"Zugriff verweigert" beim herunterstufen eines Domänencontrollers

[TiTux 10]

Hallo,

 

in unserer Domäne laufen 2 Domänencontroller. Auf beiden läuft ein DNS und

beide sind auch Global Catalog Server. Nslookup arbeitet auch einwandfrei.

 

Wenn ich nun den einen Server mit dcpromo herunterstufen möchte, fängt er erst

einmal ganz normal an und dann kommt die folgende Fehlermeldung:

 

Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER01$ auf dem Server server04.traffiQ.de zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert "

 

Darunter steht dann noch: „Geben sie ein Konto an, das über Administratorrechte

für die Gesamtstruktur „traffiq.de“ verfügt.

 

Dann kann ich einen Benutzernamen, Passwort und die Domäne nochmals angeben.

Ich habe den Administrator Account benutzt, mit dem ich auch an beiden Servern angemeldet bin. Der Administrator Account ist Mitglied in: Organisationsadmin, Schemaadmins und Domänenadmin. Also mehr Rechte kann er eigentlich nicht mehr haben wollen.

 

An diesem Punkt komme ich einfach nicht weiter. Ich hab’s auch mit einem neu angelegten User probiert, der auch die ganzen Berechtigungen bekommen hat, brachte aber auch nichts.

 

Das dcpromoui.log File häng ich hier jetzt lieber nicht an, es ist schon ziemlich groß, es sei denn, jemand kann damit mehr anfangen, als meiner einer.

 

Gruß TiTux

[BABA 11]

Es steht ausser Frage das das ein Rechteproblem ist.

Melde Dich mit dem Konto an mit dem die DC erstellt bzw. hochgestuft wurden. Dann sollte es funktionieren.

[TiTux 10]

Servus,

 

der DC wurde mit dem Administrator Konto zum DC damals hochgestuft und mit dem gleichen möchte ich ihn jetzt auch wieder runterstufen. Zudem hat der User sämtliche Rechte bekommen um auszuschliessen, dass ich auch keine wichtige Gruppe vergessen habe.

 

Wäre echt Klasse, wenn hier jemanden noch etwas zu dieser Problematik einfallen würde, denn NTDSUTIL soll eigentlich die letzte Möglichkeit sein, um den DC sauber aus der Domäne rauszubekommen.

 

Vielen Dank schonmal,

 

Gruß

 

TiTux

[BABA 11]

Wie sieht es eigentlich mit DNS aus. Läuft den nslookup sauber durch.

Gib in den TCP/IP Eigenschaften des DC von dem Du ADS entfernen möchtest doch den DNS Server an der hinterher noch DC sein soll.

Ich hatte auch schon mal das Problem. Ich habe dann alles im DNS überprüft uns siehe da es fehlte ein SRV Eintrag.

Mit ipconfig /registerdns kannst Du den Server ja im DNS registrieren lassen. Hinterher mit nslookup nochmals überprüfen und dcpromo anschubsen.

Wenn es wieder nicht klappen sollte würde ich den Server einfachplatt machen und neu installieren , wenn nicht noch etwas wichtiges drauf wäre.

 

Gruß

Baba

[TiTux 10]

Servus,

 

ich hab's endlich geschafft :)

 

Den KB Artikel hatte ich die ganze Zeit auf dem Server, warum ich das

nicht gleich umgesetzt hab, kapiert wohl niemand. :suspect:

 

Auf jedenfall geht es um das "Delegierungsprivileg". Dieses muss man der Gruppe Administratoren in den Richtlinien der Domänencontroller zuweisen. Danach einfach die Replizierung anstossen und dann funzt es auch mit dcpromo.

 

KB Link

 

Gruß Rainer

[BABA 11]

Welche Richtlinie?

lokale Sicherheitsrichtlinie ?

 

Und warum sollte ich den Dom Admins ein Privileg einräumen was sie doch schon haben.

Poste doch bitte mal die Artikelnummer der KB.

Das würde mich mal interessieren.

 

 

Danke

Baba

[TiTux 10]

Servus BABA,

 

der Link steht schon in meinem vorigem Posting unter "KB Link" sehr weit unten.

 

 

Dort steht alles drin.

 

Hier einfach nochmal: ARTIKELNUMMER DER KB

 

 

Ciao Rainer

[BABA 11]

Danke Rainer!