none
AD von W2k3 Server entfernen - Zugriff verweigert????? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    haben einen zusätzlichen DC (2003) innerhalb einer Gesamtstruktur-Stammdomäne (2003), von welchem nun das AD entfernt werden muss!

    Soweit so gut - lokal als Admin angemeldet, dcpromo gestartet und los gehts...
    Jedoch erscheint nach den ersten Fenstern folgende Fehlermeldung:

    Der Versuch des Remotedomänencontroller servername1.domäne den Domänencontroller CN=zu_entfernender_server,CN=Servers,CN=standort,CN=Sites,CN=Configuration,DC=domänenname aus der Gesamtstruktur zu entfernen, ist fehlgeschlagen. "Zugriff verweigert"

    Im weiteren hätte ich nun die Möglichkeit, ein Konto anzugeben, welches über Administrationsrechte der Gesamtstruktur der Domäne verfügt...

    Das verwundert mich nun doch, zumal ich

    a) mich mit dem Administratorkonto authentifiziert und angemeldet habe,
    b) ich bei der nochmaligen Eingabe der Benutzerinformationen (logischerweise) immer wieder den selben Fehler bekomme und
    c) mir kein Benutzer/Konto bekannt ist, der/welches diese geforderten Berechtigungen haben sollte (Mitglied in Orga-Admins-Grp, etc)

    Hat jemand eine Idee, woran das liegen könnte bzw. welche Lösung gäbe es, den DC "händisch" aus der Domäne zu entfernen und ihn als Mitgliedsserver weiter zu betreiben?

     

    MfG Harald
    Donnerstag, 1. Juli 2010 05:44
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Bonjour,

    > Hat jemand eine Idee, woran das liegen könnte bzw. welche Lösung gäbe es, den DC "händisch" aus der Domäne zu entfernen und ihn als Mitgliedsserver weiter zu betreiben?

    die Meldung "Zugriff verweigert" ist eindeutig. Versuchst du das Herunterstufen auch mit dem "echten" Domänen-Admin? Falls nicht, teste das einmal.
    Desweiteren kannst du den DC "mit Gewalt" herunterstufen. Dazu musst du auf den DC das "DCPROMO /FORCEREMOVAL" ausführen. Damit entfernst du aber nur die AD-Daten lokal vom DC. Die DC-Informationen sind weiterhin noch im AD gespeichert. Du musst dann noch im zweiten Schritt die Metadaten des AD bereinigen.

    Beides ist in dem folgenden Artikel beschrieben:

    [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
    http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx

    Wenn du den DC mit Gewalt heruntergestuft hast, befindet sich dieser nicht mehr in der Domäne sondern in einer Arbeitsgruppe. Wenn alle Arbeiten durchgeführt wurden, kannst du ihn aber zur Domäne als Mitgliedsserver hinzufügen.

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 1. Juli 2010 09:52
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Bonjour,

    > Hat jemand eine Idee, woran das liegen könnte bzw. welche Lösung gäbe es, den DC "händisch" aus der Domäne zu entfernen und ihn als Mitgliedsserver weiter zu betreiben?

    die Meldung "Zugriff verweigert" ist eindeutig. Versuchst du das Herunterstufen auch mit dem "echten" Domänen-Admin? Falls nicht, teste das einmal.
    Desweiteren kannst du den DC "mit Gewalt" herunterstufen. Dazu musst du auf den DC das "DCPROMO /FORCEREMOVAL" ausführen. Damit entfernst du aber nur die AD-Daten lokal vom DC. Die DC-Informationen sind weiterhin noch im AD gespeichert. Du musst dann noch im zweiten Schritt die Metadaten des AD bereinigen.

    Beides ist in dem folgenden Artikel beschrieben:

    [LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
    http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Windows+Server+2008+Bereinigen.aspx

    Wenn du den DC mit Gewalt heruntergestuft hast, befindet sich dieser nicht mehr in der Domäne sondern in einer Arbeitsgruppe. Wenn alle Arbeiten durchgeführt wurden, kannst du ihn aber zur Domäne als Mitgliedsserver hinzufügen.

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 1. Juli 2010 09:52
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Yusuf,

    auf einem DC kann man sich ja nur mit einem Konto innerhalb der Domäne anmelden.
    Eine "Arbeitsgruppenanmeldung" ist ja nur auf den Workstations bzw. Mitgliedsservern möglich, auch wenn man dies wohl seltenst tut.

    Von daher bin ich mir schon sicher, dass die Anmeldung/Authentifizierung über das "echte" Domänen-Admin-Konto erfolgt, welcher in allen relevanten gruppen Mitglied von Haus aus ist.

    Behält der Server nach erzwungener Herabstufung seine anderen Rollen (Dateiserver, etc.)?

    MfG Harald
    Donnerstag, 1. Juli 2010 10:12
    |
  • Question
    Anmelden
    0
    Anmelden

    > auf einem DC kann man sich ja nur mit einem Konto innerhalb der Domäne anmelden.

    Ja, standardmäßig kann sich der Domänen-Admin lokal am DC anmelden. Ich zielte aber darauf, ob du evtl. einen "eigenen" Benutzer erstellt und diesen "angeblich" zur Gruppe "Domänen-Admins" hinzugefügt hast. Deshalb wollte ich sichergestellt haben, ob das Problem mit dem Benutzer "Administrator", der Mitglied in der Gruppe "Domänen-Admins" ist immer noch besteht.

    > Eine "Arbeitsgruppenanmeldung" ist ja nur auf den Workstations bzw. Mitgliedsservern möglich, auch wenn man dies wohl seltenst tut.

    Das hast du missverstanden.

    > Von daher bin ich mir schon sicher, dass die Anmeldung/Authentifizierung über das "echte" Domänen-Admin-Konto erfolgt,
    > welcher in allen relevanten gruppen Mitglied von Haus aus ist. 

    "Schon sicher" klingt nicht gerade vertrauensvoll. Verifiziere das, ggf. mit whoami.

    [LDAP://Yusufs.Directory.Blog/ - Alle Gruppenmitgliedschaften eines Benutzers exportieren]
    http://blog.dikmenoglu.de/Alle+Gruppenmitgliedschaften+Eines+Benutzers+Exportieren.aspx

    > Behält der Server nach erzwungener Herabstufung seine anderen Rollen (Dateiserver, etc.)?

    Ja, klar.

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 1. Juli 2010 11:31
    |
    Moderator