none
win2003R2 dc 作 adprep /rodcprep 無法成功!! RRS feed

  • 問題

  • 請問一下如果我2003r2 DC 作 adprep /rodcprep 時會失敗,已經參照http://support.microsoft.com/kb/949257/en-us做過修正,但是再次執行 adprep /rodcprep時仍會失敗

    以下是log

    [2011/03/18:16:07:39.562]
    Adprep created the log file ADPrep.log under C:\WINNT\debug\adprep\logs\20110318160739 directory.
    [2011/03/18:16:07:39.578]
    Adprep connected to the domain FSMO: dc01.xxxx.com.tw.
    [2011/03/18:16:07:39.578]
    Adprep was about to call the following LDAP API. ldap_search_s(). The base entry to start the search is (null).
    [2011/03/18:16:07:39.578]
    LDAP API ldap_search_s() finished, return code is 0x0
    [2011/03/18:16:07:39.578]
    Adprep successfully retrieved information from the local Active Directory Domain Services.
    [2011/03/18:16:07:39.593]
    Adprep successfully initialized global variables.

    [Status/Consequence]

    Adprep is continuing.
    [2011/03/18:16:07:39.593]
    Adprep was about to call the following LDAP API. ldap_search_s(). The base entry to start the search is CN=Partitions,CN=Configuration,DC=xxxx,DC=com,DC=tw.
    [2011/03/18:16:07:39.593]
    LDAP API ldap_search_s finished, return code is 0x0
    [2011/03/18:16:07:39.609]
    Adprep detected the operation on partition DC=DomainDnsZones,DC=honchuan,DC=com,DC=tw has been performed. Skipping to next partition.

    ==============================================================================
    [2011/03/18:16:07:39.625]
    ==============================================================================

    Adprep found partition DC=ForestDnsZones,DC=honchuan,DC=com,DC=tw, and is about to update the permissions.
    [2011/03/18:16:07:40.000]
    Adprep was about to call the following LDAP API. ldap_search_s(). The base entry to start the search is CN=Infrastructure,DC=ForestDnsZones,DC=honchuan,DC=com,DC=tw.
    [2011/03/18:16:07:40.078]
    LDAP API ldap_search_s finished, return code is 0x0
    [2011/03/18:16:07:40.078]
    Adprep could not contact a replica for partition DC=ForestDnsZones,DC=xxxx,DC=com,DC=tw.
    [2011/03/18:16:07:40.093]
    Adprep encountered an LDAP error.

    Error code: 0x0. Server extended error code: 0x0, Server error message: (null).
    [2011/03/18:16:07:40.125]
    Adprep failed the operation on partition DC=ForestDnsZones,DC=xxxx,DC=com,DC=tw. Skipping to next partition.

    ==============================================================================
    [2011/03/18:16:07:40.140]
    Adprep detected the operation on partition DC=xxxx,DC=com,DC=tw has been performed. Skipping to next partition.

    ==============================================================================
    [2011/03/18:16:07:40.171]
    Adprep completed with errors. Not all partitions are updated. See the ADPrep.log in the C:\WINNT\debug\adprep\logs\20110318160739 directory for more information.

     

    To successfully update all partititions, the current logged on user needs to be a member of Enterprise Admins group.  If that is not the case, please correct the problem, and then restart Adprep.

    其中ForestDnsZones應該是有問題,請問一下我要如何排除,或者有高手遇到過已經完全解決了,麻煩大家

    2011年3月18日 上午 08:46

解答

所有回覆

  • 參考下面KB就可以解決此問題

    Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"
    http://support.microsoft.com/kb/949257/en-us

    Thanks

    2011年3月18日 上午 10:36
  • Dear Vincent:

                       我已經參照這個kb去處理了,確定ForestDnsZones與DomainDnsZones都已經變更了.但是再次執行

    adprep /rodcprep 仍然會出現此問題.謝謝

    2011年3月18日 上午 11:05
  • 有確定過DomainDnsZones & ForestDnsZones內Infrastructure的fSMORoleOwner值是正確的嗎?

    Thanks

    2011年3月18日 下午 03:48
  • 我有兩台dc,兩台ldifde的指令dump出來的值看起來是正確的,但是於ADSI EDIT有一台DC 於CN=infrastructure 的

    fsmoroleowner 的值會出現"無法讀取角色擁有者的屬性",就算清除掉在重新設定也沒用,是因為這邊的問題嗎??,那要如何處理,感謝Vincent 的協助,謝謝

     

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Dear Vincent:

    再請問一下,假設我把有問題那台fsmoroleowner裡面的值,假設本來是去對應pdc那台機器(這裡假設是dc01),  我把他再修正成對應自己(這裡假設是dc02),剛剛這樣設定看起來沒問題了,而且我做了adprep32 /rodcprep , log看起來是正常了,我可以就這樣把2008R2接下去升級成dc嗎??還是

    我的fsmoroleowner 裡的值一定要對應到pdc這台??

     

    =============================================================

    我剛剛終於弄懂了,fsmoroleowner所對應的值原來是fsmo infrastructure owner的值,我剛剛

    netdom query 才發現,那我要如何讓他順利從dc02遷移到dc01.我剛試過再次正常的遷移從windows下看是正常,但adsi edit內的屬性還是異常,是要直接用ntdsutil強制搬移嗎??

    Vincent 抱歉,我的問題很多.謝謝

    2011年3月21日 上午 01:00
  • fsmoroleowner這個值 & netdom query fsmo顯示的不一樣是因為這是一個已知問題

    所以才要透過 http://support.microsoft.com/kb/949257/en-us 這篇文章內的Script進行修正

    修正後就可以正常進行RODC的ADPrep動作了 , 正常如果確認五大角色的分配 , 直接使用netdom query fsmo查看即可

    Thanks

    2011年3月21日 上午 02:26
  • 不過我現在的問題是出在我作了SCRIPT後,netdom query fsmo看到的都是正常的,但是adprep /rodcprep還是過不去,而我的DC02 中adsi edit看到fsmoroleowner會出現我前面敘述的情形,dc01中是正常的,不過我現在的做法是把infrastructure owner改回dc02,而不轉移到我的pdc dc01中,這樣我的adprep /rodcprep 就會過了.我想請教的是,如果我安全性移轉infrastructure owner有問題,我要如何徹底解決這個問題呢?是要用ntdsutil強制移轉到pdc,然後這台就不用了,還是就讓他這樣繼續使用下去??如果繼續用有什麼後續的問題嗎??

    2011年3月21日 上午 02:56
  • 我個人是感覺你可以繼續使用下去

    然後等過一陣子真的覺得這台有問題的機器沒有用的話在退下來

    • 已提議為解答 edison_ting 2014年2月5日 上午 03:56
    2011年3月23日 上午 08:49
  • 麻煩你用執行下面指令(後面網域請改成你的網域名稱) ,

    ldifde -f C:\Infra_DomainDNSZones.ldf -d "CN=Infrastructure,DC=DomainDnsZones,DC=domain,DC=com" -l fSMORoleOwner

    ldifde -f C:\Infra_ForestDNSZones.ldf -d "CN=Infrastructure,DC=DomainDnsZones,DC=domain,DC=com" -l fSMORoleOwner

    netdom query fsmo > C:\fsmo.txt

    然後把產出得三個檔案上傳到網路上給我們看看 (C:\底下的Infra_DomainDNSZones.ldf & Infra_ForestDNSZones.ldf & C:\fsmo.txt )

    Thanks

    2011年3月23日 上午 10:19
  • 感謝各位的協助~最近看起來沒什麼大問題...我打算暫時這樣用下去.有問題的話再請教大家了..謝謝

    2011年3月24日 上午 02:21
  • 順便補充一下

    有關於Ldifde的相關資訊可以參考這一篇文章

    LDIFDE - Export / Import data from Active Directory - LDIFDE commands

    因為假如有對指令不熟的話可以了解其中的意思

    2011年3月24日 上午 03:36