none
Windows2003からWindows2012移行時、AD昇格させようとすると「ADPrep 実行の失敗」になる RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    タイトルの通りです。
    いろいろ調べましたが、わかりませんでした。

    現環境
     ・DC2台構成
     ・Win2003 Standard SP2 物理マシン(FSMO)
       (-> 以後2003DC1.AAAAA.BBBBB)
     ・Win2003 Standard SP2 物理マシン
       (-> 以後2003DC2.AAAAA.BBBBB)
     新環境
     ・DC2台構成にする予定
     ・Win2012 Standard (FSMO) Hyper-V環境でADDSインストール
       (-> 以後2012DC1.AAAAA.BBBBB)
     ・Win2012 Standard Hyper-V環境で構築中でADDS未インストール
       (-> 以後2012DC2.AAAAA.BBBBB)

    新環境のWin2012DC1.AAAAA.BBBBB/Win2012DC2.AAAAA.BBBBBは既存のドメインに参加済みです。
    Win2012DC1.AAAAA.BBBBBのログインユーザーは「Domain Admins」,「Schema Admins」,「Enterprise Admins」
    に属するユーザーに設定しています。

    Windows Server 2003がDCのドメインにWindows Server 2012をDCとして追加し、
    機能を移行しようとしていますが、Windows Server 2012をDCに昇格させようとすると、
    下記のエラーが発生して失敗してしまいます。

    *****************************************************************
    ADPrep 実行の失敗-->
    Microsoft.DirectoryServices.Deployment.ADPrepLdapException:そのようなオブジェクト
    はありません。サーバー拡張エラー:8333.サーバー拡張メッセージ:0000208D:NameErr:
    DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
               'CN=System,DC=AAAAA,DC=BBBBB'
    Adprep はオブジェクト CN=IP Security,CN=System,DC=AAAAA,DC=BBBBB のセキュリティ記述子を変更できませんでした。
    [状態/結果]
    ADPREP は既存のセキュリティ記述子を新しいアクセス制御エントリ (ACE) に結合できませんでした。
    [ユーザーによる操作]
    詳細については C:\Windows\debug\adprep\logs\20160123082238 ディレクトリのログ ファイル ADPrep.log を確認してください。
    [2016/01/23:08:22:38.369]
    Adprep で LDAP エラーが発生しました。
    エラー コード: 0x20。サーバーの拡張エラー コード: 0x208d、サーバーのエラー メッセージ: 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:
     'CN=System,DC=AAAAA,DC=BBBBB'
    *****************************************************************
    どういう状態なのかわからない状況で
    どちらのサーバーに対して何をしてやればいいのか、どこをどう確認すればいいか
    わかる方いましたらご教示お願い致します。



    2016年1月23日 11:06
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    dcdiagを見る限りですが、FRSのReplication Memberの整合性に問題がある、と出ているようです。

    エラーの直接の原因かどうかはわかりませんが、adprep実行時にはドメインコントローラが正常に動作しているかどうか(とくに複製の整合性は重要です)チェックされ、問題がある場合は動作しません。

    したがって、まずはドメインコントローラのヘルスチェックが必要かと思います。状況から、以前構築したドメインコントローラを降格せずに撤去した、といった可能性が考えられますが、この場合撤去済みのドメインコントローラ情報を、利用中のActive Directoryから手動ですべて取り除かないと、他のドメインコントローラが正常化しません。

    方法については、以下を参照になさってください。

    https://support.microsoft.com/ja-jp/kb/216498

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年1月27日 1:50
    • 回答としてマーク 佐伯玲 2016年2月10日 2:01
    2016年1月26日 1:26
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    AdPrepエラーの意味ですが、「CN=SYSTEM,DC=AAAAA,DC=BBBBBオブジェクトが見つけられないため、CN=IP Security,CN=SYSTEM,DC=AAAAA,DC=BBBBBオブジェクトの設定を変更できない」といっています。

    エラーの直接的な意味は、Windows Server 2003 上の CN=SYSTEM,DC=AAAAA,DC=BBBBBがないといっていますが、本当にない場合正常に動作しませんので、ADPrepを実行しているアカウントの権限により該当オブジェクトにアクセスできないのだろう、と思います。

    一番簡単な解決方法は、ビルトインのドメインAdministratorでWindows Server 2012にログオンして昇格を行っていただくことかと思います。それがどうしてもできない場合、管理者アカウントでログオンした状態で、コマンドプロンプトを[管理者として実行]で起動し、adprep /forestprepを行ってください。(cd-rom上のadprepがあるディレクトリにcdしていただく必要があります。)

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年1月23日 15:25
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンさん
    返信ありがとうございます。
    Windows2003のADの管理者アカウント(Administrator)でも同様にエラーが発生します。
    2003DC1.AAAAA.BBBBBはプライマリ、2003DC2.AAAAA.BBBBBはセカンダリで運用しています。
    adprep /forestprepは2003DC1.AAAAA.BBBBB上で行うでいいでしょうか?
    2003DC2.AAAAA.BBBBBも同じようにadprep /forestprepは必要でしょうか?
    その他、現ドメインがうまく機能しているかdcdiagで確認しました。
    エラーはでているようですが、これもまたいまいちわかりません。

    **************************************************

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
      
       Testing server: Default-First-Site-Name\Win2012DC1
          Starting test: Connectivity
             ......................... Win2012DC1 passed test Connectivity

    Doing primary tests
      
       Testing server: Default-First-Site-Name\Win2012DC1
          Starting test: Replications
             ......................... Win2012DC1 passed test Replications
          Starting test: NCSecDesc
             ......................... Win2012DC1 passed test NCSecDesc
          Starting test: NetLogons
             ......................... Win2012DC1 passed test NetLogons
          Starting test: Advertising
             ......................... Win2012DC1 passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... Win2012DC1 passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... Win2012DC1 passed test RidManager
          Starting test: MachineAccount
             ......................... Win2012DC1 passed test MachineAccount
          Starting test: Services
             ......................... Win2012DC1 passed test Services
          Starting test: ObjectsReplicated
             ......................... Win2012DC1 passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... Win2012DC1 passed test frssysvol
          Starting test: frsevent
             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.
             ......................... Win2012DC1 failed test frsevent
          Starting test: kccevent
             ......................... Win2012DC1 passed test kccevent
          Starting test: systemlog
             An Error Event occured.  EventID: 0xC0000019
                Time Generated: 01/23/2016   13:35:33
                (Event String could not be retrieved)
             An Error Event occured.  EventID: 0xC0002715
                Time Generated: 01/23/2016   13:37:51
                (Event String could not be retrieved)
             ......................... Win2012DC1 failed test systemlog
          Starting test: VerifyReferences
             Some objects relating to the DC Win2012DC1 have problems:
                [1] Problem: Missing Expected Value

                 Base Object: CN=Win2012DC1,OU=Domain Controllers,DC=AAAAA,DC=BBBBB

                 Base Object Description: "DC Account Object"

                 Value Object Attribute Name: frsComputerReferenceBL

                 Value Object Description: "SYSVOL FRS Member Object"

                 Recommended Action: See Knowledge Base Article: Q312862

                
                [1] Problem: Missing Expected Value

                 Base Object:

                CN=NTDS Settings,CN=Win2012DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=AAAAA,DC=BBBBB

                 Base Object Description: "DSA Object"

                 Value Object Attribute Name: serverReferenceBL

                 Value Object Description: "SYSVOL FRS Member Object"

                 Recommended Action: See Knowledge Base Article: Q312862

                
             ......................... Win2012DC1 failed test VerifyReferences
      
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
      
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
      
       Running partition tests on : AAAAA
          Starting test: CrossRefValidation
             ......................... AAAAA passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... AAAAA passed test CheckSDRefDom
      
       Running enterprise tests on : AAAAA.BBBBB
          Starting test: Intersite
             ......................... AAAAA.BBBBB passed test Intersite
          Starting test: FsmoCheck
    **************************************************
    現ドメインでしなければならないことがあるように感じますが
    何をどうすればよいのかわかりません。
    ご教示お願いできますでしょうか?
    2016年1月24日 10:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    dcdiagを見る限りですが、FRSのReplication Memberの整合性に問題がある、と出ているようです。

    エラーの直接の原因かどうかはわかりませんが、adprep実行時にはドメインコントローラが正常に動作しているかどうか(とくに複製の整合性は重要です)チェックされ、問題がある場合は動作しません。

    したがって、まずはドメインコントローラのヘルスチェックが必要かと思います。状況から、以前構築したドメインコントローラを降格せずに撤去した、といった可能性が考えられますが、この場合撤去済みのドメインコントローラ情報を、利用中のActive Directoryから手動ですべて取り除かないと、他のドメインコントローラが正常化しません。

    方法については、以下を参照になさってください。

    https://support.microsoft.com/ja-jp/kb/216498

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年1月27日 1:50
    • 回答としてマーク 佐伯玲 2016年2月10日 2:01
    2016年1月26日 1:26
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、あきらかにあきら さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからさらに返信がいただけておりますのでご確認いただけましたらこちらのスレッドへご返信くださいね。
    解決に至った際には「回答としてマーク」を設定いただけますようお願い致します。

    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年2月3日 2:14
    |