none
Problèmes rencontrés à la promotion d'un serveur 2012 R2 dans un domaine 2003 RRS feed

  • Discussion générale

  • Bonjour,

    Je rencontre des difficultés sur le sujet suivant :

    promotion d'un serveur 2012 R2 dans un domaine 2003. 

    Au moment de la vérification (étape ultime)

    Échec de la vérification des conditions préalables pour la préparation d’Active Directory. Impossible d’effectuer un contrôle de conflit de schéma Exchange pour le domaine sansan.local.
    Exception : Accès refusé.
    Adprep n’a pas réussi à récupérer les données depuis le serveur srvsansan.sansan.local via WMI (Windows Management Instrumentation).
    [Action utilisateur]
    Cherchez la cause éventuelle de cet échec dans le fichier journal ADPrep.log situé dans le répertoire C:\Windows\debug\adprep\logs\20150413153328-test.

    Add the NETWORK SERVICE as part of the SeServiceLogonRight ("Logon as a service") right back to the Default Domain Controllers policy.

    Le fichier Log ne me donne pas beaucoup de pistes.

    Avant d'exploiter une solution fournie par Scheidler dans : http://mscheidler.blogspot.fr/2013/03/promoting-windows-2012-server-into_18.html

    Je me tourne vers les MSCT de Microsoft pour savoir si je m'oriente vers la bonne voie (problème de VMI)

    Si quelqu'un peut me répondre rapidement

    Merci d'avance pour votre aide

    /Marc Vitalis


    mardi 14 avril 2015 13:59

Toutes les réponses

  • Pour info, je viens d'accéder via la console compmgmt.msc et le controle VMI fonctionne bien.

    mardi 14 avril 2015 14:16
  • De plus, je suis en train d'évaluer les préco suivantes sur DCOM et sécurisation VMI:

    trouvé sur MSDN un article "Securing a remote VMI connection" 

    https://msdn.microsoft.com/en-us/library/aa393266%28v=vs.85%29.aspx

    qui me semble se rapprocher de ce que je rencontre dans ADprep.log

    Erreur ADPREP lors de la vérification du schéma Exchange.

    [État/Conséquence]

    Le schéma des services de domaine Active Directory n’a pas été mis à jour.

    [Action utilisateur] 

    Cherchez dans le fichier journal ADPrep.log situé dans le répertoire C:\Windows\debug\adprep\logs\20150413153328-test, la cause éventuelle de cet échec.
    [2015/04/13:15:33:29.113]
    Adprep a rencontré une erreur Win32. 

    Code d’erreur : 0x5 Message d’erreur : Accès refusé..


    DSID Info:
    DSID: 0x1810012a
    HRESULT = 0x80070005
    NT BUILD: 9600
    NT BUILD: 16384

    Je vais fouiller et tester. 

    A plus tard

    mardi 14 avril 2015 15:37
  • Vérifier vos règles de pare feu ... sinon désactiver le.

    Voir aussi 

    https://support.microsoft.com/en-us/kb/2737560/fr

    mardi 14 avril 2015 17:51
    Modérateur
  • Merci Philippe,

    Je vais examiner attentivement les résolutions proposées.

    NB: j'ai désactivé le pare-feu sur le contrôleur 2003 mais pas mieux...

    Au fait est-ce que la version 2012-R2 Multilangue peut être la cause de mes soucis, par rapport au contrôleur 2003 R2 FR ? ou bien ca n'a rien à voir ?

    Merci d'avance.

    mercredi 15 avril 2015 06:59
  • Dans les paramètres de sécurité du contrôleur de domaine du DC 2003, j’aperçois qu’il n’y a pas les utilisateurs suivants :

    SERVICE LOCAL

    SYSTEM

    Dois je les ajouter ? Pourquoi ces différences ?

    Car, en examinant sur un autre contrôleur de domaine 2003 SP2 j'ai les comptes suivants :

    Mydomaine\Administrateur

    BUILTIN

    SERVICE LOCAL

    SERVICE RESEAU

    SYSTEM

    mercredi 15 avril 2015 13:15
  • J'ai appliqué la sécurité avec le modifications SYSTEM et SERVICE LOCAL sur ServiceLogonRight.

    Je teste à nouveau la promotion.

    NB : N'y a t-il pas un script powershell permettant de tester l'environnement VMI ou DCOM d'un ordinateur distant ?

    A plus tard

    mercredi 15 avril 2015 13:39
  • En échec toujours...

    Et en fait j'aurais du commencer par un bon DCDIAG...

    Pourquoi il y a un plantage dans ce premier test ?

    Merci de m'indiquer rapidement une solution.

    A bientot

    mercredi 15 avril 2015 14:33
  • Bonjour

    Déjà est ce que ton compte d'utilisateur est bien schéma admin ? 

    Apres ton AD est t'elle est sante (DCdiag) combien as tu de DC de site ?

    Ton serveur Windows 2012 R2 est t il membre de ton domaine ? si non, met le dedans

    Ton niveau fonctionnelle de domaine et de foret est t'il bien 2003 

    Sinon j'ai fait une vidéo sur la migration d'un AD de 2003 vers 2012.

    http://www.frbmg.com/migration-ad/

    Ou tu as ce lien en Français qui t'aidera beaucoup http://www.it-connect.fr/conseils-migration-active-directory-vers-windows-server-2012-r2/

    J’espère que cela va t'aider. Tiens nous au courant de la suite

    Cordialement

    Francis Bonnamour


    mercredi 15 avril 2015 15:25
  • Vous êtes en environnement virtuel ? vmware ? si oui avez vous changer le DC de host ? Il est possible que le guid de la machine a changé.

    Essayer de redémarrer le service netlogon, c'est lui qui crée les enregistrements DNS necessaires pour les services AD.

    jeudi 16 avril 2015 05:22
    Modérateur
  • Merci Francis,

    1- J'ai utilisé netdiag /fix et cela à corrigé toute les erreurs notées par Dcdiag.exe ( un seul DC ) . Autre info, le niveau fonctionnel de la foret/domaine est bien en 2003.

    2- Je suis les conseils pour migration de l'AD et j'essaye d'utiliser l'outils Active Directory Status Tool préconisé, mais il y a un souci avec le .net Framework 4.0

    alors que le prérequis est .NET Framework 3.5 SP1 ? Bizarre comme c'est un serveur de Prod je ne peux pas expérimenter la désinstallation du .net 4.0 en pleine journée... Je vais essayer de monter l'outils sur un PC du domaine.

    Voila pour l'instant. 

    A bientot

    jeudi 16 avril 2015 07:43
  • Merci Philippe,

    Le serveur 2012 est une machine physique, et les services Netlogon ont été redémarrés sur le DC 2003.

    Mais pas mieux, je vais essayer l'outils "Active Directory Status Tools" sur un Windows 7 dans le domaine. Et essayer d'aller plus loin dans les résolutions proposées. 

    Le résultat du dcdiag /test:DNS est en FAIL voici la fin du test.

    Les redirecteurs sont ceux d'Oléane et les 3 serveurs qui sont en défaut sont des serveurs racines. 

    Quel est ton avis ?

    Merci d'avance pour ta réponse.

    jeudi 16 avril 2015 11:36
  • Je ne vois pas trop pourquoi il redirige une demande interne _ldap._tc.xxx.fr pour le nom de domaine locale vers oleane .

    Dans DNS vous avez bien la partition du domaine et la partition de la forêt ? "msdsc.mondomaine.local"

    Quel est la conf IP des DC ? serveurs DNS primaire secondaire ? 

    Sur les clients ?


    jeudi 16 avril 2015 17:18
    Modérateur
  • Après avoir retiré une interface NIC sur laquelle le DNS ne devait pas écouter et mis à jour les adresses IP des redirecteurs en rapport avec le fournisseur de l'ADSL du client, le dcdiag ne montre plus d'erreurs.

    Je me suis alors concentré sur les erreurs VMI détectées par l'assistant sur la promotion du serveur 2012, et j'ai chargé l'outils Outils WMDiag et j'ai trouvé dans un premier temps pleins d'erreur liées à la désactivation de DCOM. 


    Réactivation de DCOM

    Je relance cscript WMIDiag.vbs et voilà ce que j'ai comme erreurs dans le rapport.

    36375 09:11:48 (0) ** DCOM security for 'My Computer' (Access Permissions/Edit Limits): ................................................... MODIFIED.
    36376 09:11:48 (1) !! ERROR: Default trustee 'NT AUTHORITY\ANONYMOUS LOGON' has been REMOVED!
    36377 09:11:48 (0) **        - REMOVED ACE:
    36378 09:11:48 (0) **          ACEType:  &h0
    36379 09:11:48 (0) **                    ACCESS_ALLOWED_ACE_TYPE
    36380 09:11:48 (0) **          ACEFlags: &h0
    36381 09:11:48 (0) **          ACEMask:  &h7
    36382 09:11:48 (0) **                    DCOM_RIGHT_EXECUTE
    36383 09:11:48 (0) **                    DCOM_RIGHT_ACCESS_LOCAL
    36384 09:11:48 (0) **                    DCOM_RIGHT_ACCESS_REMOTE
    36385 09:11:48 (0) ** 
    36386 09:11:48 (0) ** => The REMOVED ACE was part of the DEFAULT setup for the trustee.
    36387 09:11:48 (0) **    Removing default security will cause some operations to fail!
    36388 09:11:48 (0) **    It is possible to fix this issue by editing the security descriptor and adding the ACE.
    36389 09:11:48 (0) **    For DCOM objects, this can be done with 'DCOMCNFG.EXE'.

    Après vérification dans Dcomcnfg tout est OK , les sécurités et comptes sont bien en place !...

    DCOM est maintenant démarré, mais on a  un décalage entre WMIDiag qui montre ceci :

    !! ERROR: Default trustee 'NT AUTHORITY\ANONYMOUS LOGON' has been REMOVED!

    et dcomcnfg qui montre que non !

    Je suis un peu désorienté, pouvez-vous me dire ce que je dois faire ?

    Merci par avance de vos réponses.


    • Modifié marcv847 vendredi 17 avril 2015 10:14 Re Balises
    vendredi 17 avril 2015 10:11
  • Déjà posée le 15 Avril (voir plus haut...) :

    La question est peut être idiote, j'essaye vainement de trouver une solution à mon problème depuis 3 jours, mais n'est ce pas tout simplement un problème lié à la version de l'OS ?

    D'une part on a un serveur Windows Server 2012 R2 avec licence ROK Multilangue installé en FR -- le compte est Administrator -- destiné à être le nouveau DC

    D'autre part on a Le Serveur Windows 2003 SE SP2 FR Domaine Controleur -avec Administrateur

    Peut on effectuer ce genre d'intégration ? Ou faut-il les mêmes licences ? (dans ce cas il me faut réinstaller le serveur 2012 avec la bonne version d'OS)

    Merci de vos réponses


    • Modifié marcv847 vendredi 17 avril 2015 14:02 Correction Version du 2003
    vendredi 17 avril 2015 13:37
  • voir :

    http://blogs.msdn.com/b/alejacma/archive/2008/06/10/wmi-diag-won-t-work-well-in-non-english-windows.aspx

    Avez-vous réessayer l'assistant de conf AD ?

    Il ne faut pas mettre 2 cartes réseaux sur un DC ou au moins il faut désactiver sur la 2ème carte l'enregistrement automatique dans les DNS. La 2ème carte ne doit pas avoir de passerelle et de serveur dns de configuré ... 

    vendredi 17 avril 2015 17:32
    Modérateur
  • Bonjour à tous,

    La solution est la voir le lien concernant le sujet dans les forums Technet "WMI access denied"

    lien "WMI accès refusé".

    Bien suivre les Step 1, 2 et 3 sur le serveur 2003, puis redémarrer le serveur 2003.

    Tester avec l'outils "wbemtest" depuis le serveur 2012 l'accès WMI en remote sur le serveur 2003

    Sur le serveur 2012 R2 (merci à Francis Bonnamour), il faut effectivement rendre le serveur membre du domaine 2003. Et ensuite continuer l'assistant de promotion de l'AD, la vérification passe et la mise à jour de la foret peut s’effectuer sans problème maintenant.

    Merci à tous pour vos conseils.

    Marc



    • Modifié marcv847 jeudi 23 avril 2015 10:51 Solution en Bold
    mercredi 22 avril 2015 07:09