"Zugriff verweiger" beim Herabstufen eines Domänencontrollers! ;(

[bjoernfun 10]

Ich habe ein reposting meines gestrigen Posting gemacht, weil mein Topic wohl nicht genau genug war! Sorry

 

Hio,

 

Ich habe 2 Domänencontroller ein einer Domäne, ADS/DNS laufen ohne Probleme. Beide Domänencontroller besitzen den Globalen Katalog.

 

Info:

Domäne: imationX.blah-blah.de

1. Domänencontroller: DC01

2. Domänencontroller: DC02

 

 

 

Ich möchte den 1. DC, also "DC01" wieder als Mitgliedsserver per "dcpromo" herabstufen.

 

Nach einiger Zeit bekomme ich bei "dcpromo" folgenden Fehler:

 

-----Schnipp-----

Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto DC01$ auf dem Server

dc02.imationx.blah-blah.de zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert "

 

Der Versuch, das Computerkonto DC01$ auf dem Server dc02.imationx.blah-blah.de zu konfigurieren,

ist fehlgeschlagen!

 

"Zugriff verweigert"

-----Schnipp-----

 

Die Information aus dem Microsoft Knowledge Base Article - 232070 habe ich ebenfalls befolgt!

 

http://support.microsoft.com/default.aspx?scid=kb;de;232070

 

 

Leider bleibt der Fehler weiterhin bestehen, ich habe auch schon versucht, den Globalen Katalog auf "DC01" zu entfernen, ging auch ohne Probleme, aber das Problem existiert immer noch!

 

Gemäß dem Support Tool, Active Directory Replication Monitor besitzt DC02 jetzt den GlobalenKatalog, ist Primäry DC.

 

Achja, ich benutzt den Administrator Account, der ebenfalls Mitglied von Domänen-Admins, sowie Schema-Admins, Organisations-Admin ist.

 

Danke schon mal für eure Hilfe

 

Gruß

Björn

 

PS: Schönes Wochenende :)

 

 

Problembeschreibung (aus dem o.g. Link)

Wenn Sie versuchen, einen replizierten Domänencontroller zu erstellen, wird möglicherweise eine Fehlermeldung "Zugriff verweigert" in "Dcpromo.exe" angezeigt. Eine Untersuchung der Datei "Dcpromoui.log" weist darauf hin, dass der erste Teil der Heraufstufung erfolgreich war (dies wird dadurch bestätigt, dass der Computer ein Mitgliedsserver in der Domäne wird), die Heraufstufung zum Domänencontroller jedoch nicht erfolgt ist, weil "Dcpromo.exe" das Computerkonto nicht ändern konnte.

[marka 584]

alle Betriebsmasterfunktionen übertragen?

[PhelanWolf 10]

Alle Rollen an den zweiten DC übergeben ??

 

Also: Domänennamemaster

Schemamaster

RID Master

Infrastructuremaster

PCD Emulator

 

???

 

- Domänenmaster über Active-Directory Domänen und Vertrauensstellungen.

- RID, Infrastructure und PDC über Active-Directory Computer und Benutzer.

- Schemamaster über Active-Directory Schema

 

mfg

phelan.wolf

[bjoernfun 10]

Ja!

 

von allen 5 FSMO Roles ist Dc02 der Owner!

 

weiter gibt der "active directory replikation Monitor" für DC02 an:

 

Yes: Server ist the Primary Domain Controller for the Domän

Yes: Server is a global Catalog server in the forest

Yes: Active Directory is supported on this computer

YeS: The Key Distribution Service KDC is running on this computer

Yes: This computer is running the W32 Time Service

Yes: Writes to the Acitve Directory on this server are allowed

 

Daher habe ich ja auch dieses Fragezeichen im Gesicht :)

 

Gruß

Björn

[bjoernfun 10]

Screen No.1

[bjoernfun 10]

Screen No 2

[killinspree 10]

hört sich danach an als wäre das hochstufen von dc02 zum pdc nicht richtig gelaufen.

[bjoernfun 10]

ja, aber nur teilweise, denn DC01 wurde nicht richtig entfernt vom DC02!

 

z.b. im DNS steht er noch richtig drinne, etc!

[killinspree 10]

welche upromo version verwendest du?

was für service pack läuft auf deinen servern?

[bjoernfun 10]

beider Domänencontroller haben service pack 4 drauf!

 

was ist "upromo" ? meinst du dcpromo ?

 

 

PS:

 

Kennt jemand nen Weg, wie ist zu not, alle "Einträge" von DC01 in der Domäne entfernen kann?

 

Danke!

Björn

[killinspree 10]

kla ich mein dcpromo.

 

was gar nicht gut ist ja das microsoft sowas ja eigendlich gar nicht unterstützt deshalb muss man ja auch eine fremdhersteller software verwendet werden dcpromo.

 

kuck mal bei denen auf der homepage ob du da unterstützung bekommst.

[bjoernfun 10]

hrm, wieso sollte MS sowas nicht unterstützen ? eigentlich muss man doch flexibel sein, "mal eben" einen DC zu erheben bzw. erhabzustufen.

 

witzig ist ja, dass MS in folgendem knowlegde base articel schreibt:

 

http://support.microsoft.com/default.aspx?scid=kb;de;232070

 

Microsoft hat bestätigt, dass es sich dabei um ein Problem bei den Microsoft-Produkten handelt, die zu Beginn dieses Artikels aufgeführt sind.

 

^^^ bei sowas frage ich mich, wieso es keinen patch gibt, wofür bezahlt man überhaupt die server software ;((

[---=DIAN=--- 10]

Hatte diese Woche ein ähnliches Thema:

 

2 Server, win 2003 als Betriebsmaster und so und nen win 2000 der herabgestuft werden sollte.

 

wollte den win 2k herabstufen -> "zugriff verweigert"

wollte einen 3 W2k an neuem Standort einbinden -> "zugriff verweigert"

 

hab dann in Richtlinie "Ermöglichen, dass Computer- und Benutzerkonten fürDelegierungszwecke vertraut wird"

(

lokale Sicherheitsrichtlinie

Sicherheitsrichtlinien für Domänen

Sicherheitsrichtlinien für Domänencontroller

)

einen Benutzer definiert (Administrator), am win2k server geändert und auf den W2k3 repliziert.

 

Dann gings mit DCPROMO.... :D :D :D

[killinspree 10]

cool danke für die info :D