none
RODC Installation Prerequisites Check failed: the security groups that you specified for the PRP... are not valid, The Parameter is incorrect RRS feed

  • Allgemeine Diskussion

  • Hallo Liebe Community,

    Wenn ich versuche einen RODC in eine Subdomäne aufzunehmen bekomme ich beim Prerequisites Check immer folgende Fehlermeldung:

    Verification of prerequisites for Domain Controller promotion failed. The security groups that you specified for the Password Replication Policy for this read-only domain controller are not valid. The parameter is incorrect.

    Dabei ist es völlig egal in welcher Subdomäne ich den RODC erstellen will.

    Die Umgebung besteht aus einem Forest und diversen Subdomänen.
    Der Forestlevel ist 2003, der Domänenlevel ist bei der einen Domäne 2012r2, bei allen anderen auch 2003.
    Es gibt in jeder Subdomäne ws2012r2 und ws2k3 DCs, FSMO Rollen sind alle auf entsprechenden 2012r2 DCs. Es gibt pro Domäne 3 Sites, 2Sites in denen ws2k12r2 stehen die als Ersatz für dortige ws2k3 stehen, eine in der ein ws2k3 steht der eben durch rodc ersetzt werden soll.

    Addprep /forestprep wurde schon gemacht als 212r2 dcs hinzugefügt wurden.
    Addprep /rodcprep wurde auch ausgeführt. (auf dem DC mit fsmo des Forests)

    In einer Testumgebung ebenfalls 2003 forest und subdomänen klappte die Installation ohne Probleme. (keine Firewalls zwischen "simulierten" Standorten).

    Nachtrag DNS Einstellungen:

    Jeder DC im Forest hat DNS, die Subdomänen haben keine eigene Zone.

    Was ich bisher versucht habe:

    ADDS Services+DNS installiert; keine weiteren Anpassungen bei Rollen und Features alles die vorkonfigurierten Einstellungen.

    Die Konfiguration erfolgte direkt vom neuem RODC aus oder vom DC mit den FSMO- Rollen der Domäne:

    Mit und ohne Domänenzugehörigkeit versucht hochzustufen,

    Mit Domänen oder Forestadmin Berechtigungen versucht hochzustufen.

    Builtin/Gruppen bei den Einrichtung unter RODC-Optionen entfernt aus "Accounts that are denied from replicating Passwords to the rodc".

    Erst wenn alle "Builtin" Gruppen entfernt wurden bringt er keine Fehlermeldung beim Pre-Check

    Ein Vergleich von c:\windows\debug\dcpromoui.log mit der testumgebung und der ProduktivUmgebung ergab aus meiner Sicht ein Problem eben bei diesen builtin\gruppen 

    bei der Fehlersuche evtl. hilfreiche Änderung im Vergleich zur Testumgebung habe ich fett markiert.

    -----------------------------------------------
    Auszug aus dem Log (Domänennamen durch Subdomäne ersetzt):
    -----------------------------------------------

    dcpromoui 6FC.3C8 06F8 13:37:45.199               HRESULT = 0x00000000
    dcpromoui 6FC.3C8 06F9 13:37:45.199             Enter DS::LookupNames
    dcpromoui 6FC.3C8 06FA 13:37:45.199               There are 6 names to look up.
    dcpromoui 6FC.3C8 06FB 13:37:45.215               LsaLookupNames2 returned 0x107
    dcpromoui 6FC.3C8 06FC 13:37:45.215               Original name: Subdomäne\Allowed RODC Password Replication Group  Resolved name:   Domain name: Subdomäne
    dcpromoui 6FC.3C8 06FD 13:37:45.215               DN:
    dcpromoui 6FC.3C8 06FE 13:37:45.215               Status : VALID  sid type: SidTypeAlias  security enabled: true
    dcpromoui 6FC.3C8 06FF 13:37:45.215               Original name: BUILTIN\Administrators  Resolved name:   Domain name:
    dcpromoui 6FC.3C8 0700 13:37:45.215               DN:
    dcpromoui 6FC.3C8 0701 13:37:45.215               Status : UNRESOLVED  sid type: SidTypeUnknown  security enabled: true
    dcpromoui 6FC.3C8 0702 13:37:45.215               Original name: BUILTIN\Server Operators  Resolved name:   Domain name:
    dcpromoui 6FC.3C8 0703 13:37:45.215               DN:
    dcpromoui 6FC.3C8 0704 13:37:45.215               Status : UNRESOLVED  sid type: SidTypeUnknown  security enabled: true
    dcpromoui 6FC.3C8 0705 13:37:45.215               Original name: BUILTIN\Backup Operators  Resolved name:   Domain name:
    dcpromoui 6FC.3C8 0706 13:37:45.215               DN:
    dcpromoui 6FC.3C8 0707 13:37:45.215               Status : UNRESOLVED  sid type: SidTypeUnknown  security enabled: true
    dcpromoui 6FC.3C8 0708 13:37:45.215               Original name: BUILTIN\Account Operators  Resolved name:   Domain name:
    dcpromoui 6FC.3C8 0709 13:37:45.215               DN:
    dcpromoui 6FC.3C8 070A 13:37:45.215               Status : UNRESOLVED  sid type: SidTypeUnknown  security enabled: true
    dcpromoui 6FC.3C8 070B 13:37:45.215               Original name: Subdomäne\Denied RODC Password Replication Group  Resolved name:   Domain name: Subdomäne
    dcpromoui 6FC.3C8 070C 13:37:45.215               DN:
    dcpromoui 6FC.3C8 070D 13:37:45.215               Status : VALID  sid type: SidTypeAlias  security enabled: true
    dcpromoui 6FC.3C8 070E 13:37:45.216             DS::LookupNames returns 0x80070515
    dcpromoui 6FC.3C8 070F 13:37:45.216             Enter AutoLsaOpenPolicy::Close
    dcpromoui 6FC.3C8 0710 13:37:45.217             Enter AutoWNetConnection::CloseExistingConnection
    dcpromoui 6FC.3C8 0711 13:37:45.217           DS::ProcessAllowedAndDeniedGroups returns 0x80070515
    dcpromoui 6FC.3C8 0712 13:37:45.217         There are unmapped accounts in the user-defined password replication.
    dcpromoui 6FC.3C8 0713 13:37:45.217         Enter OutputInvalidPasswordReplicationPolicy
    dcpromoui 6FC.3C8 0714 13:37:45.217           Enter State::GetReplicaDomainDNSName Subdomäne.spa.local
    dcpromoui 6FC.3C8 0715 13:37:45.217           Info:
    dcpromoui 6FC.3C8 0716 13:37:45.217           Info: The account name 'BUILTIN\Administrators' could not be looked up.
    dcpromoui 6FC.3C8 0717 13:37:45.217           Info: The account name 'BUILTIN\Server Operators' could not be looked up.
    dcpromoui 6FC.3C8 0718 13:37:45.217           Info: The account name 'BUILTIN\Backup Operators' could not be looked up.
    dcpromoui 6FC.3C8 0719 13:37:45.217           Info: The account name 'BUILTIN\Account Operators' could not be looked up.
    dcpromoui 6FC.3C8 071A 13:37:45.217           Info:
    dcpromoui 6FC.3C8 071B 13:37:45.217         Enter GetErrorMessage 80070057
    dcpromoui 6FC.3C8 071C 13:37:45.217       performed state 22, next state 37
    dcpromoui 6FC.3C8 071D 13:37:45.219       Error: The security groups that you specified for the Password Replication Policy for this read-only domain controller are not valid. The parameter is incorrect.
    dcpromoui 6FC.3C8 071E 13:37:45.219       Enter State::GetHadNonCriticalFailures
    dcpromoui 6FC.3C8 071F 13:37:45.219         bHadNonCriticalFailures = false
    dcpromoui 6FC.3C8 0720 13:37:45.219     Enter State::UnbindFromReplicationPartnetDC
    dcpromoui 6FC.3C8 0721 13:37:45.220     Exit code is 76
    dcpromoui 6FC.3C8 0722 13:37:45.220   Exit code is 76

    Es gibt einen Beitrag zu rodc compatibility pack for windowsserver 2003. Ich finde aber da keinen Hinweis das es bei der RODC-Installation schon zu Problemen kommt wenn das pack nicht installiert ist. die Ws2k3 sollen ja nach erfolgreichem rodc einsetzen aus dem Standort entfernt werden.

    Ich steh im Moment auf der Stelle und komme nicht weiter.


    Hat jemand ein ähnliches Problem gehabt oder einen Lösungsansatz?


    Montag, 6. Juli 2015 12:59

Alle Antworten

  • Hallo Torty,

    in der Regel sind die Gruppen voreingestellt und Sie brauchen sie nicht hinzufügen. Die Gruppen sind auf "Denied" voreingestellt (Aus Sicherheitsgrunden sollte der RODC keine Anmeldeinformationen aus diesen Gruppen zwischenspeichern). Password Replication Policy

    By default, the Allowed RODC Password Replication Group has no members. Also by default, the Allowed List attribute contains only the Allowed RODC Password Replication Group.

    By default, the Denied RODC Password Replication Group contains the following members:

    •         Enterprise Domain Controllers
    •         Enterprise Read-Only Domain Controllers
    •         Group Policy Creator Owners
    •         Domain Admins
    •         Cert Publishers
    •         Enterprise Admins
    •         Schema Admins
    •         Domain-wide krbtgt account

    By default, the Denied List attribute contains the following security principals, all of which are built-in groups:

    •         Denied RODC Password Replication Group
    •         Account Operators
    •         Server Operators
    •         Backup Operators
    •          Administrators

    Das ist "By Design".

    Im Grunde sollten solche Berechtigungsgruppen /-Konten nie mit dem RODC interagieren. Der RODC sollte nur installiert werden und alleine als eine "Bridgehead" - Verbindung für die Domäne zugelassen werden.

    800070057: ein oder mehrere Argumente sind ungültig.

    Grüße

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.






    Dienstag, 7. Juli 2015 10:58
    Moderator
  • By default, the Allowed RODC Password Replication Group has no members. Also by default, the Allowed List attribute contains only the Allowed RODC Password Replication Group.

    By default, the Denied RODC Password Replication Group contains the following members:

    •         Enterprise Domain Controllers
    •         Enterprise Read-Only Domain Controllers
    •         Group Policy Creator Owners
    •         Domain Admins
    •         Cert Publishers
    •         Enterprise Admins
    •         Schema Admins
    •         Domain-wide krbtgt account

    By default, the Denied List attribute contains the following security principals, all of which are built-in groups:

    •         Denied RODC Password Replication Group
    •         Account Operators
    •         Server Operators
    •         Backup Operators
    •          Administrators

    Das ist "By Design".

    ...

    800070057: ein oder mehrere Argumente sind ungültig.


    Hallo Michaela,

    Ich habe eben keine Änderung an diesen Gruppen vorgenommen. Ich starte die RODC-Konfiguration, "klicke" einfach alles Durch und bekomme die oben beschriebene Fehlermeldung´.

    Dienstag, 7. Juli 2015 11:05
  • im forest kann ich den rodc ohne Probleme platzieren,

    keine Fehlermeldung.

    Was mir noch aufgefallen ist,

    in den Subdomänen sind die builltin gruppen alle english, im Forst sind sie Deutsch.

    Aber das dürfte denke ich egal sein, oder?

    Mittwoch, 8. Juli 2015 11:35
  • Hallo Torty,

    eigentlich ist es nicht egal. Deswegen bekommen Sie die Fehlermeldung:

    Status : UNRESOLVED  sid type: SidTypeUnknown

    Die Liste kann nicht die englischen Bezeichnungen des Kontos auflösen, weil die Bezeichnungen auf Deutsch vorhanden sind.

    Versuchen Sie die Bezeichnungen des Kontos zu entfernen. Aus Sicherheitsgründen können Sie die Kontos manuell hinzufügen (nach der Promotion).

    Ich hoffe darauf, dass es danach funktionieren wird.

    Grüße

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.




    Mittwoch, 8. Juli 2015 14:17
    Moderator
  • gibt es dazu etwas zum Nachlesen? Da ich in Subdomänen die RODC ausbringen will, die ihre eigenen builtin-Gruppen haben bin ich der Meinung das sollte keinen Unterschied machen. Außerdem ergab ein weiterer Versuch das ich den RODC ohne Fehlermeldung in die Subdomänen bekomme wenn ich das RODC computerobjekt erst anlege. Da bringt er auch keine Fehlermeldungen bezüglich der Gruppen. Wenn ich danach den RODC hochstufe / in die subdomäne nehme, klappt es auch ohne Probleme.

    Somit krieg ich zwar meine RODCs in die Subdomäne aber das eigentliche Problem ist nicht gelöst.

    Dienstag, 14. Juli 2015 10:28