none
活动目录有错误,无法 从windows 2003 无法升级到windows 2008?? RRS feed

  • 问题

  • 环境:域名test.com.cn,主DC:windows 2003,该域是从windows200升级到windows 2003,现在双要从windows 2003升级到windows 2008 R2,但是在查看日志后发现在的WONDOWS2003域环境有问题。

    问题 :

    a.客户端,可以加入到域,他可以新建域用户,也可以对域用户进行权限管理,便是在“active directory 用户与计算机”中部署计算用户策略,如IE标题,IE主页,但是在WINXP客户端无法应用此策略更新,也就是说策略不起作用。

    b.在事件日志上发现以NTDS复制一直有下在的问题。  

    事件类型: 警告
    事件来源: NTDS Replication
    事件种类: 复制 
    事件 ID: 2091
    日期: 2014-6-16
    事件: 21:37:41
    用户: NT AUTHORITY\ANONYMOUS LOGON
    计算机: test1
    描述:
    下列 FSMO 角色的所有者设置为已删除或不存在的服务器。 
    此情况被更正之前,需要与 FSMO 操作主机联系的操作 将失败。 
    FSMO 角色: CN=Schema,CN=Configuration,DC=test,DC=com,DC=cn 
    FSMO 服务器 DN: CN=NTDS Settings\0ADEL:6d12050f-0b26-4f41-a048-d7d578d0dd22,CN=SERVER-DC\0ADEL:563a271a-2f92-4902-9684-ef259479eb8a,CN=Servers,CN=Default-First-Site-name,CN=Sites,CN=Configuration,DC=test,DC=com,DC=cn 
    用户操作: 
    1. 确定应该拥有该疑问角色的服务器。 
    2. 配置视图可能过期。如果该疑问服务器最近已经提升, 请检查配置分区最近是否已经从新服务器复制。 如果该疑问服务器最近已经降级而且角色被转移, 请检查此服务器最近是否已经复制分区(包含最新角色 的所有者)。 
    3. 确定是否在拥有 FSMO 角色的服务器上正确设置角色。如果没有设置角色,请使用 NTDSUTIL.EXE 转移或获取角色。这可以使用 http://support.microsoft.com 上的 KB 文章 255504 和 324801 中提供的步骤完成。 
    4. 检查拥有 FSMO 角色的服务器和此服务器之间 FSMO 分区的复制是否正确发生。 
    下列操作可能受影响: 
    架构: 您不再能够修改此林的架构。 
    域命名: 您将不再能够向此林添加域或从此林删除域。 
    PDC: 您将不再能够执行主域控制器操作,如组策略更新和重置非 Active Directory 帐户的密码。 
    RID: 您将不能够为新用户帐户、计算机帐户和安全组分配新安全标识符。 
    结构: 跨域名称引用(如通用组成员)在其目标对象被移动或重命名后将不再正确更新。

    c.右键单击test.com.cn的属性域功能级别从”windows 2000纯模式“为”windows 2003”,林级别为空。林功能级别应该不为空才对吧,这个很奇怪,并且点”提升林功能级别“会出错。。

    d.在windows 2003主DC进行无法进行林、域扩展等,如下错误

    ADPREP WARNING: 



    Before running adprep, all Windows 2000 Active Directory Domain Controllers in the forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later. 



    [User Action] 

    If ALL your existing Windows 2000 Active Directory Domain Controllers meet this requirement, type C and then press ENTER to continue. Otherwise, type any other key and press ENTER to quit.
    [2014/06/16:20:27:01.421]
    Adprep was unable to check the forest update status.

    [Status/Consequence]

    Adprep queries the directory to see if the forest has already been prepared. If the information is unavailable or unknown, Adprep proceeds without attempting this operation. 

    [User Action] 

    Restart Adprep and check the ADPrep.log file. Verify in the log file that this forest has already been successfully prepared.
    [2014/06/16:20:27:01.437]
    Adprep encountered an LDAP error. 

    Error code: 0x20. Server extended error code: 0x208d, Server error message: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com,DC=cn'
    .

    如查域要顺利升级到windows2008该如何做?

    2014年6月17日 7:57

答案

  • 你好,

    请问在之前将域从2000功能级别升级到2003功能级别的时候,有没有将所有的FSMO角色转移/获取成功呢?如果没有的话,域内部很多的操作都会出现问题。

    我建议你在命令行运行以下命令:netdom query fsmo 运行以后请将结果告诉我们。

    如果运行以后发现有问题,请根据上文中提到的KB来转移/获取FSMO角色。

    如果问题还是解决不了,你可以在域控制器上运行这个命令:Dcdiag,以此来判断DC有哪些问题。

    希望对你有所帮助!

    Amy

    2014年6月18日 2:01
    版主
  • FSMO` 链接失败,意味着FSMO 主机没有联系,采用命令强制夺取才可以!

    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    2014年6月18日 8:32
    版主

全部回复

  • 你好,

    请问在之前将域从2000功能级别升级到2003功能级别的时候,有没有将所有的FSMO角色转移/获取成功呢?如果没有的话,域内部很多的操作都会出现问题。

    我建议你在命令行运行以下命令:netdom query fsmo 运行以后请将结果告诉我们。

    如果运行以后发现有问题,请根据上文中提到的KB来转移/获取FSMO角色。

    如果问题还是解决不了,你可以在域控制器上运行这个命令:Dcdiag,以此来判断DC有哪些问题。

    希望对你有所帮助!

    Amy

    2014年6月18日 2:01
    版主
  • 你好,

    以前从2000到2003可能会有问题,我用netdom query fsmo 显示“系统找不到文件”,但是我用"netdom query pdc"可以查询出pdc主机的域名,用"netdom query dc", 也可以查询到DC,用“dsquery server -hasfsmo  schema",显示没有找到目录对象,但用dsquery server -hasfsmo Infr (pdc,rid,name)可以查到其它角色的信息。

    用dcdiag检查发现"starting test:knowsofroleholders ...........,[DC计算机名] failed test  knowsofroleholders",

     starting test services ntfrs service is stopped on 【DC计算机名】.......,[DC计算机名] failed test services。

    现在这种情况,如果要升级windows 2008的活动目录,要怎么办呢?


    • 已编辑 jethuang88 2014年6月18日 2:38 补充
    2014年6月18日 2:31
  • 你好,

    请问在之前将域从2000功能级别升级到2003功能级别的时候,有没有将所有的FSMO角色转移/获取成功呢?如果没有的话,域内部很多的操作都会出现问题。

    我建议你在命令行运行以下命令:netdom query fsmo 运行以后请将结果告诉我们。

    如果运行以后发现有问题,请根据上文中提到的KB来转移/获取FSMO角色。

    如果问题还是解决不了,你可以在域控制器上运行这个命令:Dcdiag,以此来判断DC有哪些问题。

    希望对你有所帮助!

    Amy

    以前从2000到2003可能会有问题,我用netdom query fsmo 显示“系统找不到文件”,但是我用"netdom query pdc"可以查询出pdc主机的域名,用"netdom query dc", 也可以查询到DC,用“dsquery server -hasfsmo  schema",显示没有找到目录对象,但用dsquery server -hasfsmo Infr (pdc,rid,name)可以查到其它角色的信息。

    用dcdiag检查发现"starting test:knowsofroleholders ...........,[DC计算机名] failed test  knowsofroleholders",

     starting test services ntfrs service is stopped on 【DC计算机名】.......,[DC计算机名] failed test services。

    现在这种情况,如果要升级windows 2008的活动目录,要怎么办呢?


    2014年6月18日 7:10
  • FSMO` 链接失败,意味着FSMO 主机没有联系,采用命令强制夺取才可以!

    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    2014年6月18日 8:32
    版主
  • FSMO` 链接失败,意味着FSMO 主机没有联系,采用命令强制夺取才可以!

    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    采用强制夺取后,升级WINDOWS2008 和组策略布暑有没有影响?
    2014年6月18日 9:13
  • 基本没有,除非人品不好,呵呵

    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    2014年6月18日 12:07
    版主