Al añadir a un dominio un nuevo DC con una versión más reciente de Windows Server es posible que nos encontremos con ciertos problemas al ejecutar la herramiente adprep.exe, unos de los más comunes y de más facil solucion son los errores 0x80070002 y 0x80070020.

windows2008server

 

 

La herramienta adprep.exe viene incluida en cada disco de instalación de Windows Server (todas las versiones) y que nos permite preparar nuestro dominio y active directory para añadir un controlador de dominio con una versión diferente a la del DC existente. Nos podemos encontrar en varias situaciones en las que necesitaremos adprep.exe

  • Al añadir el primer DC de una versión posterior a la existente en el dominio
  • Al tratar de actualizar nuestro DC a una versión más nueva de Windows Server y esta versión no se encuentre presente ya en nuestro dominio.

En el caso que me encontré recientemente, se trababa de añadir a un dominio con DCs Windows Server 2003 un nuevo DC Windows Server 2008. En este caso al tratar de añadir el DC nos encontraremos con el siguiente error:

adprep.exe error

En esta situación deberemos ejecutar la herramienta adprep.exe con la opción /forestprep para preparar el dominio para este nuevo DC, directamente desde el dvd de instalación de Windows Server 2008 en el controlador de dominio actual como vemos a continuación:

adprep.exe4

adprep.exe error

Como podéis ver en la imagen es posible que surjan los error 0x80070002, (o la variante 0x80070020), los más comunes durante este proceso. Estos errores vienen causados por la imposibilidad del proceso ldifde.exe de mover o borrar el fichero de logs LDIF durante este proceso de preparación del bosque debido a que un proceso externo está usando,bloqueando o aplicando una restricción sobre este fichero de logs. En este caso deberemos comprobar básicamente que no exista ningún sistema de antivirus que puedan estar bloqueando el acceso a ciertos recursos del sistema (este era en mi caso el problema, ya que aunque en apariencia el McAfee que había instalado en la máquina no mostraba ninguna alerta de que hubiera bloqueado ninguna acción, al desactivarlo todo funcionó correctamente).

En el caso que no podamos desactivar servicios de terceros o incluso reiniciar en modo seguro con red para disponer de los privilegios suficientes para la operación sin la interferencia sobre este fichero de logs. Después de esta modificación el resultado de la ejecución de adprep.exe /forestprep debe ser la siguiente:

adprep.exe6

Ahora ya podemos continuar con nuestro proceso de añadir el nuevo DC al dominio.

Fuente