none
Windows server 2019 升级域控制器失败 RRS feed

  • 问题

  • Windows server 2019 加入域Windows server 2008 R2成功 ,但提升域控制器失败,报如下错误:

    ADPrep 执行失败 --> System.ComponentModel.Win32Exception (0x80004005): 连到系统上的设备没有发挥作用。。
    有关详细信息,请检查 C:\WINDOWS\debug\adprep\logs\20201010090240 目录下的日志文件。

    Adprep文件记录如下错误:

    传送到 ldifde 的命令行是 ldifde -i -f "C:\WINDOWS\system32\adprep\sch75.ldf" -s "pc03.zxdl.com" -h -j "C:\WINDOWS\debug\adprep\logs\20201010090240" -$ "C:\WINDOWS\system32\adprep\schupgrade.cat" -b "administrator" "ZXDL" ******

    [2020/10/10:09:02:41.231]
    错误: 从文件 C:\WINDOWS\system32\adprep\sch75.ldf 导入失败。错误文件保存在 C:\WINDOWS\debug\adprep\logs\20201010090240\ldif.err.75 中。如果错误为“权限不足”(Ldap 错误代码 50),请确保指定的用户拥有对架构和配置容器中的对象的读/写权限,或在注销后以拥有这些权限的用户身份登录并重新运行 forestprep。在大多数情况下,作为架构管理员和企业管理员的成员就拥有足够的权限运行 forestprep。
    [2020/10/10:09:02:41.235]
    Adprep 无法在架构主机上升级架构。[状态/结果]架构将不会还原到其原始状态。
    [用户操作]查看 C:\WINDOWS\debug\adprep\logs\20201010090240 目录中的 Ldif.err 日志文件以了解详细信息。
    [2020/10/10:09:02:41.235]
    Adprep 无法更新林信息。[状态/结果]为完成此操作,Adprep 要求从架构主机访问现有的全林性信息。[用户操作]查看 C:\WINDOWS\debug\adprep\logs\20201010090240 目录中的日志文件 ADPrep.log 以了解详细信息。
    [2020/10/10:09:02:41.235]
    Adprep 使用为网络连接指定的凭据成功停止。
    [2020/10/10:09:02:41.236]
    Adprep 已成功关闭与 Active Directory 域控制器 pc03.zxdl.com 的网络连接。

    ldif文件记录如下错误:

    4: CN=Expiring Group Membership Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=zxdl,DC=com
    Entry DN: CN=Expiring Group Membership Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=zxdl,DC=com
    在 35: 无此对象 行上开头的条目添加出错
    服务器端的错误为: 0x208d 找不到目录对象。
    扩展服务器错误为:
    0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=zxdl,DC=com'
    成功地修改了 6 个条目。
    在程序中出现一个错误

    确认域管理员administrtor加入了 enterprise admins及schema admins 组了



    2020年10月10日 1:29

全部回复

  •       开始测试: NCSecDesc
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=ForestDnsZones,DC=zxdl,DC=com

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=DomainDnsZones,DC=zxdl,DC=com


    2020年10月10日 8:55
  • 你好,

    2019server提升为与控制器之前,域中必须使用DFSR进行sysvol 复制。

    提升之前请使用命令确认:

    dfsrmig.exe / getglobalstate
    如果结果:3(已消除),则DFSR用于复制.

    如果目前使用的是FRS进行的复制,则需要首先迁移至DFSR.以下文章供参考:

    https://docs.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月12日 7:28
  • 1、首先非常感谢你能回复,sysvol复制升级成了DFSR,但问题还是没有完全解决。

    2、dcdiag测试只有如下一项没通过了,至使Windows 2008 R2 AD 没法进行升级或增加新的域控服务器

       开始测试: NCSecDesc
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             CN=ConFiguration,DC=xxxx,DC=com

    3、 ENTERPRISE DOMAIN CONTROLLERS 的权限列表里找不到Replicating Directory Changes In Filtered Set(复制筛选集中的目录更改)。是因为点了“高级-权限-还原默认值-确定“后权限列表中就没有了(没点还原默认值前是有这个选项的,还原默认值后就没有了)。

    4、没点还原默认值前是有这个选项的,还原默认值后就没有了。

    5、权限项目里的“对象”及“属性”也找不着 replicating directory changes in filtered set或“复制筛选集中的目录更改”的相关表述。

    6、权限列表里如何增加replicating directory changes in filtered set权限项?
    2020年10月12日 10:24
  • 你好,

    在进行任何更改之前,请完整备份你的DC。

    关于上面出现的问题:

    https://mpgnotes.wordpress.com/tag/error-nt-authorityenterprise-domain-controllers-doesnt-have-replicating-directory-changes-in-filtered-set-access-rights-for-the-naming-context-dcforestdnszonesdcdomainxxxdcxxx-security-permi/

    此回复中包含第三方接,我提供此接旨在于方便参考, Microsoft 不能保接中的任何信息和内容的有效性。

    Fan 


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月13日 6:20
  • 你介绍的方法,我认真的找了还是没有,最下面有图片地址。

    以下是更详细的过程如下:

    1、域控升级SYSVO的复制方式FRS至DFS成功、Windows server 2019 加入域Windows server 2008 R2成功 ,但提升域控制器失败,报如下错误:ADPrep 执行失败 --> System.ComponentModel.Win32Exception (0x80004005): 连到系统上的设备没有发挥作用。有关详细信息,请检查 C:\WINDOWS\debug\adprep\logs\20201010090240 目录下的日志文件。

    2、Adprep文件记录如下错误:传送到 ldifde 的命令行是 ldifde -i -f "C:\WINDOWS\system32\adprep\sch75.ldf" -s "pc03.zxdl.com" -h -j "C:\WINDOWS\debug\adprep\logs\20201010090240" -$ "C:\WINDOWS\system32\adprep\schupgrade.cat" -b "administrator" "XXXX" ******


    3、主域控上进行dcdiag.exe测试时报如下三个错误(其它都测试通过)
       开始测试: NCSecDesc
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=ForestDnsZones,DC=xxx,DC=com

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             DC=DomainDnsZones,DC=xxx,DC=com

             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             CN=ConFiguration,DC=xxxx,DC=com

    4、用adsiedit.msc编辑ForestDnsZones,DomainDnsZones的权限,在没有点权限“还原默认值”之前怎么设置都消除不了错误。点了“还原默认值”后出现了更多的错误,通过手动添加用户及设置后逐一解决了,也没有了Replicating Directory Changes In Filtered Set这项,但测试通过了。(我确定点还原前是有这个选项的,还原后就没有了)

    5、用adsiedit.msc编辑ConFiguration如上说的一样设置权限,但一直提示需要Replicating Directory Changes In Filtered Set的权限,但权限列表中没有这项了。

    6、再次查找一遍ForestDnsZones、DomainDnsZones、ConFiguration、schema下的ENTERPRISE DOMAIN CONTROLLERS用户都没有这个权限选项。“管理复制拓扑、 复制目录更改、 复制目录更改全部、复制同步”这些都还在,唯独没有:复制过滤集中的目录更改 replicating directory changes in filtered set,丢失了。似乎只有ConFiguration需要这个权限,其它没有这个权限测试是通过的。

    7、域控是从Win2000建立 - 升级为Win2003 - 升级为Win2008 R2 期间一直都很顺利。


    还里有图片:https://zhidao.baidu.com/question/2210154969128419548.html

    2020年10月13日 10:35
  • 你好,

    请问在权限的高级选项卡里也看不到这个权限是吗?

    通过手动修复,DC diag是没有问题的对吗?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月14日 1:36
  •       通过手动修复ForestDnsZones、DomainDnsZones这两项,虽然也没有了Replicating Directory Changes In Filtered Set选项,但DCdiag测试是通过的。

         但是手动修复ConFiguration这项,没有Replicating Directory Changes In Filtered Set可选择,DCdiag测试没有通过

         两抓图片在这里:https://zhidao.baidu.com/question/926565549157612099.html?entry=qb_uhome_tag

    目录服务器诊断结果如下:

    正在执行初始化设置:
       正在尝试查找主服务器...
       主服务器 = pc03
       * 已识别的 AD 林。
       已完成收集初始化信息。

    正在进行所需的初始化测试

       正在测试服务器: Default-First-Site-Name\PC03
          开始测试: Connectivity
             ......................... PC03 已通过测试 Connectivity

    正在执行主要测试

       正在测试服务器: Default-First-Site-Name\PC03
          开始测试: Advertising
             ......................... PC03 已通过测试 Advertising
          开始测试: FrsEvent
             ......................... PC03 已通过测试 FrsEvent
          开始测试: DFSREvent
             ......................... PC03 已通过测试 DFSREvent
          开始测试: SysVolCheck
             ......................... PC03 已通过测试 SysVolCheck
          开始测试: KccEvent
             ......................... PC03 已通过测试 KccEvent
          开始测试: KnowsOfRoleHolders
             ......................... PC03 已通过测试 KnowsOfRoleHolders
          开始测试: MachineAccount
             ......................... PC03 已通过测试 MachineAccount
          开始测试: NCSecDesc
             错误 NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS 没有
                Replicating Directory Changes In Filtered Set
             命名上下文的访问权限:
             CN=Configuration,DC=zxdl,DC=com
             ......................... PC03 没有通过测试 NCSecDesc
          开始测试: NetLogons
             ......................... PC03 已通过测试 NetLogons
          开始测试: ObjectsReplicated
             ......................... PC03 已通过测试 ObjectsReplicated
          开始测试: Replications
             ......................... PC03 已通过测试 Replications
          开始测试: RidManager
             ......................... PC03 已通过测试 RidManager
          开始测试: Services
             ......................... PC03 已通过测试 Services
          开始测试: SystemLog
             ......................... PC03 已通过测试 SystemLog
          开始测试: VerifyReferences
             ......................... PC03 已通过测试 VerifyReferences


       正在 ForestDnsZones
        上运行分区测试
          开始测试: CheckSDRefDom
             ......................... ForestDnsZones 已通过测试 CheckSDRefDom
          开始测试: CrossRefValidation
             ......................... ForestDnsZones 已通过测试 CrossRefValidation

       正在 DomainDnsZones
        上运行分区测试
          开始测试: CheckSDRefDom
             ......................... DomainDnsZones 已通过测试 CheckSDRefDom
          开始测试: CrossRefValidation
             ......................... DomainDnsZones 已通过测试 CrossRefValidation

       正在 Schema
        上运行分区测试
          开始测试: CheckSDRefDom
             ......................... Schema 已通过测试 CheckSDRefDom
          开始测试: CrossRefValidation
             ......................... Schema 已通过测试 CrossRefValidation

       正在 Configuration
        上运行分区测试
          开始测试: CheckSDRefDom
             ......................... Configuration 已通过测试 CheckSDRefDom
          开始测试: CrossRefValidation
             ......................... Configuration 已通过测试 CrossRefValidation

       正在 zxdl
        上运行分区测试
          开始测试: CheckSDRefDom
             ......................... zxdl 已通过测试 CheckSDRefDom
          开始测试: CrossRefValidation
             ......................... zxdl 已通过测试 CrossRefValidation

       正在 zxdl.com
        上运行企业测试
          开始测试: LocatorCheck
             ......................... zxdl.com 已通过测试 LocatorCheck
          开始测试: Intersite
             ......................... zxdl.com 已通过测试 Intersite

    2020年10月14日 3:21
  • 你好,

    是否可以截一张图:

    例如system 对ConFiguration有full 的权限,打开advanced 选项里是否包含Replicating Directory Changes In Filtered Set权限


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月14日 6:28
  • 图片的地址:https://zhidao.baidu.com/question/1868027137799570147.html

    1、在主域上执行运行adprep / rodcprep命令后日志文件如下:(提示有错误,但不知道是个什么错误,如何解决)

    Adprep 正在继续。
    [2020/10/14:12:17:32.509]
    Adprep 正要调用以下 LDAP API。ldap_search_s()。要开始搜索的基项目为 CN=Partitions,CN=Configuration,DC=zxdl,DC=com。
    [2020/10/14:12:17:32.509]
    LDAP API ldap_search_s 完成,返回代码为 0x0 
    [2020/10/14:12:17:32.524]
    Adprep 检测到已在分区 DC=DomainDnsZones,DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================
    [2020/10/14:12:17:32.556]
    Adprep 检测到已在分区 DC=ForestDnsZones,DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================
    [2020/10/14:12:17:32.571]
    Adprep 检测到已在分区 DC=zxdl,DC=com 上执行该操作。跳到下一个分区。

    ==============================================================================

    [2020/10/14:12:17:32.571]
    Adprep 正要调用以下 LDAP API。ldap_add_s()。要添加的项目为 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。
    [2020/10/14:12:17:32.571]
    LDAP API ldap_add_s() 完成,返回代码为 0x44 
    [2020/10/14:12:17:32.571]
    Adprep 尝试过创建 Active Directory 域服务对象 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。

    [状态/结果]
    该对象存在,因此 Adprep 未尝试重新运行此操作而继续操作。
    [2020/10/14:12:17:32.680]
    Adprep 正要调用以下 LDAP API。ldap_modify_s()。要修改的项目为 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。
    [2020/10/14:12:17:32.712]
    LDAP API ldap_modify_ext_s() 完成,返回代码为 0x0 
    [2020/10/14:12:17:32.712]
    Adprep 正要调用以下 LDAP API。ldap_modify_s()。要修改的项目为 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com。
    [2020/10/14:12:17:32.712]
    LDAP API ldap_modify_s() 完成,返回代码为 0x0 
    [2020/10/14:12:17:32.712]
    Adprep 成功将对象 CN=ActiveDirectoryRodcUpdate,CN=ForestUpdates,CN=Configuration,DC=zxdl,DC=com 上的林更新版本属性设置为 2。

    [状态/结果]
    Adprep 更新了林更新版本属性以便将林标记为准备就绪。Adprep 继续并且现在将准备林。
    [2020/10/14:12:17:32.727]
    Adprep 已完成,但有错误。已更新所有分区。有关详细信息,请参阅目录 C:\Windows\debug\adprep\logs\20201014121729 中的 ADPrep.log。


    2、执行上述命后Configuration下的ENTERPRISE DOMAIN CONTROLLERS权限还是只这4项可设:

      Manage replication topology
      Replicating Directory Changes
      Replicating Directory Changes All
      Replication Synchronization


    3、“ForestDnsZones、DomainDnsZones、ConFiguration、schema下的其他的用户如SYSTEM,Domain Admins都没有这个权限选项了,点还原前有些是有的。


    4、图片的地址:https://zhidao.baidu.com/question/1868027137799570147.html

    2020年10月14日 7:33
  • 你好,

    请问目前林里一共有几台域控制器?

    FSMO是在哪台SERVER上?

    请查看目前的域功能级别是否是2008?

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月14日 7:50
  • 1、目前:一共有2台域控服务器,pc02与pc03,  Win2003的时候存在过3台。 

    2、目前五个角色全PC03这台服务器上。

    3、域功能级别是Win2008 R2。

    4、目前有台Windows2019 PC06服务器,加入域成功。

    5、Win2019提升为域控制器自检测通过,但是在复制的时候出现如下错误:

    错误: 从文件 C:\WINDOWS\system32\adprep\sch75.ldf 导入失败。错误文件保存在 C:\WINDOWS\debug\adprep\logs\20201010090240\ldif.err.75 中。如果错误为“权限不足”(Ldap 错误代码 50),请确保指定的用户拥有对架构和配置容器中的对象的读/写权限,或在注销后以拥有这些权限的用户身份登录并重新运行 forestprep。在大多数情况下,作为架构管理员和企业管理员的成员就拥有足够的权限运行 forestprep。

    [2020/10/10:09:02:41.235]
    Adprep 无法在架构主机上升级架构。[状态/结果]架构将不会还原到其原始状态。
    [用户操作]查看 C:\WINDOWS\debug\adprep\logs\20201010090240 目录中的 Ldif.err 日志文件以了解详细信息。

    [2020/10/10:09:02:41.235]
    Adprep 无法更新林信息。[状态/结果]为完成此操作,Adprep 要求从架构主机访问现有的全林性信息。[用户操作]查看 C:\WINDOWS\debug\adprep\logs\20201010090240 目录中的日志文件 ADPrep.log 以了解详细信息。

    [2020/10/10:09:02:41.235]
    Adprep 使用为网络连接指定的凭据成功停止。

    [2020/10/10:09:02:41.236]
    Adprep 已成功关闭与 Active Directory 域控制器 pc03.zxdl.com 的网络连接。

    2020年10月14日 8:12
  • 你好,

    鉴于目前的情况,可能需要查看更具体的debug log.

    建议开一个case给微软,以寻找更专业的帮助:https://support.microsoft.com/zh-CN

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月15日 2:11
  • 非常好,我收藏了!
    2020年10月20日 6:27