Устранение ошибок, которые возникают при windows компьютеров на основе windows домена

Добавление пользователей и компьютеров в домен Active Directory

После создания нового домена Active Directory создайте учетную запись пользователя в этом домене для использования в качестве административной учетной записи. При добавлении этого пользователя в соответствующие группы безопасности используйте эту учетную запись для добавления компьютеров в домен.

1. Чтобы создать нового пользователя, выполните следующие действия:

   1. Нажмите кнопку Начните, укажи административные средства, а затем нажмите кнопку Пользователи и компьютеры Active Directory, чтобы запустить консоль Active Directory Users and Computers.

   2. Щелкните созданное доменное имя, а затем разойдите содержимое.

   3. Правой кнопкой мыши Пользователи , указать на Новый, а затем нажмите кнопку Пользователь.

   4. Введите имя, фамилию и имя пользователя нового пользователя, а затем нажмите кнопку Далее.

   5. Введите новый пароль, подтвердите пароль и нажмите кнопку, чтобы выбрать один из следующих флажков:

      • Пользователи должны изменить пароль в следующем логотипе (рекомендуется для большинства пользователей)
      • Пользователь не может изменить пароль
      • Срок действия пароля никогда не истекает
      • Учетная запись отключена

      Щелкните кнопку Далее.

   6. Просмотрите предоставленные сведения, и если все правильно, нажмите кнопку Готово.

2. После создания нового пользователя в группу, которая позволяет этому пользователю выполнять административные задачи, ввести членство в этой учетной записи пользователя. Так как это лабораторная среда, которую вы контролируете, вы можете предоставить этой учетной записи пользователя полный административный доступ, сделав ее членом групп администраторов схемы, Enterprise и доменов. Чтобы добавить учетную запись в группы администраторов схемы, Enterprise и администраторов домена, выполните следующие действия:

   1. На консоли Active Directory Users and Computers щелкните правой кнопкой мыши новую учетную запись, созданную вами, и нажмите кнопку Свойства.
   2. Щелкните вкладку «Член» и нажмите кнопку Добавить.
   3. В диалоговом окне Выбор групп укажите группу и нажмите кнопку ОК, чтобы добавить в список нужные группы.
   4. Повторите процесс выбора для каждой группы, в которой пользователю требуется членство в учетной записи.
   5. Для завершения нажмите кнопку ОК.

3. Заключительный шаг в этом процессе — добавление сервера-участника в домен. Этот процесс также применяется к рабочим станциям. Чтобы добавить компьютер в домен, выполните следующие действия:

   1. Войдите на компьютер, который необходимо добавить в домен.

   2. Щелкните правой кнопкой мыши «Мой компьютер», а затем нажмите кнопку Свойства.

   3. Щелкните вкладку «Имя компьютера», а затем нажмите кнопку Изменить.

   4. В диалоговом окне Изменение имени компьютера щелкните Домен под участником, а затем введите доменное имя. Нажмите кнопку ОК.

   5. При запросе введите имя пользователя и пароль ранее созданной учетной записи, а затем нажмите кнопку ОК.

      Создается сообщение, которое приветствует вас в домене.

   6. Нажмите кнопку ОК, чтобы вернуться на вкладку «Имя компьютера», а затем нажмите кнопку ОК, чтобы закончить.

   7. Перезапустите компьютер, если вам будет предложено это сделать.

Решение

1. Убедитесь, что политика контроллеров доменов по умолчанию существует в Active Directory (AD).

   Если политики контроллера домена не существует, оцените, обусловлено ли это условие простой задержкой репликации, сбоем репликации AD или удалением политики из Active Directory. Если политика удалена, обратитесь в службу поддержки Майкрософт, чтобы воссоздать недостающую политику с GUID политики по умолчанию (Globally Unique Identifier). Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.

   Если политика контроллеров домена по умолчанию существует в Active Directory для некоторых контроллеров домена, но не для других, оцените, вызвана ли эта непоследовательность простой задержкой репликации или сбоем репликации. Разрешить по мере необходимости.

2. Убедитесь, что учетной записи пользователя операции DCPROMO была предоставлена «Включить компьютер и учетные записи пользователей, чтобы доверять делегирования» пользователь прямо в политике контроллеров домена по умолчанию.

   Запустите «whoami /all», чтобы убедиться, что в маркере безопасности пользователей существует право пользователя «Включить учетные записи компьютера и пользователя для делегирования».

   Примечание

   По умолчанию это право предоставляется членам группы безопасности администраторов в целевом домене. Встроенная учетная запись администратора является членом этой группы безопасности, но может быть удалена.

   

   

   

   

   

   

   

   

   

   

   • Если пользователь, помимо встроенной группы администраторов, занимается промоакциями DCPROMO, добавьте эту учетную запись пользователя в группу безопасности Администраторы или добавьте учетную запись пользователя «Включить учетные записи компьютера и пользователя для делегирования» прямо в политике контроллеров домена по умолчанию.
   • «Включить учетные записи компьютеров и пользователей для делегирования» недавно было изменено, или политика предоставления учетной записи пользователя DCPROMO существует на некоторых контроллерах домена в домене, но не другие, проверьте для простой задержки репликации или сбоя репликации в Active Directory и репликации файловой системы (FSR) / Распределенная репликация файловой системы (DFSR).
   • Если политика была недавно изменена, запишите учетную запись пользователя DCPROMO и вопишите ее.

3. Убедитесь, что политика контроллеров домена по умолчанию связана с OU контроллеров домена и что все учетные записи компьютера DC остаются в этом OU.

   Если учетные записи компьютера DC остаются в альтернативном контейнере OU, переместите все учетные записи компьютера DC в OU контроллеров домена или привяжете политику контроллеров домена по умолчанию к альтернативному контейнеру OU.

4. Убедитесь, что часть файловой системы политики контроллеров домена по умолчанию существует в доле SYSVOL dc, используемой для применения политики на продвигаемом или пониженном компьютере.

   Если нет, это может быть по одной или нескольким из следующих причин:

   • Задержка репликации в FRS / DFSR
   • Сбой репликации в FRS / DFSR
   • Политика удалена из SYSVOL. Если политика удалена, обратитесь в Службу поддержки Майкрософт, чтобы воссоздать недостающую политику с GUID политики по умолчанию. Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.

5. Политика домена по умолчанию или политика в целом не применяется к зарегистрированным на пользователе

   Чтобы проверить наследование политики, Windows управления инструментами (WMI) фильтрации или проблемы дескриптора безопасности, которые могут препятствовать политике применяться, запустите следующую команду:

Подробнее

Подробнее об этом поведении читайте в Служба сетевого входа в систему на Windows Server 2008 и на контроллерах доменов Windows Server 2008 R2 не позволяет использовать старые криптографические алгоритмы, совместимые с Windows NT 4.0 по умолчанию в https://support.microsoft.com/kb/942564

Для получения дополнительной информации об изменении соответствующего GPO см. Изменение политик безопасности в политике контроллеров доменов по умолчанию в https://technet.microsoft.com/library/cc731654.aspx.

Чтобы оставить отзыв по Services Hub или содержимому в целом, отправьте свой отклик через UserVoice. По конкретным запросам и обновлениям контента, касающимся Services Hub, пожалуйста, свяжитесь в нашей командой поддержки, чтобы отправить обращение.

Решение

Чтобы устранить эту проблему, выполните следующие действия:

1. Убедитесь, что все действия и условия в разделе «Разрешение» статьи База знаний 2002413 для вашей среды.

2. Если продвижение контроллера домена по-прежнему не удается даже после того, как вы убедитесь, что пользователь также имеет разрешение SeEnableDelegationPrivilege, проверьте ADSIEdit.msc, чтобы проверить эффективные разрешения пользователя на раздел домена:

   1. Нажмите кнопку Начните, нажмите кнопку Запустить, а затем введите adsiedit.msc.

   2. Расширь контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и нажмите кнопку Свойства.

   3. На вкладке Безопасность нажмите кнопку Advanced.

   4. На вкладке Эффективный доступ введите имя пользователя или группы пользователя, который выполняет не выполненную операцию в DCPromo.

   5. Подтверждение того, была ли предоставлена реплика Add/Remove в разрешении на доступ к домену.

3. Если разрешение Add/Remove Replica In Domain отсутствует для пользователя или группы, добавьте его с помощью ADSIEdit.msc:

   1. Нажмите кнопку Начните, нажмите кнопку Запустить, а затем введите adsiedit.msc.

   2. Расширь контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и нажмите кнопку Свойства.

   3. На вкладке Безопасность нажмите кнопку Advanced.

   4. На вкладке Permissions добавьте реплику Add/Remove в разрешении на доступ к домену для нужного пользователя или группы следующим образом:

      Тип: Разрешить
      Применяется только к: Только этот объект

Причина

Эта проблема может возникнуть по любой из этих причин:

• Служба Netlogon запускается до готовности сети. Инициализация сетевого стека и адаптеров часто начинается примерно в одно и то же время. Некоторые сетевые адаптеры и коммутаторы имеют проверки уникальности ссылок и проверки уникальности MAC-адресов, которые для выполнения более длительные, чем время ожидания, назначенное Для Netlogon для обнаружения подключения к сети.
• Решения, которые проверяют состояние нового члена сети, задерживают подключение к сети и возможность доступа к контроллерам домена. Если включено автоматическое подключение к каналу прямого доступа, для этого может потребоваться больше времени, чем позволяет Netlogon.
• Процесс проверки подлинности 802.1X задерживает подключение к контроллерам домена.
• Клиент испытывает задержку с извлечением IP-адреса с сервера DHCP. Это задерживает отображение сетевого интерфейса.

Group Policy в Windows Vista и более поздних версиях написана для переговоров о сетевом состоянии с включенной поддержкой NLA. И она ждет сеть с подключением к DC. Однако групповая политика может начаться преждевременно из-за приложения политики. Это особенно актуально, когда задержка в поиске сети чередуется между стартапами.

Предупреждение

При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

Отказано в доступе к указанному файлу. Возможно у вас нет нужных прав

Может случиться ситуация, что после переустановки Windows или еще по какой-то другой причине система Вам откажет в доступе к некоторым папкам или файлам на локальных дисках, особенно если на одном из таких дисков осталась предыдущая версия Windows.

Но что делать, если скажем у Вас на старом рабочем столе или в папке загрузок, или в папке документов, или еще в каком-то особенном месте находятся важные файлы? В настоящей статье рассмотрено данный вопрос и представлено два способа возврата доступа к таким папкам или файлам. Для примера, предложенные решения выполнялись в Windows 10, но нижеописанное справедливо для Windows 8 и Windows 7.

Вы администратор?

В большинстве случаев вам нужно быть администратором на своем ПК, чтобы вносить изменения в владельца файлов / папок. Возможно, вы сможете настроить разрешения в каталогах, которые принадлежат вам, но не будут иметь большого контроля в других местах.

Это сделано для того, чтобы все файлы на компьютере были приватными. Только администраторы могут получить доступ к файлам, принадлежащим другому пользователю. Кроме того, вам необходимо предоставить права администратора для внесения изменений в системные файлы, например, в папки Program Files и Windows.

Причины ошибки «Отказано в доступе к указанному файлу, возможно у вас нет нужных прав»

Среди причин появления проблемы следует отметить следующие:

• Доступ заблокировал вирусный зловред;
• Доступ блокирует антивирусная программа или системный брандмауэр;
• Доступ потерян вследствие случайного сбоя ПК;
• Пользователь запускает файл не от имени администратора;
• Запрашиваемый пользователем файл в данный момент недоступен (в частности, это касается доступа к сетевым «расшареным» файлам и папкам, расположенным на других компьютерах);
• Нужный файл был удалён или перемещён в другое место;
• Требуемый файл или его ярлык на рабочем столе повреждены;
• Виндовс по различным причинам заблокировала доступ к упомянутому файлу.В большинстве случаев причиной дисфункции является вирусный зловред

Исправьте ошибки доступа, отказавшись от прав собственности

Самое основное исправление, которое нужно попробовать, когда вы видите «Отказано в доступе к папке» — это взять на себя владение папкой через Проводник. Вот как это сделать.

Сначала щелкните правой кнопкой мыши нужную папку или файл и выберите «Свойства». В появившемся окне перейдите на вкладку Безопасность. Нас интересует кнопка «Дополнительно»; нажмите это.

В верхней части следующего окна вы увидите поле с надписью Владелец. Это, скорее всего, скажет «Невозможно отобразить текущего владельца», если у вас возникли проблемы

Нажмите на синюю ссылку Изменить рядом с этим, чтобы исправить это — обратите внимание, что для этого вам нужно быть администратором

Теперь вы увидите диалоговое окно с заголовком Выбор пользователя или группы . Внутри этого введите имя учетной записи нового владельца папки. Это может быть либо имя пользователя учетной записи, либо группа пользователей на вашем ПК. Группы включают в себя стандартные блоки, такие как «Администраторы» (если вы хотите, чтобы все администраторы компьютера владели им), или «Пользователи» (для всех, кто владеет ими). В домашнем использовании обычно имеет смысл передать право собственности одному человеку.

Мы предполагаем, что вы хотите стать владельцем этой папки под своей учетной записью, поэтому введите здесь свое имя пользователя. Если вы используете учетную запись Microsoft для входа в Windows 10, ваше имя пользователя — это первые пять букв вашего адреса электронной почты. Нажмите «Проверить имена», чтобы убедиться, что это правильно. Если это так, он автоматически изменится на PCNAME\USERNAME. Нажмите ОК.

Вернувшись в главное окно «Дополнительно», вы увидите поле внизу, которое начинается с Заменить все записи разрешений дочерних объектов. Если вы хотите, чтобы ваши изменения применялись ко всем папкам внутри текущей (что вы, вероятно, делаете в большинстве случаев), установите этот флажок. Затем дважды нажмите ОК, и все готово.

Будьте внимательны при изменении настроек владения файлами

При работе с ошибками «отказано в доступе» следует с осторожностью применять вышеуказанные действия. Избегайте владения папками в системных каталогах, таких как Windows, Program Files, Program Data или аналогичных

Решение проблемы

Для того чтобы войти в папку, которая заблокирована программой с появлением ошибки «Отказано в доступе», нужно воспользоваться одним из предложенных способов.

Применение утилиты TakeOwnershipEx

Данное приложение поможет заменить владельца файла или папки, получить права на объект. В «десятке» доступ к программным элементам ограничен на уровне NTFS. Владелец файлов – служба TakeOwnershipEx. В большинстве случаев доступ к папке или файлу для пользователей открыт только в режиме чтения. Полные права утилита выдает только Администраторам.

Применить софт можно следующим образом:

Открыть файл, следовать подсказкам Мастера.

• Запустить установленное приложение.
• В окне «Компоненты Windows» нажать на строку «Скачать и установить этот компонент».

• Снова запустить скачанный софт.
• Кликнуть по кнопке «TakeOwnership».

• Выбрать русский язык.
• Откроется каталог папок на жестком диске. Кликнуть по нужному объекту, затем – «Ok».

Появится окно об успешном выполнении операции, в котором пользователь увидит сообщение «Получен полный доступ к папке/файлу».

Настройки Windows

Если владелец цифрового устройства не желает скачивать и устанавливать сторонние утилиты на ПК или не удается выполнить операцию по другим причинам, устранить проблему с доступом к объекту можно, воспользовавшись «Проводником». Для восстановления доступа нужно следовать пунктам плана:

• Найти заблокированный элемент, кликнуть по нему ПКМ.
• В открывшемся меню выбрать пункт «Свойства».

В новом окне выбрать вкладку «Безопасность».

• Кликнуть по кнопке «Изменить».
• Найти учетную запись, под которой пользователь вошел в систему.
• Нажать по ней один раз ЛКМ.
• Отметить галочкой в нижней части меню пункт «Полный доступ».
• При отсутствии аккаунта нажать кнопку «Добавить».

• Вписать в строку логин пользователя, нажать кнопку «Проверить имена». При вводе данных нужно учитывать, что невозможно переместить сюда учетку, если пользователь не использовал верхние и нижние регистры. При правильном вводе информации система найдет и добавит запись.
• Нажать кнопку «Ok».
• В списке пользователей в первом открытом окне появится учетная запись.
• Поставить отметку возле строки «Полный доступ».
• Сохранить изменения разрешений, закрыть окно.

Юзеру останется только проверить, исчезла ли проблема с запуском приложения. В большинстве случаев получение полного доступа через «Проводник» помогает устранить неполадку.

Командная строка

Универсальный инструмент помогает юзерам настраивать компьютер для собственного удобства работы с ним. КС способствует активации скрытых объектов, отключению или включению определенных процессов, а также помогает открыть доступ к файлам и папкам.

Открыть элемент программы, к которому расположение недоступно, с помощью КС можно следующим способом:

• Открыть окно нажатием клавиш: «Win + R».
• Ввести в строку: «cmd». Нажать клавишу ввода.

• Выбрать в списке КС с правами Администратора.
• В открывшемся окне набрать команду: «takeown /F «C:\Folder\Lumpics» /R /D Y», где указать полный путь к файлу или папке вместо надписи в кавычках.

• В указанной папке расположено большое количество файлов, поэтому процесс займет некоторое время. Чем больше данных хранится, тем больше времени потребуется для результата.
• По завершению процесса юзер увидит соответствующее окно с разрешением прав доступа.

Изменение прав таким способом помогает пользователю открыть ранее заблокированный объект. Если с первого раза устранить проблему не удалось, юзеру нужно перепроверить запуск КС. Возможно, внешний инструмент программы был запущен без расширенных прав. Остается только повторить все действия.

Если ранее пользователю на компьютере с Windows 10 было отказано в доступе, то после выполнения рекомендаций, описанных выше, он снова может продолжать работу с папками и файлами в обычном режиме. Рекомендуется перед выполнением каких-либо действий предварительно выполнить полное сканирование системы на вирусы. Зараженные файлы также могут стать источником проблемы с доступом к содержимому.

Дополнительная информация

Если вы можете войти в домен без проблем, можно смело игнорировать ИД события 5719. Поскольку служба Netlogon может начаться до того, как сеть будет готова, компьютер может не найти контроллер домена logon. Поэтому регистрируется ИД события 5719. После того как сеть будет готова, компьютер снова попытается найти контроллер домена logon. В этой ситуации операция должна быть успешной.

В журнале Netogon.log записи, похожие на следующий пример, могут быть зарегистрированы:

Аналогичные ошибки могут быть допущены другими компонентами, которые требуют правильной работы контроллера домена. Например, групповая политика может не применяться при запуске системы. В этом случае сценарии запуска не запускают. Сбои групповой политики могут быть связаны с ошибкой Netlogon найти контроллер домена. Можно настроить групповую политику на более чувствительную реакцию на позднее подключение к сети.

Обходной путь

Существует несколько обходных способов решения этой проблемы, в зависимости от того, какое глобальное состояние миграции вы указали ранее.

Проблема возникает на этапе Подготовки или перенаправления

1. Если вы уже запускали или ранее, запустите следующую команду в качестве администратора домена:

2. Подождите, пока репликация Active Directory будет распространяться по всему домену, а также чтобы контроллеры домена Windows Server 2019 снова начали работу на этапе Начните.

3. Убедитесь, что SYSVOL является общим для этих контроллеров домена и что SYSVOL снова реплицируется как обычно с помощью FRS.

4. Убедитесь, что в этом домене Windows сервер 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллер домена. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

5. Понизить Windows контроллеры домена на основе Сервера 2019 до серверов-членов. Это временный шаг.

6. Перенос SYSVOL в DFSR обычно Windows сервер 2008 R2, Windows Server 2012 R2 и Windows Server 2016 контроллеры домена.

7. Продвижение серверов Windows Server 2019 в контроллеры домена.

Проблема возникает на этапе устранения

Этап ликвидации FRS не может быть откатан с помощью DFSRMIG. Если уже задана ликвидация FRS, можно использовать любой из следующих обходных пути.

Вариант 1

В этом домене по-прежнему Windows сервер 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллеры домена. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

1. Понизить Windows контроллеры домена на основе Сервера 2019. Это временный шаг.
2. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016 домена.
3. Продвижение серверов Windows Server 2019 в контроллеры домена.

Вариант 2

Все контроллеры домена в домене работают Windows Server 2019.

Примечание

• Шаг 6 этого обхода требует продвижения по крайней мере одного Windows Server 2008 R2, Windows Server 2012 R2 или Windows Server 2016 DC.
• При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Компания Microsoft не может гарантировать, что эти проблемы могут быть решены. Вносите изменения в реестр на ваш страх и риск.

1. В ADSIEDIT. Средство MSC измените следующее отличительное значение имени и атрибут в PDC Emulator:
   CN=DFSR-GlobalSettings, CN=System,DC= <domain> ,DC= <TLD> msDFSR-Flags = 0

2. Подождите, пока репликация Active Directory будет распространяться по всему домену.

3. На всех контроллерах Windows Server 2019 измените значение реестра типов DWORD Local State до 0:

   • Параметр реестра: локальное состояние
   • Путь реестра:
   • Значение реестра: 0
   • Тип данных: REG_DWORD

4. На всех контроллерах Windows Server 2019 перезапустите следующие службы, запустив следующие команды:

5. Убедитесь, что SYSVOL имеет общий доступ к этим контроллерам домена и что SYSVOL снова реплицируется как обычно с помощью FRS.

6. Продвижение одного или более Windows 2008 R2, Windows Server 2012 R2 или Windows Server 2016 контроллеров домена в этом домене. Убедитесь, что все разделы Active Directory и файлы в SYSVOL полностью итдируется из одного или более контроллеров домена и что они реплицирует Active Directory в обычном режиме, прежде чем на следующем шаге понизить все контроллеры домена Windows Server 2019. Дополнительные сведения см. в дополнительных сведениях, связанных с устранением неполадок с репликацией Active Directory.

   

   

   

   

   

   

   

   

   

7. Понизить Windows контроллеры домена на основе Сервера 2019 до серверов-членов. Это временный шаг.

8. Перенос SYSVOL в DFSR в обычном режиме на остальных контроллерах Windows Server 2008 R2, Windows Server 2012 R2 и Windows Server 2016 домена.

9. Продвижение серверов Windows Server 2019 в контроллеры домена.

10. Необязательный вариант: понижение Windows 2008 R2, Windows Server 2012 R2 или Windows Server 2016 dc, добавленных на шаге 6.

Причина

Все эти действия ожидаются.

• Версии DCDIAG Windows Server 2008/200R2 предназначены для тестирования RPCSS для общего параметра процесса Windows Server 2008, а не предыдущего изолированного параметра процесса, используемого в Windows Server 2003 и более старых операционных системах. Средство не различает OSs для этой службы.

• Версии DCDIAG Windows Server 2008/200R2 предполагают, что функциональный уровень домена Windows Server 2008 означает, что DCs реплицирует SYSVOL с DFSR.

• Версии Windows Server 2008/200R2 DCDIAG неправильно тестировали состояние доверия

• Windows Сервер 2008/2008 R2 не разрешает удаленное подключение к журналу событий на основе правил брандмауэра по умолчанию.

• Версия Windows Server 2003 DCDIAG не сообщает об ошибке, если она не может подключиться к журналу событий; он сообщает об этом только в том случае, если он подключается и находит ошибки.

• Версия Windows Server 2003 DCDIAG не тестировать конфигурацию службы RPCSS.

Обновление схемы AD до Windows Server 2012 R2 с помощью adprep

Монтируем установочный диск с 2008R2 и нам нужно скачать с него папку support\adprerp. Скопируем ее для примера в корень диска c:\

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-01

Adprep.exe — это средство командной строки, присутствующее на установочном диске любой версии Windows Server. Adprep.exe выполняет операции, которые должны быть выполнены в существующей среде Active Directory до того, как можно будет добавить контроллер домена, выполняющий эту версию Windows Server. Выполнение различных команд Adprep.exe с существующими контроллерами доменов для выполнения этих операций требуется в следующих случаях:

• Перед добавлением первого контроллера домена, работающего под управлением более поздней версии Windows Server, чем в существующем домене.При выполнении мастера установки доменных служб Active Directory (Dcpromo.exe), если программа Adprep.exe не выполнялась, выводится сообщение об ошибке.
• Перед обновлением существующего контроллера домена до более поздней версии Windows Server, если этот контроллер домена будет первым контроллером домена в домене или лесу, который будет выполнять эту версию Windows Server.

Открываем командную строку от имени администратора, и давайте посмотрим кто сейчас является Schema Master (Хозяин схемы), так как все действия нужно делать на нем. (более подробно о том Как определить FSMO хозяева операций читайте тут ) Вводим команду

netdom query fsmo

И видим что роли fsmo держит dc1.msk.pyatilistnik.org

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-02

Для того чтобы расширить схему леса AD вводим следующую команду из cmd.

adprep /forestprep

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-03

Вас уведомят каким требованиям должен соответствовать ваш парк DC, уверен что Windows 2000 уже как архаизм не используют нигде. Если все ок то вводим С и жмем enter

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-04

Версия схемы Active Directory в Windows Server 2012 — 69, Как узнать версию схемы Active Directory читаем тут. Следующим шагом нужно обновить схему домена, делается это командой.

adprep /damainprep

Как обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2-05

После этого осталось дожидаться окончания репликации изменений в схеме по всему лесу и проверить существующие контроллеры домена на наличие ошибок. Можно не ждать а принудительно реплицировать контроллеры домена. Вот так вот просто подготовить и обновить схему Active Directory с Windows Server 2008 R2 до версии Windows Server 2012 R2.

Материал сайта pyatilistnik.org