Зафиксируйте ошибку, определяющую, требует ли целевая среда adprep в Windows Server 2012, во время продвижения контроллера домена
Для Вас для отправки почты на порте 587 сервер на другом конце должен слушать на порте 587, который это, вероятно, не.
Если Ваш исходящий порт блоков поставщика 25 (и много жилых ISPs делают; те, которые не делают, должны, это быть просто хорошей практикой), затем, необходимо будет настроить Постфикс для отправки всей исходящей почты в почтовый сервер ISP для доставки.
В большинстве случаев можно установить следующее в постфиксе main.cf передавать всю почту к почтовому серверу Вашего ISP:
relayhost = mail.your-isp.com
См. также постфиксную документацию.
Оказывается, у меня не было активный мастер схемы в моем домене. Я спросил здесь о том, как получить активного владельца схемы. Имя было правильным, но имя машины было именем, которое давно было выключено и списано, но никто не передавал роль хозяина схемы, прежде чем она умерла.
Вот что мне пришлось сделать:
Windows Server 2012 пытается спасти вас от запуска adprep, в некоторых случаях не может. В моем случае, кто-то создал контроллер домена и передал серверу роль PDC, но не роль хозяина схемы, а затем удалил главный сервер схемы без обычной передачи роли хозяина схемы. Диагностировать подобные проблемы при переходе с 9-летней версии Windows на последнюю версию сложно, потому что в Windows Server 2012 вы получаете ошибки Win32, и эти ошибки представляют собой просто большие отрицательные целые числа, как показано в моем вопросе. Но даже попытки обновления с 2003 до 2008 R2 были заблокированы аналогичным образом, и никаких полезных сообщений об ошибках не отображалось. Конечно, это типично для проблем с ActiveDirectory. Чтение журналов и запуск диагностических утилит из командной строки является частью стандартной «блок-схемы для устранения неполадок», если вы заглянете на TechNet. Это гигантская смоляная яма случайной сложности.
В случаях, подобных описанному выше, вы получаете полезные ошибки только при запуске AdPrep в автономном режиме. К сожалению, с Windows Server 2012 поставляется только 64-битный adprep. Используйте 2008 r2 install dvd, чтобы получить 32-битный adprep32.exe.
Изучая ошибки при запуске версии AdPrep для Windows 2008 R2 в автономном режиме командной строки, я обнаружил, что все свелось к тот факт, что я должен был убедиться, что компьютер с контроллером домена с ролью мастера схемы вообще существует и находится в сети. Обратите внимание, что версия AdPrep, установленная на Windows Server 2012, предназначена для запуска с вашего сервера 2012, а не на ваших главных машинах, как это было ранее при использовании AdPrep. Если вы попытаетесь запустить инструмент AdPrep на 32-битной машине Windows Server 2003, вы застрянете, потому что AdPrep.exe даже не запустится и не распечатает никаких сообщений об ошибках на вашей 32-битной машине. В моем случае ничего не существовало, и мне пришлось использовать эту ссылку, чтобы «захватить» роль мастера схемы с помощью основной справки NTDSUTIL:
Специальная помощь для захвата мастера схемы:
http://technet.microsoft.com/en-us/library/cc783650 (v = ws.10) .aspx
Как я сказал на шаге 1, большинство у людей не будет этой проблемы, но путаница в ИТ-любительских кругах может привести к аналогичным проблемам у других.
Я также спросил, как определить имя активного мастера схемы из командной строки в связанном вопросе, и эта команда работает, чтобы узнать, кто является мастером схемы:
netdom query fsmo
Затем я запустил ntdsutil , как описано в пункте 3 выше, захватил роль мастера схемы для восстановления домена, и после этого я мог нормально запустить adprep :
adprep /forestPrep
... <takes about 10 minutes and outputs several screens of info>
adprep /domainPrep
... <takes about 1 second and outputs about 15 lines>
А потом работает adprep . Обратите внимание, что вы еще не закончили. Настройка контроллера домена Windows Server 2012 по-прежнему не удастся решить любую из сотен других проблем, которых слишком много, чтобы перечислить здесь. Другие вещи, которые мне пришлось сделать, чтобы заставить его работать:
Удалить Symantec Endpoint Protection и отключить брандмауэр Windows, чтобы WMI работал по сети, что требуется для нового контроллера домена, взаимодействующего со старым контроллером домена.
Исправьте несколько ошибок конфигурации DNS , а затем запустите
ipconfig / flushdns, включая удаление списанных серверов, которые не были должным образом списаны, что означает переход к экрану управления AD и удаление этих серверов. Другие ошибки DNS могут включать отсутствие записей обратного DNS и т. Д.Убедитесь, что при возникновении ошибок при обмене данными через WMI / DCOM вы исправляете разрешения службы или другие ошибки, которые могут блокировать работу WMI и DCOM.
Ваш лес / домен работает на уровне 2003 года? У вас должна быть возможность добавить контроллер домена 2012 в лес 2003 - при условии, что лес находится на функциональном уровне 2003.
изменить: Кроме того, проверьте настройки DNS и убедитесь, что они верны и что вы можете разрешить правильные записи srv, чтобы найти контроллеры домена.
edit2: Если вы пытаетесь установить RODC, вам понадобится доступный для записи DC 2008 года. установить DC только для чтения.
Если все ваши контроллеры домена работают как минимум под Windows Server 2003, а ваш домен и лес работают уровни установлены как минимум на Windows Server 2003, добавление контроллера домена Windows Server 2012 должно работать нормально:
http://technet.microsoft.com/en-us/library/hh994618.aspx#BKMK_FunctionalLevels
Единственная ситуация где вам понадобится хотя бы DC Windows Server 2008, если вы добавляете контроллер домена только для чтения.
Изменить:
Если вы получаете сообщение, это то, что показано здесь , то это всего лишь предупреждение (что должно быть ясно по желтому значку восклицательного знака); это не помешает вам продолжить, если вы на самом деле не пытаетесь установить RODC.
Вам необходимо выполнить необходимые команды adprep / forestprep и adprep / domainprep с DVD 2012 года.
Кажется, что ошибка указывает на проблему сетевого соединения между новым продвигаемым контроллером домена и существующими контроллерами домена. У меня была такая же ошибка "ошибка определения того, требует ли целевое окружение интерпретации". Это было вызвано тем, что мастер схемы находился на другом сайте, а межсетевой экран между ними не позволял новому контроллеру домена подключаться к нему. После того, как поток был добавлен к брандмауэру для нового сервера, ошибка пошла, и продвижение к DC прошло без инцидентов
.Это может произойти, если вы переименуете контроллер домена во время миграции. Лучше всего сначала установить DNS, тогда вы не должны видеть эту ошибку. Взломать - выбрать роль удаления, она завершится неудачно, закроется и ошибка будет удалена.
Для меня эта проблема возникла из-за неудачного захвата мастера именования. Мне пришлось повторно захватить роль хозяина домена, чтобы решить эту проблему. Я обнаружил, что что-то не так, когда я запустил "netdom query fsmo", и это дало мне ошибку после того, как первая роль попыталась перечислить все роли FSMO.
Мне удалось проверить роли FSMO по отдельности в компьютерах и пользователях Active Directory, а также в доменах и доверительных отношениях Active Directory. Когда я проверял хозяина именования доменов в AD Domains and Trusts, он не мог перечислить текущий мастер именования доменов и, следовательно, не позволил мне изменить его на сервер. Затем я выполнил шаги, изложенные на странице « https://technet.microsoft.com/en-us/library/cc816779 (v = ws.10) .aspx », чтобы захватить мастер именования Сработало как шарм!