Benutzer mit den meisten Antworten
DC lässt sich nicht hinzufügen

Frage
-
Hallo, guten Morgen.
Umgebung zwei DC's 2008 R2. Alle FSMO-Rollen auf einem. Den DC ohne Rollen entfernt. Das AD auf Level 69 für 2012 R2 angehoben. Neuen Server 2012 R2 eingerichtet, der Domäne hinzugefügt. Rolle für Active-Directory Domänendienste hinzugefügt. Assistent durch geklickt ohne etwas zu verändern. Kurz vor Ende bricht es ab. Fehlermeldung:
----
Das Computerkonto "Name" konnte vom Assistenten zum Installieren von Active Directory-Domänendienste ("Dcpromo.exe") nicht in ein Active Directory-Domänencontrollerkonto konvertiert werden.
Überprüfen Sie, ob dem Benutzer, der "DCpromo.exe" ausführt, in der Standdarddomänencontroller-Richtlinie das Benutzerrecht "Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird" gewährt wurde. ...
Fehler: Zugriff verweigert
----
Habe ich natürlich kontrolliert. Ist gegeben. Mehr findet man im Internet leider auch nicht.
Jemand eine Idee? Schon mal gehabt.
Gruss Ingo
Antworten
-
Ja. Ich denke da könnte dein Problem sein, dass das Konto schon in einer anderen OU steckt.
Mach das doch bitte nochmal von Anfang an.
Löschen des betreffenden Servers aus der Domain.
Und dann nochmal von vorne.
Der Default für Computerkonten ist ja ein Container, keine OU. Daher wirken darauf auch erstmal keine GPOs, ausser denen die auf die gesamte Domain angewendet werden.
- Als Antwort vorgeschlagen Dennis Hohnl Donnerstag, 26. Februar 2015 08:03
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 10:31
Alle Antworten
-
Hallo,
hat der neue Server den Namen des alten DCs bekommen?
Habit Ihr den alten DC auch AD Standorte und Dienste entfernt nach dem Herunterstufen?
Best regards
Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://blogs.msmvps.com/MWeberDisclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
Twitter: -
Hallo Meinolf.
Danke für Deine schnelle Antwort. Nein, hat einen neuen Namen bekommen.
Das andere habe ich bei meine ersten Post vergessen. Hier der Vollständigkeit halber. Der alte wurde natürlich komplett entsorgt. Mit ntdsutil kontrolliert das wirklich nichts mehr da ist. In Standorte und Dienste entfernt und auch die ganzen Zonen in der DNS bereinigt.
Gruss Ingo
-
Moin,
ich denke dass die Fehlermeldung recht hat.
Das Userkonto, dass du zum Heraufstufen des Domänencontrollers nutzt verfügt nicht über die erforderlichen Berechtigungen.
Wenn ich richtig liege, müsste dein zu Heraufstufender DC nun Mitglied in der Domäne sein(Computers Container). Jedoch fehlt ihm das Recht diesen in einen DC zu verwandeln.
Um dieses Problem zu beheben, verwende entweder ein Konto in der Gruppe "Administratoren" oder fügen das entsprechende Konto zu der Gruppe "Administratoren" hinzu. Um diese Berechtigung einem anderen Benutzer oder einer anderen Gruppe zu erteilen,mach folgendes:
Bearbeiten Sie im Snap-In Active Directory-Benutzer und -Gruppen die Richtlinie des Standard-Domänencontrollers auf der Organisationseinheit des Domänencontrollers.
- Doppelklicken Sie auf Computerkonfiguration, dann auf Windows-Einstellungen, dann auf Sicherheitseinstellungen, dann auf Lokale Richtlinien und anschließend auf Zuweisen von Benutzerrechten.
- Fügen Sie unter Computer und Benutzerkennungen denen für Delegierungszwecke vertraut wird das entsprechende Konto oder die entsprechende Gruppe hinzu.
- Wenden Sie die Richtlinie an, wobei Sie eine der folgenden Methoden verwenden:
- Geben Sie an einer Eingabeaufforderung secedit /refreshpolicy machine_policy ein.
- Verwenden Sie im Snap-In Standorte und Dienste (Dssite.msc) die Funktion Jetzt replizieren, um die Replikation von dem Domänencontroller, auf dem die Richtlinie geändert wurde, zu den anderen Domänencontrollern in der Domäne zu erzwingen.
Um die aktualisierte Richtlinie zu übernehmen, starten Sie den Domänencontroller neu.
-
Hallo.
Steht ja auch so auch in der Fehlermeldung und war auch meine Idee, und wie in meinem Eröffnungspost schon geschrieben habe ich das geprüft.
Der Account mit dem das Heraufstufen ausgeführt wird ist DER Domänen-Administrator. Der ist Mitglied bei den Domänen-Admins, die wiederrum bei den lokalen Administratoren und die dürfen das laut lokaler Richtlinie.
Aber mit Deinem Äusserung "Wenn ich richtig liege, müsste dein zu Heraufstufender DC nun Mitglied in der Domäne sein(Computers Container). " bringst Du mich auf eine andere. Der ist nicht im Container Computer, sondern ich habe diesen schon vorher in den Container Domain Controller verschoben.
Dazu muss man wissen, da die Domäne relativ gross ist, gibt es der Übersicht halber, viele Organisationeinheiten und die Computer- und User-Konten befinden sich nicht mehr in den Standard-OU's. So auch die DC's. Auf die neue OU wirkt natürlich die Default Policy für die Domain-Controller, aber auf die alte, wo der neue DC Default hin verschoben wird nicht mehr. Ausserdem ist der, wie gesagt nicht in der Standard Computer OU.
Könnte das das Problem auslösen?
Gruss Ingo
-
Hallo,
füge den Account auch zu den Enterprise Admins hinzu.
Best regards
Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://blogs.msmvps.com/MWeberDisclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.
Twitter: -
Ja. Ich denke da könnte dein Problem sein, dass das Konto schon in einer anderen OU steckt.
Mach das doch bitte nochmal von Anfang an.
Löschen des betreffenden Servers aus der Domain.
Und dann nochmal von vorne.
Der Default für Computerkonten ist ja ein Container, keine OU. Daher wirken darauf auch erstmal keine GPOs, ausser denen die auf die gesamte Domain angewendet werden.
- Als Antwort vorgeschlagen Dennis Hohnl Donnerstag, 26. Februar 2015 08:03
- Als Antwort markiert Teodora MilushevaModerator Freitag, 27. Februar 2015 10:31