Category Archives: Active Directory

Do not rename the only domain controller… And how to fix it if you have already done so..

Even though MS provide the document about how to rename domain controller, the thing is, if you only have one domain controller, the “rename” will break the AD service and you are not able to roll back.

The issue you will get is that after you rename domain controller, the AD DS services are still using the old hostname because you didn’t transfer the FSMO roles from the old name to the new name. And if you want to start any domain management tools you’ll get error said that domain is unavailable. And if you want to change domain controller name back you will get the same error because dc is not available and your renaming will failed too. And this issue won’t happen if your domain get two or more domain controllers.

Ok, how to fix this issue if you have already done so? What we can do now is to update registry and change the computer name back to the old one. Below are the four registry keys you need to update:

HKLM\System\CCS\Control\Computername "Computername"
HKLM\System\CCS\Control\Computername "ActiveComputername"
HKLM\System\CCS\Services\Tcpip\Parameters "Hostname"
HKLM\System\CCS\Services\Tcpip\Parameters "NVHostname"

Reset win2k8/2k12 domain admin password

My friend forgot his test lab domain admin password. And he only have a normal user account. So he asked me how can he reset his domain admin password.
It’s easy. Only a few steps

1. Boot the domain controller with a windows 2k8/2k12 installation CD
2. Press shift+f10 to start command line on the fist screen.
3. Run below command:

MOVE E:WindowsSystem32Utilman.exe e:WindowsSystem32Utilman.exe.bak
COPY E:WindowsSystem32cmd.exe e:WindowsSystem32Utilman.exe

You should replace E: with you local disk letter.
4. Restart the DC
5. When DC done booting up again and you are at the Logon screen click on the Ease of access icon. Then you should be able to open a command line.
6. Reset domain admin password

net user administrator *

Done

Verify Schema versions on all Domain Controllers

Usually we can use below batch file to check domain controller schema version.

ECHO OFF

REM Change the line below. Example: SET domain=dc=mydomain,dc=com

SET domain=dc=exampledomain,dc=com

ECHO.
ECHO Finding Schema Level on Domain Controllers in domain %domain%..

SET file=schemainput.txt
dsquery server -o rdn > %file%
FOR /f %%a IN (%file%) DO CALL :Loop %%a
REM Cleaning up the temporary file.
IF EXIST %file% DEL %file%
GOTO :eof

:Loop
SET dc=%1
ECHO.
ECHO %dc%
dsquery * cn=schema,cn=configuration,%domain% -scope base -attr objectversion -s %dc%|FIND /i /v "objectversion"
GOTO :eof

Another very quick way to check this with only one command line is using the repadmin tool:

repadmin /showattr * “cn=schema,cn=configuration,dc=yourdomain,dc=com” /atts:ObjectVersio

n

从Win 2000域升级到Win 2003域的详细步骤

从Windows 2000域升级到Windows 2003域的详细步骤

从Windows 2000域升级到Windows 2003域的问题,建议您参考以下步骤:
1.确认当前的Windows 2000域控制器工作正常,并且都打了Service Pack 4和最新的安全补丁。
2.确认Windows 2000活动目录中的5个FSMO角色都在第一台Windows 2000域控制器上(默认情况就是这样的),关于Windows 2000活动目录中FSMO角色的概念及查看方法,请参考下面两篇文档:
《Windows 2000 Active Directory FSMO 角色》:
http://support.microsoft.com/?id=197132

《在图形用户介面中查看和转移 FSMO 角色》
http://support.microsoft.com/?id=255690

3.在Windows 2000域控制器的光驱中插入Windows Server 2003安装光盘。在命令行方式下进入光盘上的I386目录,运行以下命令:adprep /forestprep。该命令成功完成之后,再运行以下命令:adprep /domainprep。

4.完成这一步之后,我们便扩展了当前的Windows 2000活动目录林的架构,这样就可以将Windows Server 2003加入到活动目录林中作为其中的域控制器,或者将现有的Windows 2000域控制器升级为Windows Server 2003。

关于将Windows 2000域控制器升级到Windows Server 2003以及将Windows Server 2003域控制器加入到Windows 2000域的更多详细信息,请您参考下面这篇文档:
《如何将 Windows 2000 域控制器升级到 Windows Server 2003》:http://support.microsoft.com/?id=325379

5.在新购买的计算机上安装Windows Server 2003,并打上最新的安全补丁。
6.确认这台Windows Server 2003网络连接正常,可以访问域控制器和DNS服务器。将其配置为使用固定IP地址,并指定DNS服务器地址。
7.在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2000域的额外的域控制器。
8.在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2000 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。
9.将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档:
《How to promote a domain controller to a global catalog server》:
http://support.microsoft.com/?id=296882

10.将原来的Windows 2000域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上,具体方法请参考下面这篇文档:
《如何查看和转移 Windows Server 2003 中的 FSMO 角色》:
http://support.microsoft.com/?id=324801

当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器,不要将结构主机角色转移到该域控制器上”,由于是在单域环境中,直接确认忽略该提示即可。关于在Windows 2000/2003域控制器上放置FSMO的更多信息,请参考下面这篇文档:
《在 Windows 2000 域控制器上放置和优化 FSMO》:
http://support.microsoft.com/?id=223346

11.完成以上操作之后,新的Windows Server 2003域控制器便替代了原来的第一台Windows 2000域控制器的角色,但我们需要等待一段时间使原来的Windows 2000域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到Windows Server 2003域控制器上。建议您观察一两天时间,并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后,再将原来的Windows 2000域控制器降级。

12.当所有的Windows 2000域控制器都成功降级,当前域中只剩下Windows Server 2003域控制器后,我们便可以提升当前域/活动目录林的功能级别,以便应用Windows 2003活动目录中的一些新特性,具体方法和注意事项请参考下面这篇文档:
《如何在 Windows Server 2003 中提升域和目录林功能级别》:
http://support.microsoft.com/?id=322692

Technorati Tags: ,,,,,

无法将 Windows Server 2003 域控制器提升至 Windows 2000 目录林

http://support.microsoft.com/kb/278875/zh-cn

症状
在通过运行 Active Directory 安装向导 (Dcpromo.exe) 将 Windows Server 2003 域控制器安装到现有 Windows 2000 目录林时,您可能会看到以下错误信息:
The operation failed because:

A Schema validation check failed.

The Active Directory Installation Wizard cannot continue because the forest is not prepared for installing Windows Server 2003. Use the Adprep command-line tool to prepare both the forest and the domain.Fore more information about using Adprep see Active Directory Help.

"The version of the Active Directory Schema of the source forest is not compatible with the version of the Active Directory on this computer."
如果您尝试将 Windows Server 2003 域控制器添加到现有 Windows 2000 域(其中林根域中所有域控制器都是基于 Windows 2000 的域控制器)时,可能出现该问题。如果您尝试将 Windows Server 2003 域添加到现有 Windows 2000 目录林,其中林根域中所有域控制器都是基于 Windows 2000 的域控制器时,也可能出现该问题。

原因
出现上述问题的原因是 Windows Server 2003 包含更新的架构版本。您必须更新现有目录林中的架构,Active Directory 安装向导才能成功运行。

解决方案
要解决此问题,请执行下列步骤: 1.    如果您正在运行 Exchange 2000,继续之前,请参见“其他信息”部分。
2.    所有基于 Windows 2000 的域控制器上都一定要安装 Windows 2000 Service Pack 2 或更高版本。
3.    找到作为架构主机的服务器和作为结构主机的服务器。

注意:一台服务器可能同时具有这两项功能。
4.    备份架构主机。

注意:作为升级准备的一部分,您还可以对其他服务器进行备份。但是,一定要确保继续执行下一步前立即备份架构主机。
5.    断开架构主机与网络的连接。在此过程的第 9 步之前,不要重新建立连接。
6.    在架构主机上,将 Windows Server 2003 安装光盘插入 CD-ROM 驱动器。
7.    在架构主机上打开命令提示符,然后键入以下命令行,键入每一行后按 Enter 键。
cd-rom:
cd i386
adprep /forestprep
其中 cd-rom 是 CD-ROM 驱动器的驱动器号。
8.    在架构主机上完成该命令后,请使用以下方法验证目录林的准备是否成功。     •    确认没有出现任何错误信息。
•    运行任何可用的域控制器诊断工具(例如 Dcdiag)。请注意,域控制器从网络断开时,可能出现复制错误。
•    使用“事件查看器”查看系统日志中是否有错误或意外事件。

9.    评估在第 8 步中搜集的信息:     •    如果运行 adprep /forestprep 命令时,没有收到错误信息,请重新将架构主机域控制器连接到网络,然后继续执行第 10 步。
•    如果运行 adprep /forestprep 命令时,收到一个或多个错误信息,并提供了其他步骤说明,请按错误信息的说明操作,然后重新执行第 8 步。
•    如果 adprep /forestprep 命令没有成功运行,或诊断工具(例如 Dcdiag)显示了一个重大问题,请从备份中恢复该架构主机,然后使用第 8 步中搜集的信息解决该问题。

10.    如果架构主机与结构主机不是同一台计算机,请等候 adprep /forestprep 命令将所做的更改从架构主机复制到结构主机。等候至少 15 分钟,但如果架构主机与结构主机不在同一个地方,要允许等候更长时间(半天到一天)。如果复制更改之前,就尝试在结构主机上执行域准备,您会收到错误信息,指出需要更多时间。
11.    在结构主机上,将 Windows Server 2003 Enterprise Edition 安装光盘插入 CD-ROM 驱动器。
12.    在结构主机上打开命令提示符,然后键入以下命令行,键入每一行后按 Enter。
cd-rom:
cd i386
adprep /domainprep
其中 cd-rom 是 CD-ROM 驱动器的驱动器号。
13.    在结构主机上完成该命令后,请使用以下方法验证目录林的准备是否成功。     •    确认没有出现任何错误信息。
•    运行任何可用的域控制器诊断工具。
•    使用“事件查看器”查看系统日志中是否有错误或意外事件。

14.    评估在第 13 步中搜集的信息:如果运行 adprep /domainprep 时没有出现错误,请继续执行此过程的下一步。     •    如果运行 adprep /domainprep 命令时,没有收到错误信息,请重新将架构主机域控制器连接到网络,然后继续执行第 15 步。
•    如果运行 adprep /domainprep 命令时,收到一个或多个错误信息,并提供了其他步骤说明,请按错误信息的说明操作,然后重新执行第 13 步。

15.    等候 adprep /domainprep 命令将所做的更改从结构主机复制到其他域控制器。等候至少 15 分钟,但如果网络中包含位于远程站点的域控制器,要允许等候更长时间(半天到一天)。如果您尝试在更改被复制之前升级某个其他域控制器,就会出现错误信息,指出需要更多时间。

回到顶端
更多信息
注意:如果您正在运行 Exchange 2000,在执行本文列出的步骤之前,请查看下面的文章以获得进一步信息:
314649 Windows Server 2003 adprep /forestprep 命令导致包含 Exchange 2000 服务器的 Windows 2000 林中的属性被破坏

有关如何将 Windows 2000 域升级到 Windows Server 2003 的详细信息,请访问下面的 Microsoft Web 站点:http://www.microsoft.com/china/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx