none
DC lässt sich nicht hinzufügen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo, guten Morgen.

    Umgebung zwei DC's 2008 R2. Alle FSMO-Rollen auf einem. Den DC ohne Rollen entfernt. Das AD auf Level 69 für 2012 R2 angehoben. Neuen Server 2012 R2 eingerichtet, der Domäne hinzugefügt. Rolle für Active-Directory Domänendienste hinzugefügt. Assistent durch geklickt ohne etwas zu verändern. Kurz vor Ende bricht es ab. Fehlermeldung:

    ----

    Das Computerkonto "Name" konnte vom Assistenten zum Installieren von Active Directory-Domänendienste ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.

    Überprüfen Sie, ob dem Benutzer, der "DCpromo.exe" ausführt, in der Standdarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde. ...

    Fehler: Zugriff verweigert

    ----

    Habe ich natürlich kontrolliert. Ist gegeben. Mehr findet man im Internet leider auch nicht.

    Jemand eine Idee? Schon mal gehabt.

    Gruss Ingo

    Mittwoch, 25. Februar 2015 11:07
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Ja. Ich denke da könnte dein Problem sein, dass das Konto schon in einer anderen OU steckt.

    Mach das doch bitte nochmal von Anfang an.

    Löschen des betreffenden Servers aus der Domain.

    Und dann nochmal von vorne.

    Der Default für Computerkonten ist ja ein Container, keine OU. Daher wirken darauf auch erstmal keine GPOs, ausser denen die auf die gesamte Domain angewendet werden.

    Mittwoch, 25. Februar 2015 12:29
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    hat der neue Server den Namen des alten DCs bekommen?

    Habit Ihr den alten DC auch AD Standorte und Dienste entfernt nach dem Herunterstufen?

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Mittwoch, 25. Februar 2015 11:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Meinolf.

    Danke für Deine schnelle Antwort. Nein, hat einen neuen Namen bekommen.

    Das andere habe ich bei meine ersten Post vergessen. Hier der Vollständigkeit halber. Der alte wurde natürlich komplett entsorgt. Mit ntdsutil kontrolliert das wirklich nichts mehr da ist. In Standorte und Dienste entfernt und auch die ganzen Zonen in der DNS bereinigt.

    Gruss Ingo

    Mittwoch, 25. Februar 2015 11:30
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    ich denke dass die Fehlermeldung recht hat.

    Das Userkonto, dass du zum Heraufstufen des Domänencontrollers nutzt verfügt nicht über die erforderlichen Berechtigungen.

    Wenn ich richtig liege, müsste dein zu Heraufstufender DC nun Mitglied in der Domäne sein(Computers Container). Jedoch fehlt ihm das Recht diesen in einen DC zu verwandeln.

    Um dieses Problem zu beheben, verwende entweder ein Konto in der Gruppe "Administratoren" oder fügen das entsprechende Konto zu der Gruppe "Administratoren" hinzu. Um diese Berechtigung einem anderen Benutzer oder einer anderen Gruppe zu erteilen,mach folgendes:

    Bearbeiten Sie im Snap-In Active Directory-Benutzer und -Gruppen die Richtlinie des Standard-Domänencontrollers auf der Organisationseinheit des Domänencontrollers.

    1. Doppelklicken Sie auf Computerkonfiguration, dann auf Windows-Einstellungen, dann auf Sicherheitseinstellungen, dann auf Lokale Richtlinien und anschließend auf Zuweisen von Benutzerrechten.
    2. Fügen Sie unter Computer und Benutzerkennungen denen für Delegierungszwecke vertraut wird das entsprechende Konto oder die entsprechende Gruppe hinzu.
    3. Wenden Sie die Richtlinie an, wobei Sie eine der folgenden Methoden verwenden:
      • Geben Sie an einer Eingabeaufforderung secedit /refreshpolicy machine_policy ein.
      • Verwenden Sie im Snap-In Standorte und Dienste (Dssite.msc) die Funktion Jetzt replizieren, um die Replikation von dem Domänencontroller, auf dem die Richtlinie geändert wurde, zu den anderen Domänencontrollern in der Domäne zu erzwingen.

    Um die aktualisierte Richtlinie zu übernehmen, starten Sie den Domänencontroller neu.

    Mittwoch, 25. Februar 2015 11:56
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo.

    Steht ja auch so auch in der Fehlermeldung und war auch meine Idee, und wie in meinem Eröffnungspost schon geschrieben habe ich das geprüft.

    Der Account mit dem das Heraufstufen ausgeführt wird ist DER Domänen-Administrator. Der ist Mitglied bei den Domänen-Admins, die wiederrum bei den lokalen Administratoren und die dürfen das laut lokaler Richtlinie. 

    Aber mit Deinem Äusserung "Wenn ich richtig liege, müsste dein zu Heraufstufender DC nun Mitglied in der Domäne sein(Computers Container). " bringst Du mich auf eine andere. Der ist nicht im Container Computer, sondern ich habe diesen schon vorher in den Container Domain Controller verschoben.

    Dazu muss man wissen, da die Domäne relativ gross ist, gibt es der Übersicht halber, viele Organisationeinheiten und die Computer- und User-Konten befinden sich nicht mehr in den Standard-OU's. So auch die DC's. Auf die neue OU wirkt natürlich die Default Policy für die Domain-Controller, aber auf die alte, wo der neue DC Default hin verschoben wird nicht mehr. Ausserdem ist der, wie gesagt nicht in der Standard Computer OU.

    Könnte das das Problem auslösen?

    Gruss Ingo

    Mittwoch, 25. Februar 2015 12:13
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo,

    füge den Account auch zu den Enterprise Admins hinzu.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Mittwoch, 25. Februar 2015 12:20
    |
  • Question
    Anmelden
    2
    Anmelden

    Ja. Ich denke da könnte dein Problem sein, dass das Konto schon in einer anderen OU steckt.

    Mach das doch bitte nochmal von Anfang an.

    Löschen des betreffenden Servers aus der Domain.

    Und dann nochmal von vorne.

    Der Default für Computerkonten ist ja ein Container, keine OU. Daher wirken darauf auch erstmal keine GPOs, ausser denen die auf die gesamte Domain angewendet werden.

    Mittwoch, 25. Februar 2015 12:29
    |
  • Question
    Anmelden
    1
    Anmelden

    OK. Werde ich beides heute Abend testen. Rückmeldung morgen.

    Gruss Ingo

    Mittwoch, 25. Februar 2015 12:32
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo.

    Heraufstufen hat jetzt einwandfrei geklappt.

    Danke. Gruss Ingo

    Mittwoch, 25. Februar 2015 22:41
    |
  • Question
    Anmelden
    1
    Anmelden
    Schön, danke für deine Rückmeldung. Würdest du noch markieren was für dich die Loesung war? :)
    Donnerstag, 26. Februar 2015 08:03
    |