WindowsServer2008R2环境中配置ad的备用主机server2012r2

AD域提升为域控服务器报ADPrep执行失败及常见故障排除思路（已验证）【事件说明】

在现有的域控制器2008R2环境下配置备用主机服务器2012 r2 for ad时任何运行错误都会导致该域验证失败，即升级windows server 2012 R2到服务器2008 R2域环境下的域控制器时，报如下错误：

错误信息：System.ComponentModel.Win32Exception 连接到系统的设备不工作；

查看日志，报错：ADPrep执行失败，回调函数失败，无法访问主域控制器，找不到网络路径；

【问题分析】

安装提示输入日志路径查看ADPrep日志：

原因从上面的日志就知道了。

【关于ADPrep】：什么是Adprep.exe？

Adprep.exe 是一个命令行工具，包含在每个版本的 Windows Server 的安装盘中。Adprep.exe 执行必须在现有 Active Directory 环境中运行的域控制器上执行的操作，然后再添加运行该版本 Windows Server 的域控制器。

在运行 Windows Server 2012 或更高版本的服务器上，作为 AD DS 安装过程的一部分，Adprep.exe 命令会根据需要自动运行。这些命令需要在以下情况下运行：

在添加第一个运行 Windows Server 版本的域控制器之前，该版本晚于现有域中运行的最新版本。

在将现有域控制器升级到更高版本的 Windows Server 之前，如果该域控制器将是域或林中第一个运行该版本 Windows Server 的域控制器。

例如，如果您的组织有运行 Windows 2000 Server 或 Windows Server 2003 的域控制器，则在添加运行 Windows Server 2008 R2 的新域控制器或将现有域控制器之一升级到 Windows Server 2008 R2 之前，Support 中的 Adprep.exe必须运行现有域控制器上的 Windows Server 2008 R2 安装 DVD 的 Adprep 文件夹。

注意：

Adprep.exe 是该工具所有先前版本的汇总。换句话说，如果您当前有一个运行 Windows Server 2003 的域控制器，并且想要添加一个运行 Windows Server 2008 R2 的域控制器，只需从 Windows Server 2008 R2 操作系统磁盘运行 Adprep.exe。无需从 Windows Server 2008 运行此版本，因为 Windows Server 2008 R2 中的版本包含与先前版本相比的所有更改。

Adprep.exe 有什么作用？

Adprep.exe 具有执行各种操作的参数，这些操作有助于为运行更高版本的 Windows Server 的域控制器准备现有的 Active Directory 环境。并非所有版本的 Adprep.exe 都做同样的事情，但通常 Adprep.exe 可以做的不同类型的事情包括：

1）更新 Active Directory 架构

2）更新安全描述符

3）修改 SYSVOL 共享文件夹中 Active Directory 对象和文件的访问控制列表 (ACL)

4）根据需要创建新对象

5）根据需要创建新容器

有关 Adprep.exe 执行的更改的详细信息，请参阅以下资源：

对于 Windows Server 2012 及更高版本，请参阅 Adprep.exe 所做的更改。

对于 Windows Server 2008 R2，请参阅 Windows Server 2008 R2：Adprep.exe 更改附录以支持 AD DS。

对于 Windows Server 2008，请参阅 Windows Server 2008：Adprep.exe 更改附录以支持 AD DS。

对于 Windows Server 2003 R2，请参阅在 Windows Server 2003 R2 中扩展 Active Directory 架构 ()。

对于 Windows Server 2003，请参阅准备升级您的基础结构 ()。

在 Windows Server 2012 R2 和 Windows Server 2012 中使用 Adprep.exe 的注意事项

从 Windows Server 2012 开始，Adprep.exe 集成到 AD DS 安装过程中，并根据需要自动运行。例如，当您将第一个运行 Windows Server 2012 的域控制器安装到现有域和林中时，adprep/forestprep 和 adprep/domainprep 会自动运行并报告操作结果。

一些组织可能更喜欢在安装 AD DS 之前单独运行 Adprep.exe，或者只是扩展现有的 AD DS 架构以支持新功能，例如 Windows Server 2012 R2 中的设备注册服务。因此，Adprep.exe 也包含在操作系统磁盘的SupportAdprep 文件夹中。

同样从 Windows Server 2012 开始，只有 64 位版本的 Adprep.exe。它可以从任何运行 64 位版本的 Windows Server 2008 或更高版本的服务器远程运行。运行它的计算机可以加入域或工作组。它包括用于远程运行的新语法和参数选项。

【问题处理与思路】

1）将备用广告主机的域名解析添加到现有的DNS中；

2）勾选开启远程注册服务；（注意：这是在主域控制器上，而不是备用域上）

3）之前误安装广告证书服务，AD域控制器提示先决条件检查失败，然后删除角色。前提已经通过，应该排除这种情况下的错误；

此域控制器不能降级，因为它也是一个证书颁发机构。在仔细盘点 CA 的用途之前不要删除 CA – 如果它正在颁发证书，删除角色将导致中断。不建议在域控制器上运行 CA

4）在主域控制器服务器上启动远程注册服务：

5）再次尝试升级域控制器，操作成功，问题已解决。如下所示：

6）如果不成功，请执行以下操作：让 dcdiag.exe 和 repadmin.exe 验证林的整体健康状况，它们将指示可能会阻止进一步的域控制器升级的细微错误配置。进一步调查处理。

7）使用 AutoRuns.exe、任务管理器或 MSinfo32.exe 检查您的计算机是否存在可能造成干扰的第三方软件。

删除第三方软件（不仅仅是禁用该软件，以免阻止驱动程序加载）。

8）在升级失败的计算机以及复制伙伴域控制器上安装 NetMon 3.4，并使用双向网络捕获分析升级过程。

将此与您的工作实验室环境进行比较，以了解健康升级是什么样的以及失败的地方。此时任何运行错误都会导致该域验证失败，错误可能出现在林对象、非默认安全更改或网络中，而这个新的域控制器可能会受到 DNS、防火墙、主机入侵防御软件或其他外部因素的错误配置的负面影响。

9）检查dcpromo.log和dcpromoui.log；

10）如果报错：无法从林中读取域列表，找不到指定域的域控制器：

验证 DNS 客户端设置、LDAP 功能和防火墙规则

11）RODC 无法升级，因为没有执行 rodcprep：使用 Windows Server 2012 准备林或使用 adprep.exe /rodcprep

12）Domainprep未执行：使用Windows Server 2012准备域或使用adprep.exe /domainprep

13）Forestprep 未执行：使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep

14）林架构不匹配：使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep

15）指定域的RID的主机离线：

使用 netdom.exe 查询 fsmo 来检测 RID 主机。使其联机并使其可供您正在推广的域控制器访问。

16）域命名主机离线：

使用 netdom.exe 查询 fsmo 来检测域命名主机。使其联机并使其可供您正在推广的域控制器访问。

17）林功能级别太低（错误仅适用于 Windows Server 2012）：

将林功能级别至少提升到 Windows Server 2003 本机。Windows 2000 和 Windows NT 4.0 不再是受支持的操作系统。

18）域功能级别太低（错误仅适用于Windows Server 2012）：

将域功能级别至少提升到 Windows Server 2003 本机。Windows 2000 和 Windows NT 4.0 不再是受支持的操作系统。

19）其他AD域故障，请参考官方文档：

附录：AD故障排除流程图：