AD域提升到域控服务器执行失败处理及常见排查思路(已验证)【事件描述】
在现有域控环境中配置AD的备用主机2012 R2时,即在2008 R2域环境中将2012 R2升级为域控时,报如下错误:
错误消息:..连接到系统的设备无法运行;
检查日志是否有错误:执行失败、回调函数失败、无法访问主域控制器、找不到网络路径;
【问题分析】
安装提示输入日志路径查看日志:
从上面的日志就可以看出原因。
[关于说明]:.exe是什么?
.exe是每个版本的安装盘中都包含的命令行工具。 .exe 执行必须在现有环境中运行的域控制器上执行的操作,然后才能添加运行该版本的域控制器。
在运行 2012 或更高版本的服务器上,.exe 命令会作为 AD DS 安装过程的一部分根据需要自动运行。 这些命令需要在以下情况下运行:
添加运行版本高于现有域中运行的最新版本的第一个域控制器之前。
在将现有域控制器升级到更高版本之前,该域控制器将是域或林中第一个运行该版本的域控制器。
例如,如果您的组织有运行 2000 或 2003 的域控制器,则在添加运行 2008 R2 的新域控制器或将现有域控制器之一升级到 2008 R2 之前,必须运行 2008 R2 的 \\ 文件夹中的 .exe R2安装DVD。
注意:
.exe 是该工具所有以前版本的编译。 换句话说,如果您当前有一个运行 2003 的域控制器,并且想要添加一个运行 2008 R2 的域控制器,只需从 2008 R2 操作系统磁盘运行 .exe 即可。 无需从 2008 年开始运行此版本,因为 2008 R2 中的版本包含与先前版本相比的所有更改。
.exe 是做什么的?
.exe 具有执行各种操作的参数,这些操作有助于为运行更高版本的域控制器准备现有环境。 并非所有版本的 .exe 都执行相同的操作,但通常 .exe 可以执行的不同类型的操作包括:
1)更新架构
2)更新安全描述符
3)修改共享文件夹中对象和文件的访问控制列表(ACL)
4)根据需要创建新对象
5)根据需要创建新容器
有关 .exe 执行的更改的详细信息,请参阅以下资源:
对于 2012 及更高版本,请参阅对 .exe 所做的更改。
对于 2008 R2,请参阅 2008 R2:.exe 更改附录以支持 AD DS。
对于 2008 年,请参阅 2008 年:.exe 更改附录以支持 AD DS。
对于 2003 R2,请参阅在 2003 R2() 中扩展架构。
对于 2003 年,请参阅准备升级基础结构 ()。
2012 R2和2012中使用.exe时需要注意的事项
从 2012 年开始,.exe 集成到 AD DS 安装过程中并根据需要自动运行。 例如,当您将第一个运行 2012 的域控制器安装到现有域和林中时,/ 和 / 会自动运行并报告其操作结果。
某些组织可能更愿意在安装 AD DS 之前单独运行 .exe,或者只是扩展现有的 AD DS 体系结构以支持新功能,例如 2012 R2 中的设备注册服务。 因此,.exe也包含在操作系统盘的\\文件夹中。
同样从 2012 年开始,.exe 仅有 64 位版本。 它可以从任何运行 64 位版本 2008 或更高版本的服务器远程运行。 运行它的计算机可以加入域或工作组。 它包括用于远程运行它的新语法和参数选项。
【问题处理及思路】
1) 将备份广告主机的域名解析添加到现有DNS中;
2)勾选启用该服务; (注意:这是在主域控制器上启用的,而不是在备份域上启用)
3)之前错误安装了ad证书服务,导致AD域控制器提示先决条件检查失败。 删除角色后,先决条件就通过了。 应消除这种情况下的错误;
该域控制器无法降级,因为它也是一个证书颁发机构。 在仔细清点 CA 的用途之前,请勿删除 CA - 如果它正在颁发证书,删除该角色将导致中断。 不建议在域控制器上运行CA
4)在主域控服务器上启动服务:
5)再次尝试升级域控,操作成功,问题解决。 如下所示:
6) 如果不成功,请执行以下操作: 让 .exe 和 .exe 验证林的整体运行状况,它们将指示细微的配置错误,这些错误可能会阻止进一步的域控制器升级。 进一步调查处理。
7) 使用.exe、任务管理器或.exe检查计算机是否有可能造成干扰的第三方软件。
删除第三方软件(不仅仅是禁用它,这样它就不会阻止驱动程序加载)。
8) 在升级失败的计算机和复制伙伴域控制器上安装3.4,并使用双向网络捕获来分析升级过程。
将此与您的工作实验室环境进行比较,以了解健康升级是什么样子以及发生故障的位置。 此时,林对象、非默认安全更改或网络中可能会出现错误,并且此新域控制器可能会受到 DNS、防火墙、主机入侵防御软件或其他外部因素中的错误配置的负面影响。
9)检查.log和.log日志;
10)如果报错:无法从林中读取域列表,找不到指定域的域控制器:
验证 DNS 客户端设置、LDAP 功能和防火墙规则
11)RODC无法升级,因为未执行:使用2012准备林或使用.exe/
12)不执行:使用2012准备域名或使用.exe/
13)不执行:使用2012准备森林或使用.exe/
14)森林架构不匹配:使用2012准备森林或使用.exe/
15) 指定域RID的主机离线:
使用 .exe 查询 fsmo 来检测 RID 主机。 将其联机并可供您正在升级的域控制器访问。
16) 域名主机离线:
使用 .exe query fsmo 检测域命名主机。 将其联机并可供您正在升级的域控制器访问。
17)森林功能级别太低(仅错误2012):
将森林功能水平提高到至少 2003 年原生水平。 2000 和 NT 4.0 不再受支持的操作系统。
18) 域功能级别太低(仅错误2012):
将域功能级别提高到至少 2003 本机。 2000 和 NT 4.0 不再受支持的操作系统。
19)其他AD域故障请参考官方文档:
附录:AD故障处理流程图:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。