Поднять домен W2K до W2K3.
 

Стала необходимость поднять домен Win200server до 2003-го. Действуя по инструкции выполнил команду ADPREP.EXE /forestprep. Но получил отказ и вот такой протокол.

............................................
Программа Adprep пыталась вызвать следующую API-функцию LDAP. ldap_search_s(). Базовый элемент для начала поиска: CN=UID,CN=Schema,CN=Configuration,DC="корневой домен",DC=local.

API-функция LDAP ldap_search_s() завершена, код возврата 0x20

Adprep успешно определил, что службы Microsoft Windows для UNIX (SFU) установлены. В случае обнаружения SFU, adprep убедится в установке исправления Microsoft Q293783 для SFU и продолжит работу.

Adprep не может обновить схему на сервере хозяина схемы.
Adprep не может обновить данные уровня леса.

[Состояние/результат]

Для завершения операции Adprep требует доступа к имеющимся данным уровня леса с сервера хозяина схемы.

[Действие пользователя]

См. дополнительные сведения в файле журнала Adprep.log в каталоге C:\WINNT\system32\debug\adprep\logs\20051219171603.
Являясь на DC самым привилегированным Администратором мучаюсь вопросом: если нет прав, то кто я, если не администратор схемы и если я администратор схемы, то "какого" ему еще надо.
Домен стоит давно и когда-то у меня был домен второго уровня, который благополучно был убит давным-давно. У меня сложилось такое подозрение, что я это сделал не совсем удачно и хвосты все-таки остались. В AD-Домены и доверие поддомен остался.
Вопрос: Как решить проблему №1, поднять домен до уровня 2003-го и мешает ли этому недоубитый домен?
W2k StandardEdition SP4 Rus.

Спасибо за внимание.

P.S. Очень не хочется всё перенастраивать, перезаводить пользователей и перераздавать права. :(

а других контроллеров AD не было раньше? Любит винда выкаблучиваться, если в AD было несколько контроллеров, а потом какой-нить из них пропал (по независящим от AD обстоятельствам).

Рекомендую ознакомится со справочной информацией на сайте microsoft.com по AD там всё подробно расписано.

Не хочу никого обидеть deepweb, но Вы сами хотя бы раз что-нибудь полезное для себя находили на сайте мелкософта? Например я находил там что-то ценное только опосредовано, через другие сайты и поисковые системы. :(
Знаю, что там написано про AD. Сам Читал книгу MicrosoftPress W2003server, но там описана только нормальная процедура и ситуация с отсутсвием прав. У меня прав хоть отбавляй. Просто за время трехлетней эксплуатации DC накопился багаж как настроек, так и глюков.
Я спрашиваю может кто сталкивался с подобной проблемой или просто знает где рыть.

Но не смотря ни на что, Спасибо за Внимание. :)

В процессе поиска решения мысль, что мешает недоубитый домен пока укрепляется. Средсвами ntdsutil попытался почистить AD. Завтра расскажу что из этого вышло.

Почистил AD с помощью metadata cleanup и Всё получилось. :beer:
Ура, товарищи.

Получилось поднять версию схемы до необходимого для обновления до 2003-го сервера уровня, но проблема остается. ПодДомен недоубивается.
Остался контекст имени и домен и никак не удаляется.
Ругается DsRemoveDsDomainW ошибка 0x2162, а дальше гречкой пишет. Не могу найти описание ошибки у мелкософта.

В ntdsutil всё-таки получилось удалить сервер, домен и контекст именования. Перегружусь, посмотрю что дальше. Надо ли как-то дефрагментировать, упаковывать, чистить базу AD после таких операций?

Вроде получилось почистить AD от старых записей. Но переустанавливать сервер пока боюсь. Много работы и выводить на долго (в процессе Upgrad'a могут появиться непредвиденные проблемы) не могу. Пробую создать в имеющемся домене на базе 2000 с версией схемы 30 дополнительный контроллер домена на базе 2003, чтобы т.с. мягко перейти на 2003, а потом просто прибить старый контроллер. Так вот в процессе подъема 2003 отдельно стоящего сервера до DC в конце выдает ошибку:
http://foto.mail.ru/mail/cheic/1/i-5.jpg
Переустановка учетной записи сервера в домене и последующее перезаведение его в AD не привела ни к каким изменениям.
:help:

AndreyN
А при чём тут переустановка УЗ сервака в домене? Отказано в доступе (к функции повышения роли компа до сервера AD) конкретному пользователю. Проверяй права своего админа. Он должен обладать соответствующей привилегией. Если нету - добавь.

Я проверял (на сколько хватило мозгов). Все права на месте. Я единственный администратор в схеме. Никому и никогда не перераспределялись права администратора схемы и никакие другие права. На сколько я понимаю, то первый администратор в домене и является самым наиглавнейшим, если только руками ничего потом не на конфигурировать. Вхожу во все мыслимые и немыслимые группы. В групповой политике присутсвуют права на управление схемой. Каким способом можно удостовериться в наличии или отсутсвии прав?
Может просто такая операция не допустима? Сначала может надо поднять сам PDC до 2003-го?

P.S. Операции /forestprep и /domainprep на PDC выполнены. Поддомен убит. Где можно проверить всё ли готово для апгрэйда или создания дополнительного DC на базе 2003-го сервера в имеющемся 2000-м домене? :help: