web-dev-qa-db-ja.com

2000ドメインで新しい2008サーバーをdcpromoできません

古いWindows2000ドメインコントローラーを新しいWindows2008Serverに置き換えようとしています。新しいサーバーにActiveDirectoryドメインサービスの役割をインストールし、ドメインに参加させました。次のステップは、新しいサーバーを既存のドメインのドメインコントローラーに昇格させることです。その後、古いサーバーをオフラインにすることができます。

/ forestprepと/ domainprepを使用してadprepツールを実行しました。 dcpromoを実行すると、すべてが複製され、ユーザー、グループ、およびコンピューターオブジェクトが作成されたように見えますが、次のエラーが発生します。

次の理由で操作が失敗しました。

Active Directoryドメインサービスは、インストール後に重要な情報が欠落しているため、続行できません。これがレプリカのActiveDirectoryドメインコントローラーである場合は、このサーバーをドメインに再参加させます。

ディレクトリオブジェクトが見つかりません。

コンピューターをドメインに再参加させようとしましたが、イベントログに何も役立ちません。私はこれを乗り越える方法に途方に暮れています。助けていただければ幸いです。

私自身の検索で、このMSナレッジベースの記事が見つかりました。
http://support.Microsoft.com/kb/248079

しかし、それは本当に役に立ちません。私の知る限り、探している4つの項目はすべて存在し、ドメインを再作成することは適切なオプションではなく、2000sp1スリップストリームのアドバイスは私のWindows2008ボックスには適用されません。

KB記事の各オブジェクトをチェックすると、次のSIDに気づきました。 僕の 管理者アカウントは次のとおりです。S-1-5-21-2025429265-492894223-1708537768-1124。それは「500」で終わらないので、どういうわけか間違っている可能性があることに注意してください。組み込みの管理者アカウントはどこにも見つかりません。これは、リンクされたナレッジベース記事の「原因」見出しの下にある2番目の箇条書き項目で参照されているアカウントです。これを修正する方法はありますか?この特定の部分も 別の質問 にしますが、両方を最新の状態に保つようにします。

何が起こったのかを更新します。それは問題の解決には役立ちませんが、誰かが興味を持った場合に備えて、問題を説明するのに役立つ古いメモをいくつか見つけました。どうやら、昔々、このサーバーはFTPサービスを実行していましたが、その後、より良い代替サービスに置き換えられました。サービスの実行時に、当時の管理者は、そのサービスを介して管理者パスワードをブルートフォースしようとしているスクリプトキディに気づきました。現在、Windows 2000では、サービスをシャットダウンする以外に、管理者アカウントのFTPアクセスを無効にできないようです。彼はアカウントの名前を変更しようとしましたが、どういうわけか名前の変更に従いました。そのため、「厄介なハッキング」の後、彼は代わりにアカウントを「削除」しました。どういうわけかドメインを再作成する必要があるかもしれないと思います:(

windows-server-2008active-directorydomain-controllerwindows-server-2000
7
Joel Coel

これはおかしなことに聞こえるでしょうが、それは私が一度自分自身にこれをしたからです。ファイアウォールやネットワークの問題がないことを確認してください。 DCの1つ(4つありました)で誤ってWindowsファイアウォールをオンにしたネットワークが1つあったので、このDCが適切に複製されなかったため、何もできませんでしたADのアップグレード。ネットワークの残りの部分は正常に機能していたので、私の場合はスキーマを更新しようとするまで症状はありませんでした。

簡単なテスト。各DCが互いにpingできることDC)、すべてのDNSが適切に解決されていることを確認します。また、ADがWindows2000で可能な最高値であることを確認します。行く、私は2008年がDCとしてどれほど後方互換性があるかわかりません。

4
SpaceManSpiff

ADスキーマを2008形式に更新する必要があります。 ADの各バージョン(2000、2003、2003R2、および2008)の間で、スキーマが変更されました。 2008DVDにはadprepというツールがあります。最初にadprep/domainprepを実行し、次にadprep/forestprepを実行すると思います。 2008年に新しく追加された3つ目のものが潜在的にあります。adprep /?を実行すると役立つはずです。

3
Keith Stokes

ドメインが混合モードからアップグレードされていることを確認してください。最初の2000インストール(他のインストールと同様)には、機能が制限されたバージョンがあります。あなたはそれを完全な2000のみのドメインまでバウンスすることができます。それが完了したら、アップグレードを再試行してください。

それで満足できない場合は、2003のコピーを入手して(2008ライセンスもダウングレード)、2003ドメインにアップグレードしてください。もう一度、後でドメインの機能レベルをアップグレードします。次に、2008ドメインにステップアップしてみてください。

また、各ステップが完了した場合は、バックグラウンドで複製できるように、各ステップの後にしばらく時間を置いてください。

1
Ryaner

アカウントのSIDは間違っていません。その500で終わる唯一のアカウントは、ドメインの構築時に作成される組み込みの管理者アカウントです。同様に、これはワークステーション/サーバー/ * NTボックスのローカルSAMにある組み込みの管理者アカウントにも当てはまります。

Dcpromoの問題については、%SystemRoot%\ Debugからdcpromo.logを投稿してください。

ありがとう、Brian Desmond Active Directory MVP

1
Brian Desmond