Message d’erreur : « error determining whether the target server environment requests adprep validation – unable to check the forest upgrade status » (0x80004005 / ‑2147467259).
Ce guide pas‑à‑pas explique comment diagnostiquer et corriger l’échec d’AD Prep lors de l’ajout d’un nouveau contrôleur de domaine Windows Server 2022.
Pourquoi cette erreur apparaît‑elle ?
Lorsqu’un DC 2022 est promu, l’assistant Add Roles lance en arrière‑plan adprep /forestprep puis adprep /domainprep. Ces commandes doivent étendre le schéma et mettre à jour des objets critiques. Si la forêt ne répond pas aux pré‑requis (niveaux fonctionnels, réplication saine, absence de verrou), AD Prep interrompt l’exécution pour éviter une corruption de l’annuaire.
Plan de contrôle rapide
| Étape | Action recommandée | Détails pratiques |
|---|---|---|
| Pré‑requis fonctionnels | Vérifier que le niveau fonctionnel de forêt et de domaine ≥ Windows Server 2008 | Get-ADForest et Get-ADDomain (PowerShell) ou la console Active Directory Domains and Trusts. |
| Réplication SYSVOL | Confirmer que SYSVOL utilise DFS‑R, pas FRS | Si FRS est encore présent :dfsrmig /setglobalstate 3 puis vérifiez dfsrmig /getmigrationstate jusqu’à « Eliminated ». |
| Rôle & droits | Lancer ADPrep sur le maître de schéma avec un compte Enterprise Admins/Schema Admins | netdom query FSMO pour localiser le maître de schéma. Invite CMD ou PowerShell « Exécuter en tant qu’administrateur ». |
| Santé de la réplication AD | S’assurer qu’aucune erreur n’affecte les partitions Schéma/Configuration | dcdiag /e /c /v et repadmin /replsummary doivent afficher 0 % d’échec. |
| Verrous de schéma | Redémarrer le DC maître de schéma si une opération en attente le verrouille | Puis relancez Adprep. |
| Journaux & traces | Examiner Directory Service, DFS Replication et adprep.log | Le fichier se trouve dans :%SystemRoot%\System32\debug\adprep\logs\YYYYMMDD‑HHMMSS |
| Relance de la promotion | Après corrections, relancer Adprep /ForestPrep, puis Adprep /DomainPrep ou l’assistant GUI | Vérifier qu’aucun nouveau message d’erreur ne s’affiche. |
Analyse détaillée et solutions
1. Valider les niveaux fonctionnels
Windows Server 2022 requiert un niveau fonctionnel minimum 2008. En pratique, passer directement en 2012 R2 ou plus simplifie l’abandon de FRS et ouvre l’accès aux fonctions modernes (KDC Advanced Encryption, gMSA, etc.).
# Forêt
(Get-ADForest).ForestMode
# Domaine courant
(Get-ADDomain).DomainModeSi le niveau est inférieur, élevez‑le depuis la console Domains and Trusts ou avec Set-ADForestMode/Set-ADDomainMode. Assurez‑vous qu’aucun contrôleur encore en 2003/2008 RTM ne subsiste.
2. Passer définitivement de FRS à DFS‑R
FRS (File Replication Service) a disparu depuis 2019 ! Un seul DC fonctionnant encore avec FRS bloquera AD Prep. Utilisez :
dfsrmig /setglobalstate 1 :: Start
dfsrmig /getmigrationstate :: Attendre "Prepared"
dfsrmig /setglobalstate 2 :: Redirected
dfsrmig /getmigrationstate
dfsrmig /setglobalstate 3 :: Eliminated
dfsrmig /getmigrationstatePensez à désinstaller l’ancienne fonctionnalité « Services de réplication de fichiers » une fois la migration terminée.
3. Exécuter ADPrep au bon endroit… et avec les bons privilèges
- Ctrl + Shift + clic droit → Invite de commandes (Admin) ou PowerShell (Admin)
- Basculez dans
%windir%\System32ou le dossier support\adprep du média 2022. - Depuis le schéma master :
adprep /forestprepadprep /domainprep /gpprep
Un compte administrateur « simple » n’est pas suffisant ; il doit cumuler Enterprise Admins + Schema Admins. Sans ces droits, la commande rend le même code 0x80004005.
4. Vérifier la réplication et les convergences USN
Avant une opération critique sur le schéma, assurez‑vous que tous les DC convergent :
repadmin /replsummary
repadmin /showrepl * /csv > C:\temp\repl.csv
dcdiag /e /c /v /f:C:\temp\dcdiag.txtCorrigez toute latence, liaison manquante ou erreur 8606 Insufficient attributes / 8451 replication access was denied avant de recommencer.
5. Lever un verrou orphelin du schéma
Un processus tiers (antivirus, outil de provisionnement) peut laisser un handle ouvert sur ntds.dit. Si repadmin /showattr <DN du schéma> affiche isCriticalSystemObject: TRUE sans transaction terminée, un simple redémarrage du DC maître suffit ; sinon :
ntdsutil
activate instance ntds
files
infopuis relancer ADPrep.
6. Inspecter adprep.log et les journaux d’événements
adprep.log trace chaque opération LDAP. Cherchez la chaine « ForestPtr –> unable to determine … » ou l’ID 1024. Un SE 5 (Access Denied) pointe vers un problème d’ACL sur la partition Configuration.
Ports, antivirus, sauvegardes : le triptyque sécurité
| Flux | Ports/TCP | Commentaire |
|---|---|---|
| LDAP/GC + RPC dyn. | 389, 636, 3268, 3269, 49152‑65535 | Ouvrez bidirectionnellement entre tous les DC 2022 et existants. |
| SMB | 445 | Nécessaire à la réplication SYSVOL DFS‑R. |
| RPC Endpoint Mapper | 135 | Obligatoire pour Netlogon et DRSUAPI. |
Désactivez temporairement toute analyse en temps réel de SYSVOL, ntds.dit et du volume système, sinon ADPrep peut être bloqué.
Avant toute intervention, exécutez un System State backup sur chaque DC pour garantir un retour arrière.
Script PowerShell d’auto‑diagnostic
Le bloc ci‑dessous automatise les contrôles principaux. Lancez‑le depuis un poste RSAT ou un DC doté du module ActiveDirectory.
# Vérifier les niveaux fonctionnels
if ((Get-ADForest).ForestMode -lt "Windows2008Forest") {
Write-Warning "Niveau fonctionnel de forêt insuffisant !"
}
# Détecter la présence de FRS
$s = (Get-ADObject -SearchBase "CN=File Replication Service,CN=System,$((Get-ADDomain).DistinguishedName)" `
-Filter "objectClass=serviceConnectionPoint").count
if ($s -gt 0) { Write-Warning "FRS détecté : migrez vers DFS-R." }
# Contrôler la santé de la réplication
$repl = repadmin /replsummary
if ($repl -match "Failed: [1-9]") {
Write-Warning "Échec de réplication détecté. Corrigez avant ADPrep."
}
# Tester les rôles FSMO
$schema = (netdom query FSMO | Select-String "Schema Master").ToString().Split(" ") | Select -Last 1
Write-Output "Maître de schéma : $schema"Cas particuliers
- Forêt multidomaine : exécutez d’abord
/forestprep, puis/domainprepdans chaque domaine avant de promouvoir le DC 2022. - Contrôleur hors ligne : si un ancien DC 2003/2008 a cessé de fonctionner sans DCPromo demote, procédez à un metadata cleanup (
ntdsutil metadata cleanup) pour retirer les artéfacts NTDS‑Settings. - Sites isolés sans réplication WAN : ADPrep exige la visibilité de tous les DC. Programmez la fenêtre lorsque les liens sont actifs ou forcez une réplication manuelle (pull).
- Schéma tierce partie (Exchange, Lync, SCCM) : vérifiez que les dernières extensions de schéma officielles sont déjà appliquées, faute de quoi ADPrep peut décaler l’
objectVersionet refuser l’incrément.
Questions fréquentes (FAQ)
Dois‑je exécuter ADPrep manuellement ou laisser l’assistant se charger de tout ?
L’assistant de promotion exécute ADPrep en mode silencieux. Toutefois, le lancer manuellement sur le maître de schéma permet d’identifier plus tôt les blocages et d’examiner adprep.log.
Quelle est la durée typique d’ADPrep ?
Dans 95 % des forêts (< 100 K objets), l’exécution est instantanée. Au‑delà, comptez de 1 à 15 minutes selon la réplication inter‑sites.
Puis‑je rétrograder le niveau fonctionnel après l’opération ?
Non. Si vous passez à 2016/2019 ou 2022, seule une restauration système complète permettrait de revenir en arrière.
Bonnes pratiques post‑promotion
- Redémarrer le nouveau DC immédiatement pour valider le service KDC.
- Contrôler
repadmin /showrepljusqu’à convergence complète. - Mettre à jour les GPO de mot de passe pour autoriser AES‑128/AES‑256.
- Basculer progressivement les rôles FSMO vers un DC 2022 si les ressources le permettent.
- Documenter les versions de schéma (
CN=Schema,CN=Configuration,...→ attributobjectVersiondoit être 88 pour 2022).
Conclusion
Le code d’erreur 0x80004005 masque souvent des pré‑requis oubliés : niveau fonctionnel trop bas, FRS toujours actif, réplication dégradée ou droits insuffisants. Suivez la liste de vérification, corrigez méthodiquement chaque point, puis relancez ADPrep. Avec une forêt saine et un SYSVOL migré, la promotion d’un contrôleur de domaine Windows Server 2022 devient une formalité.