняем команду:

C:adprepadprep /domainprep

И внимательно читаем выводимую информацию. Обновляя схему домена с уровня Windows 2000 или Windows 2003 необходимо выполнить изменение разрешений файловой системы для групповых политик. Данная операция производится один раз и в дальнейшем, например обновляя схему с уровня 2008 на 2008 R2, выполнять ее нужно. Для обновления разрешений объектов GPO введите команду:

С:adprepadprep /domainprep /gpprep

В версиях AD начиная с Windows 2008 появился новый тип контроллеров домена: контроллер домена только для чтения (RODC), если вы планируете развернуть такой контроллер, то вам нужно подготовить схему. Вообще мы рекомендуем выполнить данную операцию вне зависимости от того, собираетесь вы в ближайшее время устанавливать RODC или нет.

Данную операцию можно выполнить на любом контроллере домена, однако вы должны входить в группу Администраторы предприятия и Хозяин именований должен быть доступен.

C:adprepadprep /rodcprep

На этом обновление схемы AD можно считать законченной и приступать к развертыванию нового контроллера домена. После обновления схемы данная операция проходит без каких-либо затруднений.

Как видим, обновление схемы домена, будучи правильно спланировано не вызывает каких либо затруднений, однако в любом случае следует помнить, что это необратимая операция и иметь под рукой необходимые резервные копии.

Дополнительные материалы:

Службы каталогов. Часть 1 — Общие понятия
Службы каталогов. Часть 2 — Реализации служб каталогов
Службы каталогов. Часть 3 — Структура Active Directory
Active Directory — от теории к практике. Часть 1 — общие вопросы
Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
Active Directory — от теории к практике. Часть 3 — настройка DHCP
Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
Синхронизация времени Active Directory с внешним источником
Обновление схемы Active Directory
Управление ролями FSMO при помощи Ntdsutil
Управление ролями FSMO с помощью PowerShell
Восстанавливаем доверительные отношения в домене
Очистка метаданных контроллера домена в Active Directory

Источник

Before installing the first Windows Server 2008 R2 domain controller (DC) into an existing Windows 2000, Windows Server 2003 or Windows Server 2008 domain, you must prepare the AD forest and domain. You do so by running a tool called ADPREP.

ADPREP extends the Active Directory schema and updates permissions as necessary to prepare a forest and domain for a domain controller that runs the Windows Server 2008 R2 operating system.
Note: You may remember that ADPREP was used on previous operating systems such as Windows Server 2003, Windows Server 2003 R2 and Windows Server 2008. This article focuses on Windows Server 2008 R2.
What does ADPREP do? ADPREP has parameters that perform a variety of operations that help prepare an existing Active Directory environment for a domain controller that runs Windows Server 2008 R2. Not all versions of ADPREP perform the same operations, but generally the different types of operations that ADPREP can perform include the following:

Updating the Active Directory schema
Updating security descriptors
Modifying access control lists (ACLs) on Active Directory objects and on files in the SYSVOL shared folder
Creating new objects, as needed
Creating new containers, as needed

To prepare the forest and domain for the installation of the first Windows Server 2008 R2 domain controller please perform these tasks:
Lamer note: The following tasks are required ONLY before adding the first Windows Server 2008 R2 domain controller. If you plan on simply joining a Windows Server 2008 R2 Server to the domain and configuring as a regular member server, none of the following tasks are required.
Another lamer note: Please make sure you read the system requirements for Windows Server 2008 R2. For example, you cannot join a Windows Server 2008 R2 server to a Windows NT 4.0 domain, not can it participate as a domain controller in a mixed domain. If any domain controllers in the forest are running Windows 2000 Server, they must be running Service Pack 4 (SP4).
First, you should review and understand the schema updates and other changes that ADPREP makes as part of the schema management process in Active Directory Domain Services (AD DS). You should test the ADPREP schema updates in a lab environment to ensure that they will not conflict with any applications that run in your environment.
You must make a system state backup for your domain controllers, including the schema master and at least one other domain controller from each domain in the forest (you do have backups, don’t you?).
Also, make sure that you can log on to the schema master with an account that has sufficient credentials to run adprep /forestprep. You must be a member of the Schema Admins group, the Enterprise Admins group, and the Domain Admins group of the domain that hosts the schema master, which is, by default, the forest root domain.
Next, insert the Windows Server 2008 R2 DVD media into your DVD drive. Note that if you do not have the media handy, you may use the evaluation version that is available to download from Microsoft’s website. You can also use an MSDN or Technet ISO image, if you have a subscription to one of them.
Windows Server 2008 Trial Software:
http://www.microsoft.com/windowsserver2008/en/us/trial-software.aspx
If you only have the ISO file and do not want to or cannot actually burn it to a physical DVD media, you can mount it by using a virtual ISO mounting tool such as MagicIso (can Convert BIN to ISO, Create, Edit, Burn, Extract ISO file, ISO/BIN converter/extractor/editor).
Browse to the X:supportadprep folder, where X: is the drive letter of your DVD drive. Find a file called adprep.exe or adprep32.exe.
Note: Unlike in Windows Server 2008 where you had to use either the 32-bit or 64-bit installation media to get the right version of ADPREP, Windows Server 2008 R2 ADPREP is available in a 32-bit version and a 64-bit version. The 64-bit version runs by default. If you need to run ADPREP on a 32-bit computer, run the 32-bit version (adprep32.exe).

To perform this procedure, you must use an account that has membership in all of the following groups:

Enterprise Admins
Schema Admins
Domain Admins for the domain that contains the schema master

Open a Command Prompt window by typing CMD and pressing ENTER in the Run menu.
Drag the adprep.exe file from the Windows Explorer window to the Command Prompt window. Naturally, if you want, you can always manually type the path of the file in the Command Prompt window if that makes you feel better…
Note: You must run adprep.exe from an elevated command prompt. To open an elevated command prompt, click Start, right-click Command Prompt, and then click Run as administrator.
Note: If your existing DCs are Windows Server 2008, dragging and dropping into a Command Prompt window will not work, as that feature was intentionally disabled in windows Server 2008 and Windows Vista.
In the Command Prompt window, type the following command:

adprep /forestprep

You will be prompted to type the letter “c” and then press ENTER. After doing so, process will begin.

ADPREP will take several minutes to complete. During that time, several LDF files will be imported into the AD Schema, and messages will be displayed in the Command Prompt window. File sch47.ldf seems to be the largest one.

When completed, you will receive a success message.

Note: As mentioned above, ADPREP should only be run on an existing DC. When trying to run it from a non-DC, you will get this error:

Adprep cannot run on this platform because it is not an Active Directory Domain
Controller.
[Status/Consequence]
Adprep stopped without making any changes.
[User Action]
Run Adprep on a Active Directory Domain Controller.

adprep /domainprep

Process will take less than a second.

ADPREP must only be run in a Windows 2000 Native Mode or higher. If you attempt to run in Mixed Mode you will get this error:

Adprep detected that the domain is not in native mode
[Status/Consequence]
Adprep has stopped without making changes.
[User Action]
Configure the domain to run in native mode and re-run domainprep

Allow the operation to complete, and then allow the changes to replicate throughout the forest before you prepare any domains for a domain controller that runs Windows Server 2008 R2.
If you’re running a Windows 2008 Active Directory domain, that’s it, no additional tasks are needed.
If you’re running a Windows 2000 Active Directory domain, you must also the following command:

adprep /domainprep /gpprep

Allow the operation to complete, and then allow the changes to replicate throughout the forest before you prepare any domains for a domain controller that runs Windows Server 2008 R2.

If you’re running a Windows 2003 Active Directory domain, that’s it, no additional tasks are needed. However, if you’re planing to run Read Only Domain controllers (RODCs), you must also
type the following command:

adprep /rodcprep

If you already ran this command for Windows Server 2008, you do not need to run it again for Windows Server 2008 R2.
Process will complete in less than a second.

Allow the operation to complete, and then allow the changes to replicate throughout the forest before you prepare any domains for a domain controller that runs Windows Server 2008 R2.
To verify that adprep /forestprep completed successfully please perform these steps:
1. Log on to an administrative workstation that has ADSIEdit installed. ADSIEdit is installed by default on domain controllers that run Windows Server 2008 or Windows Server 2008 R2. On Windows Server 2003 you must install the Resource Kit Tools.
2. Click Start, click Run, type ADSIEdit.msc, and then click OK.
3. Click Action, and then click Connect to.
4. Click Select a well known Naming Context, select Configuration in the list of available naming contexts, and then click OK.
5. Double-click Configuration, and then double-click CN=Configuration,DC=forest_root_domain where forest_root_domain is the distinguished name of your forest root domain.
6. Double-click CN=ForestUpdates.
7. Right-click CN=ActiveDirectoryUpdate, and then click Properties.

8. If you ran adprep /forestprep for Windows Server 2008 R2, confirm that the Revision attribute value is 5, and then click OK.

9. Click ADSI Edit, click Action, and then click Connect to.
10. Click Select a Well known naming context, select Schema in the list of available naming contexts, and then click OK.
11. Double-click Schema.
12. Right-click CN=Schema,CN=Configuration,DC=forest_root_domain, and then click Properties.

13. If you ran adprep /forestprep for Windows Server 2008 R2, confirm that the objectVersion attribute value is set to 47, and then click OK.

Источник

Обновлено 20.07.2016

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-00

Всем привет сегодня хочу рассказать как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2. Ситуация уже распространенная у вас есть домен Active Directory с контроллерами домена работающими на Windows Server 2008 R2, вы приняли решение обновить все контроллеры до Windows Server 2012 R2, и для этого вам нужно подготовить схему, далее мы рассмотрим как это сделать, чтобы у вас все прошло успешно и гладко.

Вообще если честно то если вы установите контроллер домена Windows Server 2012 R2 без предварительного расширения схемы домена и леса, он при установке это сам сделает за вас, но по правильному и взрослому лучше выполнить расширение в ручную.

Обновление схемы AD до Windows Server 2012 R2 с помощью adprep

Монтируем установочный диск с 2008R2 и нам нужно скачать с него папку supportadprerp. Скопируем ее для примера в корень диска c:

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-01

Adprep.exe — это средство командной строки, присутствующее на установочном диске любой версии Windows Server. Adprep.exe выполняет операции, которые должны быть выполнены в существующей среде Active Directory до того, как можно будет добавить контроллер домена, выполняющий эту версию Windows Server. Выполнение различных команд Adprep.exe с существующими контроллерами доменов для выполнения этих операций требуется в следующих случаях:

Перед добавлением первого контроллера домена, работающего под управлением более поздней версии Windows Server, чем в существующем домене.При выполнении мастера установки доменных служб Active Directory (Dcpromo.exe), если программа Adprep.exe не выполнялась, выводится сообщение об ошибке.
Перед обновлением существующего контроллера домена до более поздней версии Windows Server, если этот контроллер домена будет первым контроллером домена в домене или лесу, который будет выполнять эту версию Windows Server.

Открываем командную строку от имени администратора, и давайте посмотрим кто сейчас является Schema Master (Хозяин схемы), так как все действия нужно делать на нем. (более подробно о том Как определить FSMO хозяева операций читайте тут ) Вводим команду

И видим что роли fsmo держит dc1.msk.pyatilistnik.org

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-02

Для того чтобы расширить схему леса AD вводим следующую команду из cmd.

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-03

Вас уведомят каким требованиям должен соответствовать ваш парк DC, уверен что Windows 2000 уже как архаизм не используют нигде. Если все ок то вводим С и жмем enter

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-04

Версия схемы Active Directory в Windows Server 2012 — 69, Как узнать версию схемы Active Directory читаем тут. Следующим шагом нужно обновить схему домена, делается это командой.

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-05

После этого осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Можно не ждать а принудительно реплицировать контроллеры домена. Вот так вот просто подготовить и обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2.

Материал сайта pyatilistnik.org

Источник

Иногда при установке служб Microsoft Active Directory Domain Services (AD DS) в среде Windows Server 2008 или Server 2008 R2 возникают две проблемы. Одна из них относится к процессу установки; другая связана с рекомендациями компании Microsoft по запуску контроллеров домена (DC) на виртуальных машинах. Эти проблемы известны опытным администраторам. Но начинающим специалистам, которым необходимо заменить операционную систему контроллера домена с Windows Server 2003 на Server 2008 R2, будет очень полезна эта статья, в которой я планирую рассмотреть все возможные трудности и пути их преодоления

Эти проблемы известны опытным администраторам. Но начинающим специалистам, которым необходимо заменить операционную систему контроллера домена с Windows Server 2003 на Server 2008 R2, будет очень полезна эта статья, в которой я планирую рассмотреть все возможные трудности и пути их преодоления.

Ошибки, связанные с Adprep

Adprep — утилита для подготовки существующей среды Active Directory (AD) для первого DC, функционирующего с новой операционной системой, например Server 2008 R2. Если все контроллеры домена в среде AD работают с Server 2008 или Windows 2003 и требуется добавить первый DC с операционной системой Server 2008 R2, необходимо выполнить определенные команды Adprep.

Выполните adprep/forestprep на хозяине схемы.
Выполните adprep/domainprep на каждом хозяине инфраструктуры домена.
Если предполагается установить доступный только для чтения DC (RODC — новшество Server 2008), следует также выполнить adprep/rodcprep для каждого домена с RODC.

Этот достаточно простой процесс подробно описан в Интернете, но тем не менее у администраторов часто возникают вопросы:

какие именно действия выполняет Adprep?
как убедиться, что все необходимые команды Adprep выполнены успешно?
как исправлять возникающие ошибки?

В статье Microsoft «Running Adprep.exe» (technet.microsoft.com/en-us/library/dd464018%28WS.10%29.aspx) эти вопросы разъясняются, а также описываются общее назначение утилиты, процесс запуска необходимых команд и методы проверки результатов работы программы. Чтобы выяснить, какие именно изменения вносит Adprep при подготовке существующей AD, можно прочитать статьи Microsoft «Windows Server 2008: Appendix of Changes to Adprep.exe to Support AD DS» (technet.microsoft.com/en-us/library/cc770703%28WS.10%29.aspx) и «Windows Server 2008 R2: Appendix of Changes to Adprep.exe to Support AD DS» (technet.microsoft.com/en-us/library/dd378876%28WS.10%29.aspx).

При запуске Adprep необходимо учитывать следующие важные факторы.

Учетные данные. Приготовьтесь указать необходимые учетные данные для каждой команды Adprep. В зависимости от команды, требуются данные для учетной записи, которая является членом группы Schema Admins, Enterprise Admins или Domain Admins.
Роли хозяина операции FSMO. Необходимо выполнить Adprep на хозяине схемы леса и на хозяине инфраструктуры в домене, в котором устанавливается новый DC. Обратите внимание, что команду следует запускать с диска DVD с новой операционной системой на хозяине операций или скопировать утилиту Adprep и содержимое ее папки с диска DVD перед ее запуском. Во врезке «Особенности Adprep» содержится предупреждение относительно хозяина схемы. В состав Server 2008 R2 входят как 32-, так и 64-разрядная версии Adprep (в папке supportadprep на диске операционной системы). По умолчанию запускается 64-разрядная версия. При работе с 32-разрядной операционной системой следует использовать Adprep32.exe.
Репликация. Убедитесь, что репликация работает во всем лесу. Дополнительные сведения о диагностике репликации AD приведены в статьях «Troubleshooting Active Directory Replication» (www.windowsitpro.com/article/activedirectory/troubleshooting-activedirectory-replication) и «Active Directory Replication In Depth» (www.windowsitpro.com/article/activedirectory/gain-a-better-understandingof-exactly-how-active-directoryreplication-works-135815).

Если подготовиться к возможным проблемам и выполнять рекомендации, приведенные в указанных выше статьях, то, скорее всего, сбоев удастся избежать. Однако в некоторых случаях в ходе выполнения Adprep могут возникать следующие ошибки.

Сбой Rodcprep, если хозяин инфраструктуры раздела DNS назначен не имеющему прав или недействительному владельцу FSMO. У каждого раздела каталога приложений леса есть хозяин инфраструктуры, и команда Rodcprep обращается к каждому из них. Ошибка Rodcprep возникает, если хозяин инфраструктуры назначается удаленному DC. Например, DC мог быть переведен в состояние рядового сервера, но при этом не учтено, что ему назначена роль хозяина инфраструктуры раздела приложения. Это обнаружится, когда при выполнении Rodcprep возникнет ошибка. В статье Microsoft «Error message when you run the ‘Adprep/rodcprep’ command in Windows Server 2008: ‘Adprep could not contact a replica for partition DC=DomainDnsZones, DC=Contoso, DC=com’» (support.microsoft.com/kb/949257) приведен скрипт для устранения этой ошибки.
Ошибка «Атрибут с таким идентификатором ссылки уже существует» может возникнуть при выполнении команды adprep/forestprep на компьютере Windows 2003. Эта ошибка случается, если попытаться добавить с помощью команды adprep/forestprep новый объект к разделу схемы с использованием идентификатора ссылки, уже назначенного существующему объекту в этом разделе. Решение данной проблемы описано в статье Microsoft «An error occurs when you run the ADPREP/FORESTPREP command on a Windows Server 2003-based computer: ‘An attribute with the same link identifier already exists’» (support.microsoft.com/kb/969307).

В целом процесс модернизации Server 2008 или Server 2008 R2 описан в статье Microsoft «Upgrade Domain Controllers: Microsoft Support Quick Start for Adding Windows Server 2008 or Windows Server 2008 R2 Domain Controllers to Existing Domains» по адресу technet.microsoft.com/en-us/library/upgrade-domaincontrollers-to-windows-server-2008-r2(WS.10).aspx.

Ошибка делегирования DNS

После успешного завершения Adprep можно установить в существующей среде AD первый DC, работающий с Server 2008 или Server 2008 R2. Если определить роль сервера DNS в ходе установки DC, можно увидеть предупреждение, показанное на экране 1: «Делегирование для этого DNS-сервера невозможно, поскольку полномочная родительская зона не найдена или не использует DNS-сервер Windows. При объединении с существующей инфраструктурой DNS следует вручную создать делегирование для этого DNS-сервера в родительской зоне, чтобы обеспечить надежное разрешение имен за пределами домена ‘treyresearch5.net’. В противном случае никаких действий не требуется».

Экран 1. Ошибка делегирования DNS

До появления Server 2008 многие проблемы с AD были вызваны внутренними неполадками в инфраструктуре DNS, в частности отсутствующими или неправильными записями делегирования DNS. Одной из целей специалистов Microsoft при совершенствовании установки служб AD DS в Server 2008 было помочь потребителям в начальной настройке правильной инфраструктуры DNS, а затем облегчить обслуживание данной конфигурации.

С этой целью мастер установки служб AD DS (Dcpromo) в Server 2008 и более новых версиях автоматически пытается создать делегирование DNS при построении нового леса. Делегирование DNS помогает клиентам из других доменов распознавать имена узлов в домене нового DC. Если возможность пользователей в других доменах и в Интернете распознавать запросы имен DNS для компьютеров в локальном домене не важна, можно игнорировать сообщение, используемое Dcpromo для создания делегирования DNS; просто нажмите кнопку Yes при появлении сообщения.

Сообщение появляется, когда выполняются три условия:

утилита Dcpromo настроена для установки роли DNS-сервера;
слишком мало отношений делегирования существует между DNS-серверами и непосредственной родительской зоной DNS и поддоменом, в котором устанавливается новый DC;
устанавливаемый DC не может создать делегирование поддомену DNS на DNS-сервере для родительской зоны.

Dcpromo пытается создать делегирование, чтобы компьютеры в других доменах могли распознавать запросы DNS для узлов, в том числе контроллеров домена и компьютеров — членов домена, в поддомене DNS. Dcpromo может автоматически создавать такие отношения делегирования только на DNS-серверах Microsoft; попытка завершится неудачей, если родительская зона домена DNS находится на сторонних DNS-серверах, таких как BIND.

Эта ошибка появляется при установке контроллеров домена в корневых доменах леса с именами, которые состоят из двух или трех частей (например, contoso.com или corp.contoso.com) и находятся в отношениях непосредственного подчинения с интернет-доменами верхнего уровня, такими как. com, .gov, .biz, .edu, или доменами с двухбуквенными обозначениями стран, такими как .nz и .au. Если домен AD предстоит зарегистрировать в Интернете ко времени его продвижения, появление этой ошибки может указывать на то, что интернет-провайдер или поставщик DNS-хостинга пока не создал необходимого делегирования для поддомена AD.

Эта ошибка также возможна при создании контроллеров домена в корневом домене леса, подчиненного пространству имен существующей корпоративной распределенной сети. Например, если DNS-серверы BIND владеют внутренним доменом contoso.com, то данная ошибка возникнет, когда Dcpromo попытается создать делегирование из contoso.com в поддомен corp.contoso.com корневого домена леса AD.

Чтобы организовать делегирование на полномочных DNS-серверах в родительском домене, должны быть выполнены следующие условия.

На родительском DNS-сервере должна функционировать служба Microsoft DNS Server.
DNS-сервер Microsoft в родительском домене должен быть подключен к сети и доступен с устанавливаемого контроллера домена.
Пользователь, запускающий утилиту Dcpromo на устанавливаемом контроллере домена, должен иметь учетные данные Domain Admins, Enterprise Admins или DNS Admin в родительской зоне DNS.

Учитывая, что многие домены AD не числятся в реестре Интернета, а DNS-серверы для доменов верхнего уровня (TLD) работают с BIND, можно спокойно игнорировать это сообщение об ошибке и нажать кнопку Yes, продолжив повышение уровня.

Если между родительским доменом и повышаемым поддоменом должно существовать делегирование, можно создать и проверить делегирование до и после повышения. Нет оснований откладывать повышение уровня нового DC, который выдает ошибку. Чтобы избежать сообщений об ошибках при будущих операциях повышения уровня, выполните одно из перечисленных ниже действий.

Заранее создайте делегирование на сторонних DNS-серверах в непосредственном родительском домене.
Убедитесь, что повышаемые контроллеры домена подключены к сети и располагают необходимыми административными учетными данными для создания делегирования зоны на DNS-серверах Microsoft, на которых размещается родительская зона DNS.
Укажите аргумент /CreateDNSDelegation: No в командной строке Dcpromo или файле ответов.

Дополнительные сведения о делегировании DNS можно найти в статье Microsoft «Understanding Zone Delegation» (technet.microsoft.com/en-us/library/cc771640.aspx). Если делегирование зоны в конкретной ситуации невозможно, рассмотрите иные методы разрешения имен из других доменов для узлов в своем домене. Например, администратор DNS другого домена может настроить условное перенаправление, зоны-заглушки или вторичные зоны для разрешения имен в вашем домене. В следующих статьях Microsoft эти методы разъясняются подробнее:

«Understanding Zone Types» (go.microsoft.com/fwlink/?linkid=157399);
«Understanding stub zones» (go.microsoft.com/fwlink/?linkid=164776);
«Understanding forwarders» (go.microsoft.com/fwlink/?linkid=164778).

Виртуальные DC и возврат USN

Компания Microsoft опубликовала рекомендации по запуску контроллеров домена на виртуальных машинах (см. статью «Running Domain Controllers in Hyper-V» по адресу technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx), но некоторые администраторы, запускающие виртуальные контроллеры домена, испытывают затруднения при возврате номера последовательного обновления USN. Эти проблемы часто бывают вызваны неправильным восстановлением виртуальной машины. Например, установлено, что ошибки репликации связаны с возвратом USN, который получился в результате восстановления из моментального снимка виртуального контроллера домена.

Только поддерживаемые решения резервного копирования, такие как Windows Server Backup, могут быть использованы для восстановления контроллера домена. Недавно компания Microsoft пересмотрела рекомендации по запуску контроллеров домена на виртуальных машинах, в частности объяснено функционирование USN и способы предотвращения возврата USN. Благодаря этим изменениям информация представлена в более краткой и ясной форме, и администраторам будет проще избежать проблем.

Ошибка The Specified User Already Exists

В некоторых случаях установка AD на сервере рабочей группы может закончиться сбоем, а на странице Summary появится следующее сообщение об ошибке: «Не удалось выполнить операцию: не удалось присоединить этот компьютер к <целевому домену>. ‘Указанный пользователь уже существует’». В этой ситуации в файле dcpromoui.log, сохраненном в папке %windir%debug, содержится текст, показанный в листинге 1.

Чаще всего эта ошибка указывает на то, что имя узла повышаемого сервера — такое же, как у другого контроллера домена. Для устранения этой проблемы выполните следующие шаги.

Если выполняется замена ранее пониженного DC новым контроллером домена с тем же именем, обязательно удалите метаданные старого DC. В Server 2008 и более новых версиях самый простой способ удаления метаданных — через оснастки AD. При необходимости можно воспользоваться и старым методом — Ntdsutil.
Если по-прежнему происходят сбои Dcpromo с этой ошибкой, выясните в файле dcpromoui.log имя исходного DC (он же вспомогательный DC), используемого новым DC для репликации. Найдите в файле раздел, который начинается с метки A в листинге 2. Имя исходного DC показано во фрагменте с меткой B.
Убедитесь, что исходный DC выполнил входящую репликацию удаления метаданных DC (то есть конфликтующих учетной записи компьютера DC и объектов параметров NTDS). Если учетная запись контроллера домена все еще существует, определите причину:

простая задержка репликации; например, DC находится на расстоянии нескольких переходов от DC, запустившего операцию очистки метаданных;
сбой входящей репликации на вспомогательном DC или на исходном DC, с которого вспомогательный DC получает изменения;
вспомогательный DC в «сайте задержки» преднамеренно настроен на входящую репликацию изменений в AD с задержкой.

У ошибки могут быть и другие причины, кроме конфликта учетных записей компьютера. В следующих статьях Microsoft рассматриваются некоторые из них:

«’Computer is already in use’ error message when you add user names in Windows 2000 or Windows Server 2003» (support.microsoft.com/kb/266633);
«Error Message ‘lsass.exe-System Error’ After Running the Dcpromo.exe Program» (support.microsoft.com/kb/273875);
«You cannot add a user name or an object name that only differs by a character with a diacritic mark» (support.microsoft.com/kb/938447).

Иногда сбой Dcpromo происходит при попытке создать объект NTDS для DC. В этом случае несколько ошибок могут приводить к отображению одного и того же сообщения; истинную причину можно выявить с помощью расширенной информации об ошибке. Ищите текст «Не удалось выполнить операцию…» или «Active Directory не удается создать объект NTDS…».

Например, сбой Dcpromo может сопровождаться следующим сообщением на экране: «Не удалось выполнить операцию: Active Directory не удается создать объект NTDS для данного контроллера домена <путь DN объекта NTDS> на удаленном контроллере домена <полное имя компьютера исходного контроллера домена>. Убедитесь, что заданные сетевые учетные данные обладают достаточными разрешениями. <%Расширенная строка ошибки%>». Учтите, что шаблонный текст «Убедитесь, что заданные сетевые учетные данные обладают достаточными разрешениями» может ввести в заблуждение; невозможность создать объект NTDS не обязательно связана с недостаточными правами учетной записи. В таблице 1 перечислены возможные расширенные строки ошибок для этого сообщения.

Таблица 1. Возможные строки расширения ошибок

Еще одна распространенная причина сбоя установки AD заключается в том, что группе Administrators не назначено право Enable computer and user accounts to be trusted for delegation («Разрешение доверия к учетным записям компьютеров и пользователей при делегировании»). Это право — параметр групповой политики, включенный для группы Administrators по умолчанию в политике контроллеров домена. Если DC выбран в качестве партнера репликации в ходе повышения уровня реплицируемого DC, выбранному DC требуется доступ к ресурсам повышаемого компьютера. Если право Enable computer and user accounts to be trusted for delegation не назначено группе безопасности Administrators, то каждый запрос доступа к ресурсу завершается неудачей с пояснением «отказано в доступе», как показано на экране 2.

Экран 2. Ошибка «отказано в доступе»

Чтобы устранить ошибку, используйте консоль управления групповой политики (GPMC) и инструмент Group Policy Results (Gpresult) для проверки, назначено ли группе Administrators право Enable computer and user accounts to be trusted for delegation в политике Default Domain Controllers Policy. Путь в редакторе групповой политики — Computer ConfigurationPoliciesWindows SettingsSecuritySettingsLocal PoliciesUserRights AssignmentEnable computer and user accounts to be trusted for delegation.

После того как DC начинает работать с 2008 R2, можно запустить анализатор AD DS Best Practices Analyzer (BPA) для обнаружения любых ошибок в настройках политики. Соответствующее правило BPA не входит в изначальный набор правил, но имеется в дополнительном наборе правил, поставляемом через службу Windows Update. Это правило применяется к DC, работающему с Server 2008 R2.

При запуске AD DS BPA другое правило из того же дополнительного набора поможет предотвратить две типичные ошибки в настройках групповой политики, которые являются коренными причинами отказа репликации DC: непредоставление права Access this computer from the network («Доступ к компьютеру из сети») группам безопасности Administrators, Enterprise Domain Controllers или Authenticated Users либо назначение группам безопасности Enterprise Domain Controllers, Everyone, Administrators или Authenticated Users права Deny access to this computer from network («Запрет доступа к компьютеру из сети»). Отказ может случиться на любом DC, пытающемся выполнить репликацию из DC с одной из упомянутых выше настроек. Пользователи и компьютеры также могут столкнуться с отказами при применении объектов групповой политики (GPO).

Чтобы устранить эту ошибку, убедитесь в анализаторе BPA, что контроллеры домена назначили это право соответствующему участнику безопасности. Используйте настройки GPMC и Gpresult из таблицы 2, чтобы проверить правильность параметров групповой политики.

Таблица 2. Параметры GPMC и Gpresult

Особенности Adprep

Когда в Windows Server 2003 впервые появилось требование выполнения команды adprep/forestprep, компания Microsoft и некоторые партнеры рекомендовали в целях предосторожности изолировать хозяина схемы (например, временно поместить его в отдельную сеть) для лучшего управления процессом обновления схемы. С тех пор специалисты службы поддержки пользователей Microsoft пришли к выводу, что в большинстве компаний такой подход скорее вызывает проблемы, чем устраняет. Поэтому специалисты Microsoft больше не рекомендуют отключать от сети хозяина схемы перед запуском adprep/forestprep.

Листинг 1. Текст ошибки в файле dcpromoui.log

dcpromoui Enter ComposeFailureMessage
dcpromoui Enter GetErrorMessage 80070524
dcpromoui Enter State::GetOperationResultsMessage The attempt to join this computer
   to the  domain failed.
dcpromoui Enter State::GetOperationResultsFlags 0x0
dcpromoui Enter State::SetFailureMessage The operation failed because:
The attempt to join this computer to the  domain failed.
"The specified user already exists."

Листинг 2. Поиск имени вспомогательного DC в файле dcpromoui.log

Начало фрагмента A
dcpromoui Enter DS::JoinDomain
Конец фрагмента A
dcpromoui Enter MassageUserName administrator
dcpromoui z.comadministrator
Начало фрагмента B
dcpromoui Enter MyNetJoinDomain contoso.comDC1.contoso.com
Конец фрагмента B
dcpromoui Calling NetJoinDomain
dcpromoui lpServer : (null)
dcpromoui lpDomain : contoso.comDC1.contoso.com
dcpromoui lpAccountOU : (null)
dcpromoui lpAccount : contoso.comadministrator
dcpromoui fJoinOptions : 0x27
dcpromoui HRESULT = 0x80070524

Джастин Холл (justinha@microsoft.com) — старший технический писатель в компании Microsoft, редактор статей об Active Directory

Источник

Наша организация доросла до миграции контроллеров домена с Windows 2003 R2 на Windows 2008 R2.

Миграция 2003 на 2008 контроллер домена предварительно будет происходить по такому плану:
1. Поднятие 2008 R2,
2. Ввод в домен
3. Апгрейд. схемы до версии 2008
4. Перенос FSMO ролей на него +DHCP
5. Гашение 1 сервера 2003.
6. Поднятие второго 2008 итд итп
в конечном итоге поднятие уровня с 2003 до 2008.

Подробнее….

Windows Server 2008 Adprep

Сегодня мы поговорим о добавлении в существующий лес Windows 2000 или Windows 2003 контроллеров домена под управлением последней ОС – Windows Server 2008.
Для того, чтобы контроллер Windows Server 2008 смог работать в существующей инфраструктуре, необходимо произвести ее подготовку, которая осуществляется выполнением консольной программы adprep.exe с ключами /forestprep и /domainprep. Собственно, о применении этой утилиты и пойдет речь.

Если вы когда-нибудь проводили добавление контроллера домена Windows Server 2003 или Windows Server 2003 R2 в существующую инфраструктуру предыдущего поколения, значит вы уже знакомы с этой программой. Утилита для Windows Server 2008 работает аналогично и производит похожие изменения в лесу и доменах AD.

Данную программу можно найти на установочном DVD Windows Server 2008 в папке sourcesadprep.

Важные уточнения:
– на 32-битных контроллерах домена 2000/2003 можно использовать adprep.exe только с установочного диска 32-битной Windows Server 2008;
– на всех контроллерах Windows Server 2000 должен быть установлен SP4;
– домен не должен быть Windows 2000 mixed, только Windows 2000 native или Windows Server 2003;
– в домене не должно быть контроллеров Windows NT 4.0 BDC, так как Windows Server 2008 не умеет с ними взаимодействовать.

Эта операция расширяет существующую схему, добавляя в нее несколько новых классов и атрибутов, которые необходимы для корректного функционирования всех нововведений Windows Server 2008. Все изменения, которые произойдут в результате выполнения программы, можно увидеть в файлах .ldf, которые, по сути, являются набором команд LDIF, производящих расширение существующих и добавление новых классов и атрибутов. Эта программа запускается пользователем членом групп Администраторы схемы и Администраторы предприятия, на контроллере домена, являющемся Хозяином схемы леса

После того, как произойдет репликация изменений на все контроллеры леса, можно приступать к выполнению программы

создающей новые контейнеры и объекты, изменяющей ACL некоторых объектов и вносящей изменения в группу Everyone.

Adprep, выполняясь, создает подробный отчет о своей работе, которых сохраняется в папке

%Systemroot%system32debugadpreplogs

при этом в имя файла добавляется время и дата.

Перед тем, как вы добавите контроллер домена Windows Server 2008 в существующий домен Windows Server 2000 на каждом Хозяине инфраструктуры каждого домена необходимо выполнить

adprep /domainprep /gpprep

Перед тем, как добавлять Read Only Domain Controller Windows Server 2008 (RODC) в существующий домен Windows Server 2003 необходимо выполнить команду

которая подключается ко всем хозяевам инфраструктуры леса и обновляет права доступа, необходимые для корректной работы контроллера RODC. Программа с этим параметром может быть запущена пользователем членом группы Администраторы предприятия на любом компьютере леса.

ДОПОЛНЕНИЕ №1 (не проверенное):

Хочу сделать ОЧЕНЬ ВАЖНОЕ замечание к статье. Все очень просто в теории и многократно описано в литературе adprep работал еще на 2000 Server, при обновлении до 2003 и, в принципе, в этом нет ничего нового, но на практике можно столкнутся (по незнанию или невнимательности) со следующей проблемой: На существующем контроллере домена, под управлением Windows Server 2003, adprep может отказаться работать вообще. Причин может быть несколько. Во-первых, убедитесь в том, что используете утилиту adprep от Windows Server 2008 32-bit на 32-bit контроллере Windows Server 2003 32-bit и 64-bit версию, соответственно. Еще один любопытный глюк, связан с языком обновляемого и устанавливаемого контроллера. Если обновляете 2003 ENG утилитой с 2008 RUS – у вас утилита не заработает, до тех пор, пока не поменяете имя папки с %SOURCE%sourcesadprepru-ru на %SOURCE%sourcesadprepen-us. Либо придется качать англоязычный дистрибутив и копировать утилиту с него. Как вариант, можно попробовать накатить MUI language pack на обновляемый контроллер домена. в полном соответсвии, это касается и других языков. Причем, ошибка эта не диагностируется, и в лог (rootWindowsDebugadprep) программа не пишет ничего. Просто создает пустой файл. Так-то…

ДОПОЛНЕНИЕ №2:

Миграция из Windows Server 2003 в Windows Server 2008 R2

переносим DHCP; Print; File сервера с 2003 на 2008.

DHCP Server Migration Guide

Миграция ролей AD и DNS с ОС Windows Server 2003 на Windows Server 2008 R2 (видео с techdays.ru)

ADPREP с официального диска Windows Server 2008 R2:

ru-adprep

en-adprep

Источник

Всем привет!
Как Вы все знаете, поддержка Windows Server 2003/R2 стремится к
официальной дате завершения
. Спланировать апгрейд данных ОС до новых версий ещё возможно и данная статья частично в этом Вам поможет. Рассматривается добавление новых контроллеров домена на базе 2008 R2 в текущую инфраструктуру 2003 R2
(x86)

Перед любым изменением топологии/конфигурации требуется:

Для подготовки исп-ся ADPREP.exe , который поставляется вместе с дистрибутивом/образом ОС
(D:Supportadprepadprep32.exe – для 32-разрядных ОС,
adprep.exe – для 64-разрядных)

и включает 4 этапа:

подготовка леса (/forestPrep)
подготовка домена (/domainPrep)
подготовка групповых политик
(/domainprep /gpprep), подготовка к Read-Only DC (/rodcPrep)

Поехали!

1. Подключитесь к Schema Owner (кто? >> netdom query fsmo)
2. Запустите adprep32.exe /forestprep для начала подготовки леса

3. Нажмите C , затем Enter и дождитесь завершения расширения схемы

4. Результат

5. На Infrastructure owner запустить
adprep.exe /domainprep

6. В этом же окне запустить
adprep.exe /domainprep /gpprep

7. Для возможности добавления RODC-контроллеров необходимо провести запуск
adprep /rodcprep , иначе на этапе добавления новых КД будет выдаваться предупреждение о недоступности исп-ся RODC

8. Добавьте новые КД , проверьте состояние репликации и результаты диагностики.

Начиная с Windows Server 2012, подобная процедура заметно упростилась, а именно:

adprep запускается автоматически на этапе добавления КД 2012/2012 R2 (adprep /rodcprep, ../forestprep, …/domainprep)
adprep автоматически опр-ет держателей FSMO и запускается удаленно. итого: процедура проходит только в рамках будущего КД
adprep /domainprep /gpprep автоматически НЕ выполняется =
запустить самостоятельно
adprep только для x64 и ОС от Windows Server 2008 и позже. Запустить Adprep (2012) в среде 2003 не получится (как правило, этого не требуется)

Смежные статьи:

Перенос FSMO на примере 2003 и 2008 R2
Понижаем КД, удаляем DNS, повышаем функ.уровень (2003
<> 2008R2)
Миграция
центра сертификации (2003, 2008R2)

Источник