web-dev-qa-db-ja.com

ADPREP / forestprepがスキーママスターのレプリケーションサイクルの検証に失敗する

2003の機能レベルドメインを実行しているServer2003を実行している単一のドメインサーバーがあります。サーバー2008R2マシンを別のドメインコントローラーとして追加しようとしています。これは、サーバーをプライマリに昇格させ、サーバー2003マシンを削除することを目的としています。

Server2003マシンでadprep/forestprepを実行する必要があります。実行すると、次のエラーで失敗します。

Adprep failed to verify whether schema master has completed a replication cycle after last reboot.
[Status/Consequence]
The schema is not upgraded.
[User Action]  
Check the log file ADPrep.log in the C:\WINDOWS\debug\adprep\logs\20101109153331 directory for possible cause of failure.

Adprep encountered an LDAP error. 
Error code: 0x32. Server extended error code: 0x2098, Server error message: 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

ADPREPの実行に使用しているユーザーアカウントmydomain\administratorがSchemaAdmins、Enterprise Admins、およびDomainadminsグループにあることを確認しました。

repadmin /showreplを実行して、レプリケーションの内容を把握しようとしています

repadmin running command /showrepl against server localhost

Default-First-Site-Name\SERVERNEW
DC Options: IS_GC
Site Options: (none)
DC object GUID: 0657168e-d854-48d8-a40a-dea3e41e6e87
DC invocationID: 0657168e-d854-48d8-a40a-dea3e41e6e87

誰かがこのエラーを修正する方法を知っていますか?ドメインとフォレストを2003年の機能レベルに引き上げると、機能する可能性はありますか?新しいドメインを最初から作成し、すべてのユーザー名などをもう一度入力するだけでは、ユーザー数が15人しかないため、大きな問題にはなりませんが、それでも大きな問題になります。

ありがとう

4
whatsisname

AdprepエラーはLDAPアクセス権について言及しています...

問題は、その子ドメインのローカル管理者がドメインコントローラーのグループポリシーオブジェクトに対するアクセス許可を持っていなかったことでした。デフォルトでは、フルコントロールが必要です。 (ルートドメインの管理者にはこのアクセス許可がありました。)したがって、ローカルの「ドメイン管理者」がグループポリシーの[セキュリティ]タブに追加された場合、ADPrep/domainprepは問題なく実行できました。

ここ から持ち上げられました。

1
Ablue