none
Problème d'installation d'un contrôleur de domaine windows 2012 server RRS feed

  • Question

  • Bonjour,

    j'ai un contrôleur de domaine principal Windows 2003, qui possède tous les rôles FSMO.

    pour l'installation d'un deuxième DC auxiliaire avec Windows 2012 server, j'ai étendu le schéma vers Windows 2008 avec l'utilitaire ADPREP (adprep /forestprep, adprep /domainprep et domainprep /gpprep).

    sauf que lorsque je procède à l'ajout du deuxième DC auxiliaire Win2012 j'ai les erreurs suivantes :    j'ai vérifié dans la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters. la version de schéma est bien la 47=Microsoft Windows Server 2008 R2.

    aidez moi svp

    Cordialement,
     




    jeudi 2 mai 2013 23:13

Réponses

  • Sinon, il faut utiliser ADPREP de Windows 2012, et non pas celui de Windows 2008 !

    adprep de 2012 est lancé automatiquement par l'assistant de configuration du domaine AD. C'est justement cette étape qui n'as pas fonctionnement. Il n'est pas utile  de faire Adprep sur l'ancien serveur. LA version de schéma est 56 pour Windows 2012 et 47 pour 2008R2.

    http://pbarth67.free.fr/?q=node/46

    Comme adprep est exécuté à distance il faut que le pare feu de l'ancien serveur n'empèche pas l'administration à distance. PRoblème de pare feu ?

    Quel est le niveau de la forêt et du domaine AD ?


    samedi 4 mai 2013 08:27
    Modérateur
  • Bonsoir,

    plusieurs éléments importants :

    * Les contrôleurs de domaine auxiliaires, je ne sais pas ce que c'est ! Mais ce n'est pas grave... On comprend.

    * Sinon, il faut utiliser ADPREP de Windows 2012, et non pas celui de Windows 2008 !!!!

    Comme l'indique le log,  le schéma n'est pas à jour... et ne permet donc pas l'installation d'un premier DC en 2012.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    vendredi 3 mai 2013 18:52
  • Bonjour à tous,

    Tout d'abord je suis désolé pour ce retard, et je vous informe que j'ai résolu mon problème, il fallait redémarrer les services AD DS après l'exécution de ADPREP et patienter, donc ma nouvelle architecture est comme suit : des DC(s) Windows 2012, version de schéma Ad Windows 2008 R2, niveau fonctionnel Windows 2003. 

    @Thierry : un contrôleur de domaine auxiliaire veut dire un contrôleur de domaine qui ne possède aucun rôle fsmo, certains le nomment un contrôleur de domaine secondaire, par rapport au schéma, je suis obligé de le garder à la version Win2008 R2 et de ce côté y'a pas de souci avec Win2012, AD2012 fonctionne avec la version de schéma Win2008 (minimum prérequis), c'est pour cela que j'ai procédé à la migration du schéma depuis Win2003 vers Win2008 R2.

    @Barth : oui, Win2012 met à jour automatiquement la version de schéma vers la version 56, mais moi je veux garder la version 47 avec un niveau fonctionnel de domaine et de forêt Win2003, c'est pour cela j'ai lancé adprep 2008 sur mon AD2003 avant l'installation des DCs Win2012.

    Grand merci à tous pour vos réponses

    A bientôt

    ZAOUCHI Selim


    jeudi 9 mai 2013 11:23

Toutes les réponses

  • Bonjour,

    Vu le message d'erreur (Insuff_access_right), utilisez vous bien un utilisateur membre du groupe "schema admin" ?

    Si c'est bien le cas est ce que vous pouvez nous donner le contenu du fichier de log indiqué dans votre capture d'écran c:\windows\debug\adprep\...


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Certifié MCSA/MCSE Server Infrastructure 2012. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.

    vendredi 3 mai 2013 07:11
  • Bonjour,

    j'utilise un compte administrateur qui aussi un membre du groupe administrateurs de schéma, du groupe administrateurs de l'entreprise et du groupe administrateurs de domaine.

    Voici le contenu du fichier log :

    [2013/05/02:17:59:55.652]
    Adprep a créé le fichier journal « C:\Windows\debug\adprep\logs\20130502175955-test\ADPrep.log »
    [2013/05/02:17:59:55.652]
    Adprep a initialisé les variables globales.

    [État/Conséquence]

    Adprep continue.
    [2013/05/02:17:59:55.660]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=Schema,CN=Configuration,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.661]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.661]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=SERV-PDC,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.661]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.661]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=Schema,CN=Configuration,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.662]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.664]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=Infrastructure,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.664]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.664]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=SERV-PDC,CN=Servers,CN=Premier-Site-par-defaut,CN=Sites,CN=Configuration,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.665]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.674]
    Adprep a découvert le FSMO du schéma : Serv-Pdc.parenin.com.tn.
    [2013/05/02:17:59:55.678]
    Adprep s’est connecté au FSMO du schéma : Serv-Pdc.parenin.com.tn.
    [2013/05/02:17:59:55.678]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.678]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.678]
    Adprep a récupéré des informations à partir des services de domaine Active Directory.
    [2013/05/02:17:59:55.678]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.679]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.679]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.679]
    L’API LDAP ldap_search_ext_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.679]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.680]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.680]
    Adprep ne trouve pas l’attribut tokenGroups sur l’objet RootDSE du contrôleur de domaine Active Directory. Cet attribut n’est pas disponible sur Windows Server 2003 ou sur une version antérieure de Windows. Adprep essaiera d’obtenir les groupes de jeton de l’objet d’utilisateur.
    [2013/05/02:17:59:55.680]
    Les paramètres /userdomain et /user ne sont pas spécifiés. Utilisation du domaine de l’utilisateur connecté actuel...
    [2013/05/02:17:59:55.680]
    Le domaine de l’utilisateur connecté actuel est PARENIN.COM.TN.
    [2013/05/02:17:59:55.680]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.681]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.681]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.681]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.681]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=Administrator,CN=Users,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.682]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.690]
    Adprep a découvert le FSMO de l’infrastructure : Serv-Pdc.parenin.com.tn.
    [2013/05/02:17:59:55.694]
    Adprep s’est connecté au FSMO de l’infrastructure : Serv-Pdc.parenin.com.tn.
    [2013/05/02:17:59:55.694]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.694]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.694]
    Adprep a récupéré des informations à partir des services de domaine Active Directory.
    [2013/05/02:17:59:55.694]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.695]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.695]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.695]
    L’API LDAP ldap_search_ext_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.695]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.696]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.696]
    Adprep ne trouve pas l’attribut tokenGroups sur l’objet RootDSE du contrôleur de domaine Active Directory. Cet attribut n’est pas disponible sur Windows Server 2003 ou sur une version antérieure de Windows. Adprep essaiera d’obtenir les groupes de jeton de l’objet d’utilisateur.
    [2013/05/02:17:59:55.696]
    Les paramètres /userdomain et /user ne sont pas spécifiés. Utilisation du domaine de l’utilisateur connecté actuel...
    [2013/05/02:17:59:55.696]
    Le domaine de l’utilisateur connecté actuel est PARENIN.COM.TN.
    [2013/05/02:17:59:55.696]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2013/05/02:17:59:55.697]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.697]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.697]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.697]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est CN=Administrator,CN=Users,DC=parenin,DC=com,DC=tn.
    [2013/05/02:17:59:55.698]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2013/05/02:17:59:55.713]
    Adprep n’a pas vérifié si le contrôleur de schéma avait effectué un cycle de réplication complet depuis le dernier redémarrage.

    [État/Conséquence]

    Le schéma n’est pas à jour.

    [Action utilisateur]

    Cherchez dans le fichier journal ADPrep.log situé dans le répertoire C:\Windows\debug\adprep\logs\20130502175955-test, la cause éventuelle de cet échec.
    [2013/05/02:17:59:55.713]
    Adprep a rencontré une erreur LDAP.

    Code d’erreur : 0x32. Code d’erreur étendue du serveur : 0x2098, Message d’erreur : 00002098: SecErr: DSID-03151D7D, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    .


    DSID Info:
    DSID: 0x180f0972
    ldap error = 0x32
    NT BUILD: 9200
    NT BUILD: 16384

     

    vendredi 3 mai 2013 08:54
  • Bonsoir,

    plusieurs éléments importants :

    * Les contrôleurs de domaine auxiliaires, je ne sais pas ce que c'est ! Mais ce n'est pas grave... On comprend.

    * Sinon, il faut utiliser ADPREP de Windows 2012, et non pas celui de Windows 2008 !!!!

    Comme l'indique le log,  le schéma n'est pas à jour... et ne permet donc pas l'installation d'un premier DC en 2012.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    vendredi 3 mai 2013 18:52
  • Sinon, il faut utiliser ADPREP de Windows 2012, et non pas celui de Windows 2008 !

    adprep de 2012 est lancé automatiquement par l'assistant de configuration du domaine AD. C'est justement cette étape qui n'as pas fonctionnement. Il n'est pas utile  de faire Adprep sur l'ancien serveur. LA version de schéma est 56 pour Windows 2012 et 47 pour 2008R2.

    http://pbarth67.free.fr/?q=node/46

    Comme adprep est exécuté à distance il faut que le pare feu de l'ancien serveur n'empèche pas l'administration à distance. PRoblème de pare feu ?

    Quel est le niveau de la forêt et du domaine AD ?


    samedi 4 mai 2013 08:27
    Modérateur
  • Bonjour à tous,

    Tout d'abord je suis désolé pour ce retard, et je vous informe que j'ai résolu mon problème, il fallait redémarrer les services AD DS après l'exécution de ADPREP et patienter, donc ma nouvelle architecture est comme suit : des DC(s) Windows 2012, version de schéma Ad Windows 2008 R2, niveau fonctionnel Windows 2003. 

    @Thierry : un contrôleur de domaine auxiliaire veut dire un contrôleur de domaine qui ne possède aucun rôle fsmo, certains le nomment un contrôleur de domaine secondaire, par rapport au schéma, je suis obligé de le garder à la version Win2008 R2 et de ce côté y'a pas de souci avec Win2012, AD2012 fonctionne avec la version de schéma Win2008 (minimum prérequis), c'est pour cela que j'ai procédé à la migration du schéma depuis Win2003 vers Win2008 R2.

    @Barth : oui, Win2012 met à jour automatiquement la version de schéma vers la version 56, mais moi je veux garder la version 47 avec un niveau fonctionnel de domaine et de forêt Win2003, c'est pour cela j'ai lancé adprep 2008 sur mon AD2003 avant l'installation des DCs Win2012.

    Grand merci à tous pour vos réponses

    A bientôt

    ZAOUCHI Selim


    jeudi 9 mai 2013 11:23
  • un contrôleur de domaine auxiliaire veut dire un contrôleur de domaine qui ne possède aucun rôle fsmo, certains le nomment un contrôleur de domaine secondaire,

    Je ne connaissais pas l'appellation auxilliaire, je pense plutôt a un vocabulaire inventé à ma connaissance il n'existe pas chez Microsoft. 

    Le contrôleur de domaine secondaire n'existe plus depuis Windows 2000.

    des DC(s) Windows 2012, version de schéma Ad Windows 2008 R2

    Vous ne pouvez pas avoir de DC en 2012 avec un schéma en 2008R2. Le prérequis est une forêt en 2003 minimum, mais si vous mettez un DC en 2012 le schéma se retrouvera en 56. Lorsque vous avez fait le premier DC en 2012 le schéma a été mis à jour par lassistant.

    Le fait d'avoir fait le adprep en 2008R2 réduit le nombre de mise à jour de schéma à faire mais ne change rien à la version de schéma avec 2012.

    jeudi 9 mai 2013 21:39
    Modérateur
  • Bonjour,

    Contexte:

    j'ai rencontré le même problème car j'avais un DC actif et d'autres DC qui avaient décommissionnés mais dont les metadata demeuraient dans l'AD.

    Résolution:

    je suis parvenu à le résoudre en spécifiant précisément le Domain controller  (le seul DC actif dont je disposais) pour la réplication (plutôt que de laisser par défault tous les controlleurs) dans les étapes d'ajout d'un DC dans l'AD

    Cordialement,

    lundi 30 mai 2016 14:52
  • Si tu as des DC qui n'ont pas été supprimés proprement il faut nettoyer ton AD ...

    Sinon tu peux avoir des erreurs dans dcdiag et repadmin ...

    http://pbarth.fr/node/94

    lundi 30 mai 2016 15:08
    Modérateur
  • Bonjour,

    même si ca fonctionne de nouveau, il faudra supprimer les anciens DC(s) via la console Active Directory Users and Computers, ensuite OU "Domain Controllers" et faire un "delete" de l'objet orphelin, indiquez par la suite que ce dernier n'est plus connecté et impossible de faire DCPROMO, ceci mettra à jour aussi les DC(s) orphelin au niveau de la console Active Directory Sites and Services.

    un nettoyage au niveau des DNS est recommandé aussi.

    Cordialement,

    ZAOUCHI Selim  

    lundi 30 mai 2016 15:46
  • Bonjour,

    J'ai hérité un vieux serveur 2008R2 en tant que contrôleur de domaine et il m'est impossible de faire la migration vers 2012r2. Le but finale étant de passer notre Ad sur Windows serveur 2019.

    Lorsque je lance la commande adprep /forestprep depuis un fichier support de 2012 r2, il m'affiche un message d'erreur qui ressemble à ça .

    Adprep a détecté que l'utilisateur spécifié ne dispose pas du droit de « Gérer l
    e journal d'audit et de sécurité ».
    [État/Conséquence]
    Adprep s'est arrêté sans apporter de modification.
    [Action utilisateur]
    Vérifiez que l'utilisateur spécifié dispose du droit « Gérer le journal d'audit
    et de sécurité » et qu'il est activé.

    Le message d'erreur dans C:\Windows\debug\adprep\logs:

    [2020/12/03:21:57:54.836]
    Adprep a créé le fichier journal « C:\Windows\debug\adprep\logs\20201203215754\ADPrep.log »
    [2020/12/03:21:57:54.837]
    Adprep a initialisé les variables globales.

    [État/Conséquence]

    Adprep continue.
    [2020/12/03:21:57:54.855]
    Adprep a découvert le FSMO du schéma : SRV-xx.mydomain.local.
    [2020/12/03:21:57:54.860]
    Adprep s’est connecté au FSMO du schéma : SRV-xx.mydomain.local.
    [2020/12/03:21:57:54.860]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2020/12/03:21:57:54.860]
    L’API LDAP ldap_search_s() s’est terminée, le code renvoyé est 0x0
    [2020/12/03:21:57:54.860]
    Adprep a récupéré des informations à partir des services de domaine Active Directory.
    [2020/12/03:21:57:54.860]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est DC=mydomain,DC=local.
    [2020/12/03:21:57:54.860]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2020/12/03:21:57:54.860]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2020/12/03:21:57:54.860]
    L’API LDAP ldap_search_ext_s s’est terminée, le code renvoyé est 0x0
    [2020/12/03:21:57:54.860]
    Adprep était sur le point d’appeler l’API LDAP suivante. ldap_search_s(). L’entrée de base pour lancer la recherche est (null).
    [2020/12/03:21:57:54.861]
    L’API LDAP ldap_search_s s’est terminée, le code renvoyé est 0x0
    [2020/12/03:21:57:54.891]
    Adprep a détecté que l’utilisateur spécifié ne dispose pas du droit de « Gérer le journal d’audit et de sécurité ».

    [État/Conséquence]

    Adprep s’est arrêté sans apporter de modification.

    [Action utilisateur]

    Vérifiez que l’utilisateur spécifié dispose du droit « Gérer le journal d’audit et de sécurité » et qu’il est activé.

    Je suis sur ce problème depuis quelques jours maintenant et je n'ai trouvé aucune information qui pourrait m'aider sur le web.

    Aidez-moi.

    par avance merci.

    jeudi 3 décembre 2020 21:09