none
Dcpromo - Problem beim Heraufstufen - Konto kann nicht in Domänencontroller-Konto konvertiert werden RRS feed

  • Frage

  • Guten Abend zusammen,

    ich habe ein Problem bei einem Kunden von mir welches hier sicherlich auch schon oft behandelt wurde.

    Beim Heraufstufen eines DC kommt folgende Fehlermeldung:

    Das Computerkonto konnte vom Assistenten zum Installieren von Active-Directory-Domänendiensten ("Dcpromo.exe") nicht in einen Active Directory-Domänencontrollerkonto konvertiert werden. Bitte überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" asuführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde.

    Die in der Fehlermeldung vorgeschlagene Lösung habe ich natürlich direkt ausgeführt.



    Zur Situation:

    Ich habe in meiner Gesamtstruktur einen Standort und eine Domäne in der aktuell noch ein DC mit Windows Server 2003 SP2 läuft. Vorher gab es noch einen zweiten DC mit Windows Server 2008 R2, dieser sollte eigentlich den 2003er ablösen, hatte aber Fehler und musste letztlich manuell entfernt werden, da der Server nicht mehr gestartet werden konnte. Jetzt soll wieder ein weiterer DC eingerichtet werden mit Windows Server 2012.



    Was habe ich bereits getan?

    • Zuerst den defekten 2008er DC manuell entfernt, hierfür habe ich die Metadaten gesäubert, den Server aus der ADU, den AD Standorten entfernt. (Der Server war kein Master) und den DNS Server bereinigt.
    • Ich habe die Metadaten vom AD kontrolliert ob die Bereinigung Erfolgreich war (alles Erfolgreich).
    • DCDiag.exe wurde auf dem 2003er DC durchgeführt, alle Tests waren erfolgreich.
    • Netdiag.exe wurde auf dem 2003er DC durchgeführt, auch alle Tests erfolgreich bestanden.
    • Ich habe kontrolliert, ob der Domänen-Admin (mit diesem wurde Dcpromo.exe ausgeführt) in allen Gruppen vorhanden ist (Administratoren, Domänen-Admins, Schema-Admins, Organisations-Admins).
    • Die oben genannte Richtlinie für Delegierungen wurde auf dem 2003er DC geprüft (alle Administratoren sind berechtigt, ich habe den entsprechenden Support-Artikel abgearbeitet).
    • Ich habe geschaut, dass das Computerkonto vom neuen DC im Standardcontainer der AD liegt (Computers).
    • Ich habe natürlich die Windows-Firewall deaktiviert und es probiert ohne den 2012er DC vorher in die Domäne zu nehmen.
    • Ich habe mir die Berechtigungen auf den einzelnen Containern und OUs angeschaut (der Domänen-Admin hat überall Vollzugriff).
    • Ich habe vom neuen Server einen Ping ausgeführt und bekomme über IP, Hostname und FQDN antworten.

    Zwischen zeitlich habe ich das ganze Prozedere auch wieder mit einem neuen Windows Server 2008 R2 ausprobiert, da kommt aber der gleiche Fehler also habe ich den wieder gelöscht und probiere es weiter mit dem 2012 Server.

    Nachdem ich den defekten DC entfernt hatte und kontrolliert hatte das dieser restlos entfernt ist habe ich den DC mit Adprep vorbereitet, auch hier gab es keine Fehler. Ich habe TCP/IP V6 beim neuen Server deaktivert, Updates installiert, diesen in die Domäne gebracht und die Active-Directory Rolle installiert. Danach habe ich den Assistenten zum heraufstufen gestartet und diesen soweit durchgeführt bis der Fehler kommt.

    Was mir aufgefallen ist, der neue DC ist schon unter den Standorten eingetragen allerdings ohne NTDS Settings. Sonst wird dieser Server außer als Computerkonto nirgendwo angezeigt auf dem alten DC. Ich weiß nicht inwiefern das normal ist bei diesem Schritt der Installation.

    Alles was ich getan habe, wurde nach Anleitungen von Microsoft durchgeführt. Ich habe nun schon Tage lang Google bemüht, lese allerdings immer wieder die gleichen Vorschläge die ich hier auch aufgeführt habe. 

    Ich hoffe ihr könnt mir helfen.

    Gruß

    Steffen

    Freitag, 5. Mai 2017 17:27

Antworten

Alle Antworten

  • Hi,
     
    Am 05.05.2017 um 19:27 schrieb Klarwasser:
    > Beim Heraufstufen eines DC kommt folgende Fehlermeldung:
     
    Raume noch mal auf. AD (Metadata Cleanup) inkl. DNS, WINS und
    Sites/Services. Der 2003 sollte zur Zeit alle FSMOs haben.
     
    Installiere 2012, deaktivere ipv6 über den RegKey DisabledComponents(!)
    das ist wichtig, Bindung deaktivieren in den Verbindung geht nicht.
     
    Trage den 2003 als DNS beim 2012 ein, das sollte reichen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Samstag, 6. Mai 2017 08:09
  • Hallo vielen Dank für deine Antwort.

    Es funktioniert leider immer noch nicht der gleiche Fehler wird ausgegeben.

    Ich habe den 2012er aus der Domäne genommen, habe die AD Rolle wieder deinstalliert und danach alles wie beschrieben am 2003er gesäubert. Nur mein 2003er DC wird überall angezeigt.

    Danach habe ich bei dem 2012 IPV6 über den RegKey deaktivert, habe den Server wieder in die Domäne gebracht, mich lokal angemeldet, die AD Rolle installiert und habe DCPromo mit dem Domänen-Admin ausgeführt. Der gleiche Fehler taucht kurz vor Abschluss der Installation wieder auf.

    Auf dem neuen Server bekomme ich im Ergeinislog bei der Installation zwei Fehler angezeigt:

       

    Internal event: The local directory service received an exception from a remote procedure call (RPC) connection. Extended error information is not available. 

    directory service: 
    server-01.xxx.intern 

    Additional Data 
    Error value: 
    Das Handle ist ungültig. (6)


       

    Internal error: An Active Directory Domain Services error has occurred. 

    Additional Data 
    Error value (decimal):
    -1073741823 
    Error value (hex):
    c0000001 
    Internal ID:
    3001807

    Im Dcpromoui.log finde ich den Fehler vor der auch im Assistenten steht:

    dcpromoui 81C.9EC 2038 19:17:12.659     Enter DeallocateAppPartitionList
    dcpromoui 81C.9EC 2039 19:17:12.659     Enter DoProgressLoop
    dcpromoui 81C.9EC 203A 19:17:12.659       Enter State::GetOperation REPLICA
    dcpromoui 81C.9EC 203B 19:17:12.659       Enter TxtProgressReporter::UpdateButton
    dcpromoui 81C.9EC 203C 19:17:12.659         Enter TxtProgressReporter::UpdateButton Abbrechen
    dcpromoui 81C.9EC 203D 19:18:00.054       Enter TxtProgressReporter::UpdateButton 
    dcpromoui 81C.9EC 203E 19:18:00.054       Progress loop complete.
    dcpromoui 81C.9EC 203F 19:18:00.054       Calling DsRoleGetDcOperationResults
    dcpromoui 81C.9EC 2040 19:18:00.055       Error 0x0 (!0 => error)
    dcpromoui 81C.9EC 2041 19:18:00.055       Operation results:
    dcpromoui 81C.9EC 2042 19:18:00.055       OperationStatus      : 0x5 !0 => error
    dcpromoui 81C.9EC 2043 19:18:00.055       DisplayString        : Das Computerkonto "SVRTEMP$" konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.

    Überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" ausführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde.

    Weitere Informationen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=178406" (Abschnitt "Lösung").

    Fehler:
    dcpromoui 81C.9EC 2044 19:18:00.055       ServerInstalledSite  : (null)
    dcpromoui 81C.9EC 2045 19:18:00.055       OperationResultsFlags: 0x0
    dcpromoui 81C.9EC 2046 19:18:00.055       Enter State::SetOperationResultsMessage Das Computerkonto "SVRTEMP$" konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.

    Überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" ausführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde.

    Weitere Informationen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=178406" (Abschnitt "Lösung").

    Fehler:
    dcpromoui 81C.9EC 2047 19:18:00.055       Enter State::SetOperationResultsFlags 0x0
    dcpromoui 81C.9EC 2048 19:18:00.055   Exception caught
    dcpromoui 81C.9EC 2049 19:18:00.055   catch completed
    dcpromoui 81C.9EC 204A 19:18:00.055   handling exception
    dcpromoui 81C.9EC 204B 19:18:00.055   Enter EnableConsoleLocking
    dcpromoui 81C.9EC 204C 19:18:00.055     Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    dcpromoui 81C.9EC 204D 19:18:00.056     Enter RegistryKey::SetValue-DWORD DisableLockWorkstation
    dcpromoui 81C.9EC 204E 19:18:00.056   Enter State::SetOperationResults result FAILURE
    dcpromoui 81C.9EC 204F 19:18:00.056   Enter State::IsOperationRetryAllowed
    dcpromoui 81C.9EC 2050 19:18:00.056     true
    dcpromoui 81C.9EC 2051 19:18:00.056   credentials were invalid, hr=0x80070005
    dcpromoui 81C.9EC 2052 19:18:00.056   Enter ComposeFailureMessage
    dcpromoui 81C.9EC 2053 19:18:00.056     Enter GetErrorMessage 80070005
    dcpromoui 81C.9EC 2054 19:18:00.056     Enter State::GetOperationResultsMessage Das Computerkonto "SVRTEMP$" konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.

    Überprüfen Sie, ob dem Benutzer, der "Dcpromo.exe" ausführt, in der Standarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde.

    Weitere Informationen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=178406" (Abschnitt "Lösung").

    Fehler:
    dcpromoui 81C.9EC 2055 19:18:00.056     Enter State::GetOperationResultsFlags 0x0
    dcpromoui 81C.9EC 2056 19:18:00.056     Enter State::GetOperationResultsFlags 0x0
    dcpromoui 81C.9EC 2057 19:18:00.056     Enter State::SetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:

    "Zugriff verweigert"
    dcpromoui 81C.9EC 2058 19:18:00.056   posting message to progress window
    dcpromoui 81C.BEC 2059 19:18:00.056         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 81C.BEC 205A 19:18:00.056         OPERATION FAILED
    dcpromoui 81C.BEC 205B 19:18:00.056         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 81C.BEC 205C 19:18:00.056         Enter State::GetUserCancelled false
    dcpromoui 81C.BEC 205D 19:18:00.056         Enter State::IsOperationRetryAllowed
    dcpromoui 81C.BEC 205E 19:18:00.056           true
    dcpromoui 81C.BEC 205F 19:18:00.056         Info: 
    dcpromoui 81C.BEC 2060 19:18:00.056       performed state 28, next state 29
    dcpromoui 81C.BEC 2061 19:18:00.056       Enter FailedFunct
    dcpromoui 81C.BEC 2062 19:18:00.056         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 81C.BEC 2063 19:18:00.056         FAILURE
    dcpromoui 81C.BEC 2064 19:18:00.056       performed state 29, next state 30
    dcpromoui 81C.BEC 2065 19:18:00.056       Enter FinishFunct
    dcpromoui 81C.BEC 2066 19:18:00.056         Enter State::GetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:

    "Zugriff verweigert"
    dcpromoui 81C.BEC 2067 19:18:00.057         Error: Der Vorgang konnte nicht durchgeführt werden. Fehler:

    "Zugriff verweigert"
    dcpromoui 81C.BEC 2068 19:18:00.057         Enter getCompletionMessage
    dcpromoui 81C.BEC 2069 19:18:00.057           Enter State::GetOperation REPLICA
    dcpromoui 81C.BEC 206A 19:18:00.057           Enter State::GetOperationResultsCode FAILURE
    dcpromoui 81C.BEC 206B 19:18:00.057           Enter NeedDsBinaryWarning
    dcpromoui 81C.BEC 206C 19:18:00.057             Enter Computer::RemoveLeadingBackslashes 
    dcpromoui 81C.BEC 206D 19:18:00.057             Enter GetProductTypeFromRegistry
    dcpromoui 81C.BEC 206E 19:18:00.057               Enter RegistryKey::Open System\CurrentControlSet\Control\ProductOptions
    dcpromoui 81C.BEC 206F 19:18:00.057               Enter RegistryKey::GetValue-String ProductType
    dcpromoui 81C.BEC 2070 19:18:00.057               ServerNT
    dcpromoui 81C.BEC 2071 19:18:00.057               prodtype : 0x3
    dcpromoui 81C.BEC 2072 19:18:00.057           Enter CheckIsServerCore
    dcpromoui 81C.BEC 2073 19:18:00.057             It is not on server foundation
    dcpromoui 81C.BEC 2074 19:18:00.057             HRESULT = 0x00000000
    dcpromoui 81C.BEC 2075 19:18:00.057           Enter State::GetOperation REPLICA
    dcpromoui 81C.BEC 2076 19:18:00.057         Info: Die Active Directory-Domänendienste wurden nicht installiert.

    Die Binärdateien der Active Directory-Domänendienste (AD DS) bleiben installiert. Wenn Sie die AD DS-Binärdateien deinstallieren möchten, verwenden Sie Server-Manager, um die AD DS-Rolle zu entfernen.
    dcpromoui 81C.BEC 2077 19:18:00.057       performed state 30, next state 31
    dcpromoui 81C.BEC 2078 19:18:00.057       Enter RebootFunct
    dcpromoui 81C.BEC 2079 19:18:00.057         Enter State::GetNeedsReboot false
    dcpromoui 81C.BEC 207A 19:18:00.057         reboot not necessary
    dcpromoui 81C.BEC 207B 19:18:00.057       performed state 31, next state 37
    dcpromoui 81C.BEC 207C 19:18:00.057       Enter State::GetHadNonCriticalFailures
    dcpromoui 81C.BEC 207D 19:18:00.057         bHadNonCriticalFailures = false
    dcpromoui 81C.BEC 207E 19:18:00.057     Enter State::UnbindFromReplicationPartnetDC
    dcpromoui 81C.BEC 207F 19:18:00.057     Exit code is 54
    dcpromoui 81C.BEC 2080 19:18:00.057   Exit code is 54
    dcpromoui 81C.85C 2081 19:25:59.337 closing log


    Auf dem alten Server habe ich in der Ereignisanzeige auch noch zwei Fehler gefunden:

    Ereignistyp: Warnung
    Ereignisquelle: SceCli
    Ereigniskategorie: Keine
    Ereigniskennung: 1202
    Datum: 06.05.2017
    Zeit: 19:33:08
    Benutzer: Nicht zutreffend
    Computer: SERVER-01
    Beschreibung:
    Die Sicherheitsrichtlinien wurden mit Warnungen propagiert. 0x4b8 : Ein erweiterter Fehler ist aufgetreten.

       

    Ereignistyp: Fehler
    Ereignisquelle: NtFrs
    Ereigniskategorie: Keine
    Ereigniskennung: 13568
    Datum: 06.05.2017
    Zeit: 19:01:01
    Benutzer: Nicht zutreffend
    Computer: SERVER-01
    Beschreibung:
    Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. 

     Name des Replikatsatzes    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" 
     Replikatstammpfad           : "c:\windows\sysvol\domain" 
     Replikatstammvolume         : "\\.\C:" n%
     Ein Replikatsatz stößt auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen werden soll, nicht vom NTFS-USN-Journal gefunden wird. Mögliche Ursachen hierfür sind: n%


    EDIT://

    Ich habe noch einmal den Fehler aus dem Dcpromolog in Google gesucht und dabei diesen Artikel gefunden:

    https://support.microsoft.com/en-us/help/2002413/dcpromo-fails-with-error-access-is-denied-if-the-user-performing-the-promotion-is-not-granted-the-trusted-for-delegation-user-right

    Hier konnte ich alle Punkte auch soweit abklären allerdings bei Punkt 3. habe ich Whoami/all ausgeführt und sehe Richtlinie nicht aktiv auf den 2003er DC.

    If the “Enable computer and user accounts to be trusted for delegation” was recently modified, or the policy granting the DCPROMO user account exists on some domain controllers in the domain but not others, check for simple replication latency or a replication failure in both Active Directory and FRS / DFSR. 

    If the policy was recently modified, have the DCPROMO user account log off and log on. Run "whoami /all" to verify that the “Enable computer and user accounts to be trusted for delegation” user right exists in the users security token.

    Ergebnis von whoami /all

    SeChangeNotifyPrivilege         Auslassen der durchsuchenden Überprüfung
             Aktiviert
    SeSecurityPrivilege             Verwalten von Überwachungs- und Sicherheitsproto
    kollen   Deaktiviert
    SeBackupPrivilege               Sichern von Dateien und Verzeichnissen
             Deaktiviert
    SeRestorePrivilege              Wiederherstellen von Dateien und Verzeichnissen
             Deaktiviert
    SeSystemtimePrivilege           Ändern der Systemzeit
             Deaktiviert
    SeShutdownPrivilege             Herunterfahren des Systems
             Deaktiviert
    SeRemoteShutdownPrivilege       Erzwingen des Herunterfahrens von einem Remotesy
    stem aus Deaktiviert
    SeTakeOwnershipPrivilege        Übernehmen des Besitzes von Dateien und Objekten
             Deaktiviert
    SeDebugPrivilege                Debuggen von Programmen
             Deaktiviert
    SeSystemEnvironmentPrivilege    Verändern der Firmwareumgebungsvariablen
             Deaktiviert
    SeSystemProfilePrivilege        Erstellen eines Profils der Systemleistung
             Deaktiviert
    SeProfileSingleProcessPrivilege Erstellen eines Profils für einen Einzelprozess
             Deaktiviert
    SeIncreaseBasePriorityPrivilege Anheben der Zeitplanungspriorität
             Deaktiviert
    SeLoadDriverPrivilege           Laden und Entfernen von Gerätetreibern
             Deaktiviert
    SeCreatePagefilePrivilege       Erstellen einer Auslagerungsdatei
             Deaktiviert
    SeIncreaseQuotaPrivilege        Anpassen von Speicherkontingenten für einen Proz
    ess      Deaktiviert
    SeUndockPrivilege               Entfernen des Computers von der Dockingstation
             Deaktiviert
    SeManageVolumePrivilege         Durchführen von Volumewartungsaufgaben
             Deaktiviert
    SeImpersonatePrivilege          Annehmen der Clientidentität nach Authentifizier
    ung      Aktiviert
    SeCreateGlobalPrivilege         Erstellen globaler Objekte
             Aktiviert

    • Bearbeitet Klarwasser Samstag, 6. Mai 2017 18:34 Mehr Informationen
    Samstag, 6. Mai 2017 17:42
  • Hallo nochmal an alle!

    Ich habe nun herausgefunden dass die Richtlinie nicht korrekt auf dem DC übernommen wird. Scheinbar habe ich genau dieses Problem hier: https://support.microsoft.com/DE/help/278316

    Jetzt die Frage wenn ich diese Schritte ausführe werden mir die Default Policies zurückgesetzt, hier habe ich bewusst nie etwas geändert. Welche Auswirkungen kann das auf meine Gesamtstruktur haben? Muss ich Angst haben das der Exchange dann aussteigt weil er möglicherweise den DC nicht mehr findet?

    Danke für alle Antworten

    Sonntag, 7. Mai 2017 08:00
  • Hi,
     
    Am 07.05.2017 um 10:00 schrieb Klarwasser:
    > Ich habe nun herausgefunden dass die Richtlinie nicht korrekt auf dem DC
    > übernommen wird. Scheinbar habe ich genau dieses Problem
     
    Lösche die secedit.sdb. Sie wird beim nächsten Neustart neuerstellt.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    • Als Antwort markiert Klarwasser Sonntag, 7. Mai 2017 20:14
    Sonntag, 7. Mai 2017 19:03
  • Danke das hat für den DC geholfen! Hier bekomme ich nun unter Whoami /all auch die Richtlinie angezeigt. Der Fehler im Eventlog ist auch weg.

    Nun kann der Exchange allerdings nicht mehr den DC finden. Wenn ich auf dem Exchange Server versuche die Gruppenrichtlinie zu aktualisieren dann schlägt das Fehl. Was kann ich tun?

    EDIT://

    Ups da war wohl ein wenig die Panik mit im Spiel :'D

    Lokale Richtlinien --> Zuweisung von Benutzerrechten --> Verwaltung von Überwachungs- und Sicherheitsprotokollen 

    Hier war mein Konto nicht drin.

    Test nun ob DCpromo jetzt läuft und melde mich dann.

    Viele Dank!

    EDIT2: //

    Endlich funktioniert das heraufstufen! Vielen Dank :)

    • Bearbeitet Klarwasser Sonntag, 7. Mai 2017 20:13 Frage beantwortet.
    Sonntag, 7. Mai 2017 20:01
  • > Nun kann der Exchange allerdings nicht mehr den DC finden. Wenn ich auf dem Exchange Server versuche die Gruppenrichtlinie zu aktualisieren dann schlägt das Fehl. Was kann ich tun?

    /Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. /

    Repariere die Sysvol-Replikation... Burflags D4 auf dem PDC, D2 auf allen anderen DCs.

    Dienstag, 9. Mai 2017 10:15