locked
Erro novo Controlador de Dominio RRS feed

  • Pergunta

  • Boa tarde pessoal!

    Estou tentando adicionar um novo dominio a minha rede só que o mesmo está me apresentando a seguinte mensagem:

    "The operation failed because: The Active Directory Installation Wizard was unable to convert the computer account ABDCEF$ to a domain controller account.  "Access is denied.""
    "Type the user name and password of an account with sufficient privileges to creat an additional domain controller for the ABDCEF.COM.BR domain."

    O usuário que eu estou usando pertence aos grupos domain admins, enterprise admins e administrators!

    Obs: A versão do Windows do meu DC é o 2000 e o novo DC que estou querendo subir é o 2003! Já executei todos os passos de preparação da floresta e do dominio. Por esse motivo acredito que isso não seja o problema.

    Obs: Já executei os passos desse  suporte http://support.microsoft.com/?kbid=232070 mas não obtive sucesso.

    Agradeço desde já  a atenção de todos!
     

    terça-feira, 18 de julho de 2006 00:30

Respostas

  • Pessoal,

     

    para resolver o problema eu refiz o meu servidor DNS, depois de feito isso todas as Policys foram replicadas corretamente entre os servidores!

     

    Desculpa pela demora!

    segunda-feira, 14 de agosto de 2006 23:18

Todas as Respostas

  • Boa noite,

    É gerado algum Event ID relacionado a este problema?

     

    terça-feira, 18 de julho de 2006 01:56
  • Marco,

    no Event ID da máquina que estou tentando promover não encontrei erro mas no Domain Controller encontrei o erro abaixo.

    Event Type: Warning
    Event Source: SceCli
    Event Category: None
    Event ID: 1202
    Date:  07/18/2006
    Time:  11:12:48 AM
    User:  N/A
    Computer: ABCDEF
    Description:
    Security policies are propagated with warning. 0x534 : No mapping between account names and security IDs was done.

    For best results in resolving this event, log on with a non-administrative account and search http://support.microsoft.com for "troubleshooting 1202 events".
    A user account in one or more Group policy objects (GPOs) could not be resolved to a SID. This error is possibly caused by a mistyped nor deleted user account referenced in either the User Rights or Restricted Groups branch of a GPO.  To resolve this event, contact an administrator in the domain to perform the following actions:

    1.Identify accounts that could not be resolved to a SID: From the command prompt, type: FIND /I "Cannot find" %SYSTEMROOT%\Security\Logs\winlogon.log
    The string following "Cannot find" in the FIND output identifies the problem account names.
    Example: Cannot find JohnDough.
    In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").

    2.Identify the GPOs that contain the unresolvable account name:
    From the command prompt type FIND /I "JohnDough" %SYSTEMROOT%\Security\templates\policies\gpt*.*
     The output of the FIND command will resemble the following:
     ---------- GPT00000.DOM
     ---------- GPT00001.DOM
     SeRemoteShutdownPrivilege=JohnDough
     This indicates that of all the GPO’s being applied to this machine,  the unresolvable account exists only in one GPO.  Specifically, the cached GPO named GPT00001.DOM.
     Now we need to determine the friendly name of this GPO in the next step.

    3. Locate the friendly names of each of the GPOs that contain an unresolvable account name.  These GPOs were identified in the previous step.
    From the command prompt, type: FIND /I "[Mapping]" %SYSTEMROOT%\Security\Logs\winlogon.log
     The string following "[Mapping] gpt0000?.dom =" in the FIND output identifies the friendly names for all GPO’s being applied to this machine.
     Example: [Mapping] gpt00001.dom = User Rights Policy
     In this case, the GPO that contains the unresolvable account (gpt00001.dom) has a friendly name of "User Rights Policy".

    4. Remove unresolved accounts from each GPO that contains an unresolvable account.
     a. Start -> Run -> MMC.EXE
     b. From the File menu select "Add/Remove Snap-in…"
     c. From the "Add/Remove Snap-in" dialog box select "Add…"
     d. In the "Add Standalone Snap-in" dialog box select "Group Policy" and click "Add"
     e. In the "Select Group Policy Object" dialog box click the "Browse" button.
     f. On the "Browse for a Group Policy Object" dialog box choose the "All" tab
     g. Right click on the first policy identified in step 3 and choose edit
     h. Review each setting under Computer Configuration/ Windows Settings/ Security Settings/ Local Policies/ User Rights
      Assignment or Computer Configuration/ Windows Settings/ SecuritySettings/ Restricted Groups for accounts identified in step 1.
     i. Repeat steps 3g and 3h for all subsequent GPOs identified in step 3.

    Segui os procedimentos solicitados e encontrei usuários que não existem mais corrigi o erro mas o Event Viewer continua acusando o erro ainda

    terça-feira, 18 de julho de 2006 14:28
  • boa tarde

    coloque a maquina no dominio primeiro...e depois prova como DC..

     

    abraço

    terça-feira, 18 de julho de 2006 20:49
  •  

    Boa noite,

    Verifique os procedimentos do artigo abaixo

    http://support.microsoft.com/kb/279432/en-us

    quarta-feira, 19 de julho de 2006 01:46
  • Oi Roger, por favor não esqueça de nos informar se o problema foi
    resolvido.
    quarta-feira, 19 de julho de 2006 16:29
    Moderador
  • Marco,

    Nesse processo consegui verificar que existiam duas policys sendo aplicadas na OU Domain Controllers com as mesmas permissões sendo aplicadas então fiz o seguinte retirei o link de uma delas e a desabilitei a outra policy eu refiz o link e apliquei a opção "enforce" nela, rodei o comando "secedit /refreshpolicy machine_policy /enforce" forçando novamente a atualização da policy do meu DC mas mesmo assim ela continua me retornando erro no Event Viewer e minhas permissões ainda não foram alteradas! 

    Você ou alguém teria conhecimento de algum passo ou artigo diferente que trata exatamente erros de policys não sendo aplicadas corretamente?

    Desde já agradeço a atenção de todos!

    Grato!

    segunda-feira, 24 de julho de 2006 14:43
  • Bruno,

    a máquina já se encontra dentro do dominio!

    Valeu!

     

    segunda-feira, 24 de julho de 2006 14:44
  • Emilio,

    desculpa pela demora em responder mas continuo com o problema ainda e assim que eu conseguir uma solução ou pelos colegas do Forum ou fora dele eu repondo!

    Grato pela atenção!

    segunda-feira, 24 de julho de 2006 14:46
  • tive um problema parecido e colocquei no meu forum a solução , veja se aplica

     

    http://groups.msn.com/ProfessorAndreLuiz/windows2k2003.msnw?action=get_message&mview=0&ID_Message=49&LastModified=4675518088372663774

     

     

    abraços

     

    quarta-feira, 26 de julho de 2006 18:45
  • Pessoal,

     

    para resolver o problema eu refiz o meu servidor DNS, depois de feito isso todas as Policys foram replicadas corretamente entre os servidores!

     

    Desculpa pela demora!

    segunda-feira, 14 de agosto de 2006 23:18