none
Demoten eines Domänencontrollers funktioniert nicht RRS feed

  • Frage

  • Beim Versuch einen alten Windows 2003 Domänencontroller zu demoten also herunterzustufen als einfachen Mitgliedserver erhalte ich folgende Meldung:

    Vorgang fehlgeschlagen. Grund: Active Directory konnte das Computerkonto DC1$ auf dem Remotedomänencontroller dc2.domaene.lokal nicht konfigurieren. „Zugriff verweigert“

    Man soll dann ein Konto angeben das über Administratorrechte für die Gesamtstruktur „domaene.lokal“ verfügt.

    Hier habe ich es mit dem Domänenadministrator und auch schon mit einem anderen Konto aus der Domänenadministrator-Gruppe versucht. Auch der Versuch mit verschiedenen Angaben beim Benutzernamen (mit und ohne Domänenpräfix) half nichts.

    Im „dcpromo.log“ steht auch nur „[Info] Error – Active Directory konnte das Computerkonto DC1$ auf dem Remotedomänencontroller dc2.domaene.lokal nicht konfigurieren. (5)“ und „[Error] Failed to demote the directory service (5)“

    Die Microsoft KB-Artikel 232070 und 2000939 wo es um das Benutzerrecht "Computer- und Benutzerkonten für Delegierungszwecke zu vertrauen" habe ich auch schon beachtet, hilft mir bei meinem Problem aber leider nicht weiter.

    Das promoten eines neuen Windows 2008 Domänencontroller zusätzlich zur bestehenden Domäne funktionierte übrigens ohne Probleme.

    Freitag, 13. April 2012 09:36

Antworten

Alle Antworten

  • Schau dir mal folgenden Artikel an: http://support.microsoft.com/kb/2002413

    Passt die Vertrauensstellung von DC1 und DC2?

    Lässt sich der 2008-DC auch wieder demoten (alternativ: weiteren DC einbinden und wieder demoten)?


    Guido Over MCITP Server Administrator 2008

    Freitag, 13. April 2012 09:55
  • Hallo,

    ist der Schutz zum versehentlichen löschen eingeschaltet auf den Eigenschaften des DCs http://technet.microsoft.com/de-de/library/cc736842(v=ws.10).aspx ?

    FSMO Rollen sind alle vorhanden auf dem DC der bleiben soll?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert seh67 Freitag, 13. April 2012 10:43
    Freitag, 13. April 2012 09:59
  • Volltreffer, ich habe tatsächlich irgendwann mal die Computerkonten der DCs vor dem zufälligen Löschen geschützt. Ich hätte aber nicht gedacht das das beim demoten ein Problem darstellt, da das Computerkonto ja nicht gelöscht wird, schon gar nicht zufällig!

    Also besten Dank nochmals für die Antworten,

    Viele Grüße,

    Sven

    Freitag, 13. April 2012 10:47
  • Das Computerkonto wird aber sehr wohl aus der OU der Domain Controllers gelöscht

    Guido Over MCITP Server Administrator 2008

    Freitag, 13. April 2012 10:52