Как исправить ERROR_DS_VERSION_CHECK_FAILURE в Active Directory

Если в Active Directory возникла ошибка ERROR_DS_VERSION_CHECK_FAILURE (код 643), значит обнаружено несовпадение версий компонентов AD — чаще всего схема отстала или репликация не прошла. Проверьте версию схемы, убедитесь, что роль Schema Master доступна, форсируйте репликацию и при необходимости запустите adprep на контроллере домена. Следуйте контрольному списку и плану отката ниже.

Описание

ERROR_DS_VERSION_CHECK_FAILURE сопровождается кодом 643 (0x283) и текстом: “This version of Windows is not compatible with the behavior version of directory forest, domain or domain controller”. Причина — несоответствие версий схемы, леса или контроллеров домена. Это часто проявляется после обновления Windows Server, неправильного выполнения adprep или проблем с репликацией.

В этой статье: быстрый план действий, пошаговые команды, альтернативные подходы, чеклисты для ролей и план отката.

Короткий обзор терминов

• Схема (schema): набор определений объектов AD. Если схема устарела, новые объекты/атрибуты недоступны.
• FSMO: роли единого мастера, критичные для операций, например Schema Master.
• ADPREP: утилита для обновления схемы и конфигураций перед добавлением новых контроллеров.

Основные шаги по устранению ошибки

1. Проверьте версию схемы Active Directory

1. Откройте командную строку от имени администратора.
2. Выполните команду:

dsquery * CN=Schema,CN=Configuration,DC=YourDomain,DC=com -scope base -attr objectVersion

3. Сравните вывод с ожидаемой версией для вашей версии Windows Server.

Если версия схемы ниже требуемой, нужно обновить схему (см. раздел “Ручное обновление схемы”).

2. Форсируйте репликацию Active Directory

1. В командной строке администратора выполните:

repadmin /syncall /AdeP

2. Проверьте статус репликации:

repadmin /showrepl

3. Если репликация не проходит — смотрите логи событий (Event Viewer) и диагностику сетевых подключений между DC.

3. Проверьте роли FSMO

1. Узнайте, где находятся роли FSMO:

netdom query fsmo

2. Убедитесь, что Schema Master доступен и находится на рабочем контроллере. Если Schema Master недоступен, перенесите роль на здоровый контроллер или восстановите текущий.

Важно: роль Schema Master необходима для применения изменений схемы.

4. Ручное обновление схемы (ADPREP)

1. Вставьте установочный носитель Windows Server соответствующей версии.
2. Запустите командную строку от имени администратора и выполните:

adprep /forestprep

3. Затем выполните:

adprep /domainprep

4. Перезагрузите контроллеры домена и проверьте результат.

Если adprep выдаёт ошибки — фиксируйте их по коду и сообщению, смотрите журналы adprep и Event Viewer.

Дополнительные проверки и альтернативные подходы

• Используйте dcdiag для общей диагностики контроллера домена:

dcdiag /v /c /d /e /s:ИмяКДЦ

• Проверьте права администратора: запуск adprep требует членства в группах Enterprise Admins и Schema Admins.
• В GUI: можно проверить схему через Active Directory Schema snap-in (mmc), если он установлен.
• Для облачных гибридных сценариев проверьте совместимость версий синхронизируемых данных.

Когда adprep не помогает:

• Возможно, adprep был запущен в неправильном лесу или от имени неподходящего аккаунта.
• Репликация может блокироваться из-за сетевых ACL, DNS-проблем или повреждённых метаданных. В таких случаях восстановите сеть/DNS прежде чем обновлять схему.

План отката и восстановление

1. Перед изменениями: снимите резервную копию состояния систем (System State) всех контроллеров домена.
2. Если обновление схемы вызвало сбои, восстановите System State контроллера Schema Master.
3. Если восстановление невозможно — рассмотрите восстановление контроллеров по последовательности из резервных копий и последующую корректную репликацию.

Важно: откат схемы назад обычно невозможен простым способом — предпочтительна загрузка с резервной копии до изменения схемы.

Контрольный список (SOP) для быстрого выполнения

• Проверить версию схемы командой dsquery
• Убедиться, что у вас есть права Enterprise/Schema Admins
• Форсировать репликацию repadmin
• Проверить FSMO роли netdom
• Запустить adprep /forestprep и /domainprep с инсталляционного носителя
• Перезагрузить контроллеры домена
• Проверить журналы событий и повторить диагностику dcdiag

Чеклист по ролям

• Для администратора домена:
  • Подготовить инсталляционный носитель и учётную запись с правами.
  • Переименовать/пометить изменения в Change Log.
• Для инженера инфраструктуры:
  • Проверить сетевую доступность и DNS между DC.
  • Проверить резервные копии System State.
• Для службы поддержки:
  • Уведомить пользователей о возможных перезагрузках.
  • Собирать логи и ошибки для эскалации.

Критерии приёмки

• objectVersion соответствует версии ОС сервера в таблице выше.
• Все контроллеры домена успешно реплицируют: repadmin /showrepl не показывает ошибок.
• Schema Master доступен и отвечает.
• Журналы событий не фиксируют новых ошибок ERROR_DS_VERSION_CHECK_FAILURE.

Когда этот метод не сработает

• Если схема была модифицирована вручную несовместимым способом.
• Если обрыв репликации вызван аппаратной проблемой или постоянными сетевыми разрывами.
• Если администратор запускал adprep в неверном лесу — потребуется восстановление из бэкапа и повторное правильное обновление.

Быстрый decision flow

flowchart TD
  A[Начало: получена ошибка 643] --> B{Проверить версию схемы}
  B -->|Соответствует| C[Форсировать репликацию]
  B -->|Не соответствует| D[Запустить adprep]
  C --> E{Репликация успешна?}
  E -->|Да| F[Проверить FSMO]
  E -->|Нет| G[Диагностика сети/DNS/логи]
  D --> H{adprep OK?}
  H -->|Да| C
  H -->|Нет| I[Откат/восстановление из бэкапа]
  F --> J[Завершено]
  G --> I
  I --> J

Часто задаваемые вопросы

Что делать, если adprep пишет об отсутствии прав?

Убедитесь, что учётная запись — член групп Enterprise Admins и Schema Admins. Выполняйте команду от имени администратора на контроллере Schema Master.

Можно ли откатить изменение схемы назад?

Полного автоматического отката схемы нет. Надёжный путь — восстановление System State контроллера из бэкапа до момента обновления схемы.

Повлияет ли это на пользователей?

Если репликация или роли FSMO недоступны, возможны проблемы с аутентификацией и доступом. Планируйте работы в окне обслуживания.

Резюме

ERROR_DS_VERSION_CHECK_FAILURE — признак несовместимости версий схемы/леса/контроллера. Стандартный подход: проверить objectVersion, форсировать репликацию, проверить FSMO и запустить adprep при необходимости. Всегда делайте резервные копии System State до обновлений схемы и выполняйте действия последовательно: права → adprep → репликация → проверка логов.

Важно

• Всегда иметь резервную копию перед изменением схемы.
• Убедиться, что все DC доступны и репликация работает корректно.