none
Promozione di un server Windows 2012R2 Std in una foresta con server Windows 2003 (32 e 64 bit) e con Exchange 2003 RRS feed

  • Domanda

  • Da un Cliente, sto cercando di promuovere controller AD un nuovo server Windows 2012 R2 std in una foresta con presenti alcuni server 2003 (32 e 64 bit) ed un Exchange server 2003 Std.

    Sono presenti 2 server DC (srv01 e Srv02), mentre l'Exchange 2003 è su un terzo server (Srv03) membro del dominio, ma non DC.

    Il wizard di Windows 2012 R2 per l'innalzamento del ruolo di AD si ferma nella verifica dei requisiti dando lo stesso errore mostrato di seguito (l'errore sotto riportato è stato ottenuto lanciando adprep da Prompt dei comandi):

    E:\support\adprep>adprep /forestprep /forest mydomain.local/user administrator /password mypassword /userdomain mydomain.local

    Adprep: impossibile recuperare dati dal server srv01.mydomain.local tramite Strumentazione gestione Windows (WMI).
    [Azione utente]
    Per individuare le possibili cause dell'errore, controllare il file di log ADPre
    p.log nella directory C:\Windows\debug\adprep\logs\20140501231706.

    Si è verificato un errore Win32 in Adprep.
    Codice di errore: 0x5 Messaggio di errore: Accesso negato..

    Adprep non è in grado di completare la verifica dello schema di Exchange.
    [Stato/conseguenza]
    Schema di Servizi di dominio Active Directory non aggiornato.
    [Azione utente]
    Per individuare le possibili cause dell'errore, controllare il file di registro
    ADPrep.log nella directory C:\Windows\debug\adprep\logs\20140501231706.

    Si è verificato un errore Win32 in Adprep.
    Codice di errore: 0x5 Messaggio di errore: Accesso negato..

    C'è un modo per capire cosa di questo processo non funziona? Un modo per avere qualche dettaglio che mi dica DOVE intervenire? Non so più dove sbattere la testa......

    Il log generato non è molto d'aiuto e riporta le stesse informazioni..... nel caso aggiorno il post aggiungendo il log in questione.

    Grazie mille anticipate. Grazie di cuore!
    Giorgio

    P.S.: i controlli eseguiti su Srv01 con DCDIAG e DSASTAT non hanno evidenziato problemi e le repliche fra i 2 domain controller risultano aggiornate, complete, senza errori.

    giovedì 1 maggio 2014 21:36

Risposte

  • Ragazzi ho risolto!! Ho trovato un sacco di segnalazioni identiche alla mia in internet e nei vari forums sia targati Microsoft che non...... alla fine ho provato a fare le stesse cose evidenziate in questo post:

    http://social.technet.microsoft.com/Forums/en-US/d6dd1256-4561-4981-a24e-da075b5d79f3/adding-new-server-2012-dc-in-existing-2003-forestper e per la precisione:

    I ran into this issue only my error was slightly different:
    Verification of Prerequisites for Active Directory Preparation Failed. Unable to perform schema conflict check for domain domain.com
    Exception: Initialization Failure.
    My fix was to move the FSMO roles onto a different 2003 domain controller, and re-run the forest prep on 2012.

    Ha funzionato perfettamente anche per me: ho spostato tutti i ruoli FSMO dal primo domain controller Srv01 al secondo Srv02 (entrambi Windows 2003); ho atteso e verificato la replica e lo spostamento dei ruoli: poi riavviato il cmd da prompt di dos sul nuovo server Windows 2012 R2: adprerp /forestPrep che dopo la richiesta di conferma è partito alla grande aggiornando lo schema senza errori né anomalie......

    Esecuzione comando riuscita
    ................................................................................
    ................................................................................
    ................................................................................
    ................................................................................
    ..................
    ................................................................................
    ................................................................................
    ....................................................................
    ................................................................................
    ................................................................................
    .................................................................
    ................................................................................
    ................................................................................
    ..............................................................................
    ................................................................................
    ................................................................................
    .................................................................
    Le informazioni a livello di foresta sono state aggiornate.

    E:\support\adprep>

    YES!!! EUREKA!!!



    venerdì 2 maggio 2014 16:14

Tutte le risposte

  • Ciao Nino, ho anch'io esattamente lo stesso problema nell'installazione ed innalzamento a domain controller di un server Windows 2012 R2 Std.

    L'articolo a cui hai fatto riferimento dice di eseguire manualmente l'aggiornamento dello schema da un altro domain controller senza dover necessariamente accedere al controller che dà l'errore; peccato che lanciando manualmente ADPREP dal supporto e dal server 2012 R2, l'errore che si ottiene è sempre lo stesso.... e quindi come se ne esce?

    Ecco l'output del comando in finestra di DOS eseguita sul server 2012 R2:

    E:\support\adprep>adprep /forestprep

    AVVISO DI ADPREP:

    Prima di eseguire adprep, verificare che tutti i controller di dominio Windows A
    ctive Directory nella foresta eseguano Windows Server 2003 o versione successiva
    .

    Si sta per aggiornare lo schema della foresta Active Directory denominata ..... ecc. ecc. (omissis)

    Adprep: impossibile recuperare dati dal server "xxx.dominio" tramite
    Strumentazione gestione Windows (WMI).
    [Azione utente]
    Per individuare le possibili cause dell'errore, controllare il file di log ADPre
    p.log nella directory C:\Windows\debug\adprep\logs\20140420024924.

    Si è verificato un errore Win32 in Adprep.
    Codice di errore: 0x5 Messaggio di errore: Accesso negato..

    Adprep non è in grado di completare la verifica dello schema di Exchange.
    [Stato/conseguenza]
    Schema di Servizi di dominio Active Directory non aggiornato.
    [Azione utente]
    Per individuare le possibili cause dell'errore, controllare il file di registro
    ADPrep.log nella directory C:\Windows\debug\adprep\logs\20140420024924.

    Si è verificato un errore Win32 in Adprep.
    Codice di errore: 0x5 Messaggio di errore: Accesso negato..

    Grazie. Giorgio

    domenica 20 aprile 2014 01:01
  • Ciao Giorgio, la KB indica alcuni prerequisiti quali livello di SP e livello di foresta/dominio. Presumo che ambedue i prerequisiti siano validi.

    Dovresti indicare come è composta l'infrastruttura (leggo chè c'è Exchange) e postare quanto riportato nel file adprep.log.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 21 aprile 2014 03:18
    Moderatore
  • sei andato a verificare  il file di registro
    ADPrep.log nella directory C:\Windows\debug\adprep\logs\20140420024924 ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 22 aprile 2014 06:51
    Moderatore
  • Ciao,

    ecco com'è la struttura:

    Server domain controller con GC: Windows 2003 R2 32bit ITA con SP2 (DC)
    Server domain controller con GC (added): Windows 2003 R2 32bit ITA con SP2 (DC)
    Server con Exchange 2003 (SP3): Windows 2003 R2 32bit ITA con SP2 (membro)
    Server DB: Windows 2008 R2 64bit ITA con SP1 (membro)

    Ora ho installato un nuovo server fisico con Windows 2012 R2 64bit ITA con n server virtuali con Windows 2012 R2 64 bit ITA; lo scopo è di creare dei nuovi server (tutti virtuali) che vadano a prendere le funzioni dei precedenti; almeno uno di questi, quindi, deve diventare un DC.

    Il livello di funzionalità del dominio è tutto Windows 2003

    Quando, sul nuovo server virtuale Windows 2012 R2 64 bit ITA cerco di promuoverlo a Domain Controller, tramite il suo Wizard, durante la verifica dei prerequisiti, mi viene mostrato l'errore mostrato in figura

    e nel log mi viene mostrato quanto segue:

    [2014/04/23:01:41:18.342]
    Adprep ha creato il file di log 'C:\Windows\debug\adprep\logs\20140423014118-test\ADPrep.log'
    [2014/04/23:01:41:18.342]
    Variabili globali inizializzate.

    [Stato/conseguenza]

    L'esecuzione di Adprep verrà proseguita.
    [2014/04/23:01:41:18.347]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=Schema,CN=Configuration,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.347]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.347]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=BERNASRV01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.348]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.348]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=Schema,CN=Configuration,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.348]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.350]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=Infrastructure,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.350]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.350]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=BERNASRV01,CN=Servers,CN=Nome-predefinito-primo-sito,CN=Sites,CN=Configuration,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.351]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.356]
    Adprep: FSMO dello schema bernasrv01.hxxxxxx.it individuato.
    [2014/04/23:01:41:18.359]
    Adprep: connessione all'FSMO dello schema bernasrv01.hxxxxxx.it effettuata.
    [2014/04/23:01:41:18.359]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.359]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.359]
    Adprep: recupero di informazioni da Servizi di dominio Active Directory locale completato.
    [2014/04/23:01:41:18.359]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.360]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.360]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.360]
    LDAP API ldap_search_ext_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.360]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.360]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.360]
    Adprep: impossibile trovare l'attributo tokenGroups nell'oggetto RootDSE del controller di dominio Active Directory. Tale attributo non è disponibile in Windows Server 2003 o versione precedente. Adprep tenterà di ottenere i gruppi di token dall'oggetto utente.
    [2014/04/23:01:41:18.360]
    Parametri /userdomain e /user non specificati. Verrà utilizzato il dominio dell'utente attualmente connesso...
    [2014/04/23:01:41:18.360]
    Il dominio dell'utente attualmente connesso è hxxxxxx.IT.
    [2014/04/23:01:41:18.361]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.361]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.361]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.362]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.362]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=Administrator,CN=Users,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.363]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.374]
    Adprep: FSMO dell'infrastruttura bernasrv01.hxxxxxx.it individuato.
    [2014/04/23:01:41:18.376]
    Adprep connesso Infrastructure FSMO: bernasrv01.hxxxxxx.it.
    [2014/04/23:01:41:18.376]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.377]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.377]
    Adprep: recupero di informazioni da Servizi di dominio Active Directory locale completato.
    [2014/04/23:01:41:18.377]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.377]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.377]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.378]
    LDAP API ldap_search_ext_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.378]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.378]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.378]
    Adprep: impossibile trovare l'attributo tokenGroups nell'oggetto RootDSE del controller di dominio Active Directory. Tale attributo non è disponibile in Windows Server 2003 o versione precedente. Adprep tenterà di ottenere i gruppi di token dall'oggetto utente.
    [2014/04/23:01:41:18.378]
    Parametri /userdomain e /user non specificati. Verrà utilizzato il dominio dell'utente attualmente connesso...
    [2014/04/23:01:41:18.378]
    Il dominio dell'utente attualmente connesso è hxxxxxx.IT.
    [2014/04/23:01:41:18.378]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.379]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.379]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.379]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.379]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=Administrator,CN=Users,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.381]
    LDAP API ldap_search_s completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.395]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è (null).
    [2014/04/23:01:41:18.396]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.396]
    Adprep: recupero di informazioni da Servizi di dominio Active Directory locale completato.
    [2014/04/23:01:41:18.396]
    Adprep stava per richiamare la seguente LDAP API. ldap_search_s(). La voce di base per avviare la ricerca è CN=UID,CN=Schema,CN=Configuration,DC=hxxxxxx,DC=it.
    [2014/04/23:01:41:18.397]
    LDAP API ldap_search_s() completata. Il codice restituito è 0x0
    [2014/04/23:01:41:18.397]
    È stata determinato se l'installazione di Microsoft Windows Services per UNIX (SFU) è presente o meno. Nel caso in cui SFU fosse stato rilevato, adprep ha anche provveduto all'applicazione dell'Aggiornamento rapido Microsoft Q293783 per SFU.
    [2014/04/23:01:41:18.410]
    Adprep: impossibile recuperare dati dal server bernasrv01.hxxxxxx.it tramite Strumentazione gestione Windows (WMI).

    [Azione utente]

    Per individuare le possibili cause dell'errore, controllare il file di log ADPrep.log nella directory C:\Windows\debug\adprep\logs\20140423014118-test.
    [2014/04/23:01:41:18.410]
    Si è verificato un errore Win32 in Adprep.

    Codice di errore: 0x5 Messaggio di errore: Accesso negato..


    DSID Info:
    DSID: 0x1810012a
    HRESULT = 0x80070005
    NT BUILD: 9600
    NT BUILD: 16384

    [2014/04/23:01:41:18.410]
    Adprep non è in grado di completare la verifica dello schema di Exchange.

    [Stato/conseguenza]

    Schema di Servizi di dominio Active Directory non aggiornato.

    [Azione utente]

    Per individuare le possibili cause dell'errore, controllare il file di registro ADPrep.log nella directory C:\Windows\debug\adprep\logs\20140423014118-test.
    [2014/04/23:01:41:18.410]
    Si è verificato un errore Win32 in Adprep.

    Codice di errore: 0x5 Messaggio di errore: Accesso negato..


    DSID Info:
    DSID: 0x1810012a
    HRESULT = 0x80070005
    NT BUILD: 9600
    NT BUILD: 16384

    Anche eseguendo l'ADPREP /forestprep manualmente l'errore mostrato nel prompt di DOS è praticamente lo stesso

    Grazie mille per l'aiuto prezioso.

    Giorgio

    mercoledì 23 aprile 2014 00:00
  • In attesa di un approfondimento del messaggio "Adprep non è in grado di completare la verifica dello schema di Exchange.", potresti verificare la soluzione proposta nella seguente KB Errore "Impossibile eseguire controllo conflitto dello schema di Exchange" e ha esito negativo del controllo dei prerequisiti. Dai anche una lettura al seguente post http://mscheidler.blogspot.it/2013/03/promoting-windows-2012-server-into_18.html (leggi fino in fondo c'è un secondo script).

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    mercoledì 23 aprile 2014 06:47
    Moderatore
  • Grazie Nino,

    ho provato a controllare, ma sembra tutto a posto.

    Aiuto, non riesco ad uscirne e non so dove sbattere la testa..... non c'è qualcosa che mi possa dire "COSA NON VA" nell'operazione ADPREP /ForestPrep"? Il log che riporta "Si è verificato un errore Win32 in Adprep. Codice di errore: 0x5 Messaggio di errore: Accesso negato.." non è un granchè parlante!!

    Mannaggia!!

    Grazie a tutti per qualsiasi aiuto o suggerimento....

    giovedì 1 maggio 2014 16:19
  • Ciao, sei scuro che le impostazioni indicate nella KB 2737560 sono applicate?

    Un'alternativa (prova) potrebbe essere quella di transitare attraverso lo schema del 2008 per vedere se quello viene applicato.

    Se anche questa strada non porta risultati credo che l'unica soluzione sia quella di aprire un ticket a pagamento c/o il supporto tecnico.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 1 maggio 2014 21:03
    Moderatore
  • Ragazzi ho risolto!! Ho trovato un sacco di segnalazioni identiche alla mia in internet e nei vari forums sia targati Microsoft che non...... alla fine ho provato a fare le stesse cose evidenziate in questo post:

    http://social.technet.microsoft.com/Forums/en-US/d6dd1256-4561-4981-a24e-da075b5d79f3/adding-new-server-2012-dc-in-existing-2003-forestper e per la precisione:

    I ran into this issue only my error was slightly different:
    Verification of Prerequisites for Active Directory Preparation Failed. Unable to perform schema conflict check for domain domain.com
    Exception: Initialization Failure.
    My fix was to move the FSMO roles onto a different 2003 domain controller, and re-run the forest prep on 2012.

    Ha funzionato perfettamente anche per me: ho spostato tutti i ruoli FSMO dal primo domain controller Srv01 al secondo Srv02 (entrambi Windows 2003); ho atteso e verificato la replica e lo spostamento dei ruoli: poi riavviato il cmd da prompt di dos sul nuovo server Windows 2012 R2: adprerp /forestPrep che dopo la richiesta di conferma è partito alla grande aggiornando lo schema senza errori né anomalie......

    Esecuzione comando riuscita
    ................................................................................
    ................................................................................
    ................................................................................
    ................................................................................
    ..................
    ................................................................................
    ................................................................................
    ....................................................................
    ................................................................................
    ................................................................................
    .................................................................
    ................................................................................
    ................................................................................
    ..............................................................................
    ................................................................................
    ................................................................................
    .................................................................
    Le informazioni a livello di foresta sono state aggiornate.

    E:\support\adprep>

    YES!!! EUREKA!!!



    venerdì 2 maggio 2014 16:14
  • Complimenti e grazie per aver condiviso la soluzione con la community.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 2 maggio 2014 18:16
    Moderatore
  • Ottimo. Quel post lo avevo letto un paio di volte ma non sembrava applicabile proprio per la descrizione "Verification of Prerequisites for Active Directory Preparation Failed. Unable to perform schema conflict check for domain domain.com" ma hai fatto bene a tentare.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    domenica 4 maggio 2014 07:26
    Moderatore