weiterer 2008er R2 DC in Domäne einbiden

[Medings 10]

Hallöchen,

 

ich beschäftige mich nun seid einer geschlagenen Woche mit der Thematik, einen weiteren DC in meine Domäne einzubinden. Erstmal zu meiner Umgebung:

 

- virtuelle Win Server 2008 R2 Ent mit neuesten Updates

- Funktionseben auf 2008 R2

- bestehende Domäne mit 2 Standorten und 3 DCs

- Standort 1 (STD1) hat 2 Server (DC1 und DC2) von denen einer alle FSMO Rollen hält

- Standort 2 (STD2) hat einen einzelnen Server (DC3)

- Replikation unter den Servern läuft ohne Probleme

 

Als erstes hab ich einen neunen Standort (STD3) unterhalb meiner Site angelegt und das entsprechende Subnetz angelegt und verknüpft. Wenn ich nun auf dem neuen Server (DC4) dcpromo ausführe, bekomme ich folgende Fehlermeldung:

 

Active Directory konnte das NTDS-Einstellungsobjekt für diesen Domänencontroller CN=NTDS ... auf dem Remotedomänencontroller DC1 nicht erstellen. Vergewissern Sie sich, dass die angegebenen Netzwerkinformationen ausreichende Berechtigungen haben. "Zugriff Verweigert"

 

Einen Ausschnitt aus den Logdateien auf dem neuen DC hab ich angefügt.

 

Das dcpromo wurde mit dem Domain-Administrator-Konto, welches auch die anderen Standorte eingebunden hatte, durchgeführt.

 

Was habe ich bisher getestet bzw. überprüft:

 

- dem Administratorkonto als auch dem Computerkonto via GPO das Recht für Delegierungszwecke anvertraut

- dcpromo ausgeführt als der Server Mitglied der Domäne war und ohne

- dcpromo ausgeführt als die AD-Rolle bereits installiert und nicht installiert war

- DNS-Auflösung von DC1 zum DC4 und andersrum

- dcdiag auf dem dc1 ausgeführt <- alle Tests bestanden

 

Ich habe ebenfalls ausschließen können, dass es an einer Firewall o.Ä. liegt, da ich selbst einen DC im selben Netz auf der selben VM nicht hochstufen kann. Die Einträge im DNS macht er auch selbstständig.

 

Inzwischen bin ich echt verzweifelt und weiß nicht mehr weiter.

 

Kann mir evtl. jemand einen Tip geben, an welcher Stelle ich noch gucken könnte!?

 

Grüße

Medings

dcpromo.txt

dcpromoui.txt

[zahni 550]

Lies Dir Das mal durch:

 

DCPROMO fails with error "Access is denied" if the user performing the promotion is not granted the "trusted for delegation" user right

 

PS: Was der Sevrer vorher schon ein DC ?

 

09/07/2011 09:02:58 [iNFO] Deleting current sysvol path C:\Windows\SYSVOL

09/07/2011 09:02:59 [iNFO] Created system volume path

09/07/2011 09:02:59 [iNFO] Die ursprüngliche Verzeichnisdienstdatenbankdatei C:\Windows\system32\ntds.dit wird nach C:\Windows\NTDS\ntds.dit kopiert.

[Medings 10]

Hallo Zahni,

 

ich hatte den Server vorher in eine Testdomäne gehoben, um zu gucken, ob mit dem Server irgendwas nicht hinhaut. Hatte in sauber rein und auch wieder rausbekommen.

 

Ich führe dcpromo mit dem Domain-Admin aus, welcher standardmäßig das Rechte für die Delegierung hat. Testweise hatte ich aber auch die Default Domain Controller Policy angepasst und dem Admin explizit eingetragen. Leider auch ohne Erfolg.

 

Grüße

Medings

[zahni 550]

Ich würde den Server einfach neu installieren. Das dürfte bei einem DC nicht das Problem sein.

[Medings 10]

Sowas in der Art hatte ich schon befürchtet.

 

Wie sollte ich hier am besten vorgehen!?

 

- AD Replikation zwischen den Standorten anhalten

- AD sichern

- Server neu aufsetzen und anschließend AD wiederherstellen

- Replikation starten

 

oder geht man anders vor? Hab sowas noch nicht machen müssen ^^

 

Grüße

Medings

[zahni 550]

Verstehe ich jetzt nicht. Ich denke DCPromo war nicht erfolgreich ? Zumindest lt. Log.

 

Also CD rein und neu installieren.

[Medings 10]

Ich glaub ich hatte Dich falsch verstanden.

 

Meintest Du mit neuinstallieren, den neuen DC der in die bestehende Domäne hochgestuft werden soll, oder den bestehenden?

[zahni 550]

Natürlich den Neuen. Denn der war ja mal DC einer anderen Domäne. Sowas würde ich nie probieren.

[Medings 10]

Ich auch net, aber was man so in seiner Verzweiflung alles anstellt. ^^

 

Gut dann werd ich jetzt mal "schnell" einen neuen virtuellen DC im Standort von DC1 anlegen und gucken, obs geht.

 

Meld mich dann nachher nochmal und werde berichten.

 

Grüße

Medings

[Dukel 451]

Sollte der DC nicht an einem neuen Standort aufgestellt werden?

[Medings 10]

Hallo Dukel,

 

der neue Server steht in der Tat an einem anderen Standort, da dieser wiederum physisch in Spanien liegt, geht das erstellen eines neuen DC um zu Testen, hier am Standort DE deutlich schneller.

 

Habe eben einen weiteren DC in DE erstellt und auch diesen kann ich nicht hochstufen. Kommt auch wieder der Fehler mit den Berechtigungen des NTDS-Objektes.

 

Grüße

Medings

[Medings 10]

Hallöchen,

 

leider bin ich mit meinem Problem noch nicht wirklich weitergekommen.

 

Kann es evtl. auch damit zu tun haben, dass zwischen der aktuellen Domäne (Ebene 2008 R2) und einer anderen Domäne (Ebene 2003) eine Vertrauensstellung besteht?

 

Eigentlich kann ich es mir nicht vorstellen, aber inzwischen suche ich den Fehler an Ecken, wo ich normalerweise sagen würde, dass es damit nix zu tun haben kann. :D

 

Grüße

Medings

[samsam 14]

Moin,

 

lies diese link.

 

Troubleshooting "Access Denied" Error Messages in Active Directory Installation Wizard

 

mfg

[Medings 10]

Hallo Samsam,

 

danke für die Antwort. Leider hab ich diesen Link schon mehrmals durchgelesen und die Einstellungen überprüft. Daran liegt es auch net.

 

Grüße

Medings

[Medings 10]

Einen wunderschönen Guten Morgen,

 

ich möchte nochmal vielen Dank für die Tipps sagen.

 

Ich hab das Problem eben lösen können. Die Berechtigungsstruktur auf dem Active Directory war verhunzt. Ich hab unter Erweiterte Einstellungen die Berechtigungen auf Standard zurückgesetzt und anschließend hat es geklappt.

 

Grüße

Medings