none
ActiveDirectory_DomainService ID 2902 RRS feed

  • Frage

  • Guten Tag,

    ich wollte heute eine Domäne auf die Funktionsebene von Windows Server 2012 R2 anheben. Alle DomänenController im AD sind auch Windows Server 2012R2 Maschinen. Jedoch wird einer angemeckert das er dies nicht sei?

    Die Funktionsebene der Domäne konnte nicht mithilfe der Active Directory-Domänendienste aktualisiert werden, da sich der folgende Active Directory-Domänencontroller auf einer niedrigeren Funktionsebene als der angeforderten neuen Funktionsebene der Domäne befindet. 
     
    Objekt:
    DC=Domain,DC=local 
    NTDS-Einstellungsobjekt des Active Directory-Domänencontrollers:
    CN=NTDS Settings,CN=SRV099,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=Domain,DC=local


    Update: Auf dem betreffenden Server konnte ich nun den Fehler ActiveDirectory_DomainService mit Event ID 2916 und 1224 sehen, es ist ein RODC.

    Problem scheint wohl die Event ID 2916 zu sein:

    Benutzeraktion
     Wenn Sie den Fehler manuell beheben möchten, muss die richtige Funktionsebene des RODCs in das angegebene Attribut des angegebenen Objekts auf einem beschreibbaren Domänencontroller in der Domäne geschrieben werden. Die Funktionsebene des beschreibbaren Domänencontrollers muss mindestens Windows Server 2008 R2 sein.
     
     
    Attributname: 
    905b3 (msDS-Behavior-Version) 
    Richtige Funktionsebene des RODCs: 
    6 
    Objekt-DN: 
    CN=NTDS Settings,CN=SRV099,CN=Standort,CN=Sites,CN=Configuration,DC=Domain,DC=local 

    Jedoch konnte ich im ADSI-Edit den Wert nicht finden bzw.  Eintrag msDS-Behavior-Version



    Firewall oder ähnliches ist nicht dazwischen was blockt.
    • Bearbeitet MaddinB Mittwoch, 24. Oktober 2018 07:49
    Mittwoch, 24. Oktober 2018 06:22

Alle Antworten

  • > CN=NTDS Settings,CN=SRV099,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=Domain,DC=local

    Dann schau doch da mal mit ADSIEdit rein und prüfe msDS-Behavior-Version. Sollte 6 sein IMHO (steht auch dahinter, welcher OS-Version das entspricht).

    Mittwoch, 24. Oktober 2018 10:48
  • @Martin Binder, es gab garkeinen msDS-Behavior-Version Eintrag bei diesem Server. Ich habe aber noch einen zweiten RODC bei dem steht Version 4 also Windows 2008R2 aber Server selbst ist ein Server 2016?!

    Ich habe einenvon den beiden RODC einfach mal entfernt und wollte ihn wieder als neuen RODC in die Domäne fahren, dabei kommt aber die Fehlermeldung:

    Ich vermute es liegt daran das der AD Papierkorb aktiviert ist und die Daten dort noch liegen?


    • Bearbeitet MaddinB Mittwoch, 24. Oktober 2018 16:36
    Mittwoch, 24. Oktober 2018 16:18
  • Ich habe den RODC jetzt erneut in die Domäne bekommen in dem ich das Computerkonto einmal gelöscht habe und ihn erneut der Domäne hinzugefügt haben.

    Ich habe aber nun das selbe ursprüngliche Problem. Das bei msDS-Behavior-Version bei diesem Server 4 steht. Es ist aber ein Windows 2012R2 ? Wieso steht bei allen RODC immer nur Version 4 ??

    Donnerstag, 25. Oktober 2018 09:48
  • Andere hatten das Problem auch schon: https://social.technet.microsoft.com/Forums/ie/en-US/91f7e8ab-b96f-4190-a289-801c005873c9/issue-with-msdsbehaviorversion?forum=winserverDS

    Die haben auf einem schreibbaren DC einfach 6 reingeschrieben für den RODC, den dann neu gebootet.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 25. Oktober 2018 10:05
  • Das dachte ich mir jetzt auch zu tun. Das Problem scheint daher zu wirken das der RODC das Recht nicht dafür besitzt? Das meldet er ja auch :

    Zusätzliche Daten 
    Fehlerwert:
    32 Keine ausreichenden Rechte
    00002098: SecErr: DSID-03150F93, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
     
    Interne ID:
    32b0b38

    Aber wieso interessiert mich immer?

    Donnerstag, 25. Oktober 2018 10:07
  • Weil die Domäne selber das ja nicht wissen kann, was ein DC so unterstützt. Aus LDAP-Sicht ist das ja keine Windows-Eigenschaft, sondern eine LDAP-Server-Eigenschaft. Darunter könnte genauso ein SAMBA stecken, das kann ja seit 4.0 auch als DC arbeiten.

    Also schreib 6 rein oder ändere die ACL so, daß der RODC das selber schreiben kann, das müßte auch reichen.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 25. Oktober 2018 13:49