none
Active Directory Windows 2008 R2 RODC не удается понизить роль RRS feed

  • Вопрос

  • Добрый день!

    Есть сервер Windows Server 2008 R2 с поднятой ролью RODC.

    При попытке понизить его до роли рядового сервера, выполняя dcpromo, выдает ошибку:

    Сетевые учетные данные

    Операция не выполнена по следующей причине: DFS Replication: Отказано в доступе. "Отказано в доступе"

    Хотя я это делаю под пользователем администратор домена, у кого должны быть такие права.

    При попытке сделать gpupdate /force

    Ошибка при обработке групповой политики. Не удалось пройти проверку подлинности
    в службе каталогов Active Directory на контроллере домена. (Ошибка при выполнени
    и привязки LDAP Bind). На вкладке "Подробности" можно найти код и описание ошибк
    и.
    Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:

    Ошибка при обработке групповой политики из-за отсутствия сетевого подключения к
    контроллеру домена. Это может быть временным явлением. Будет создано сообщение о
    б успехе после того, как компьютер удастся подключить к контроллеру домена и гру
    пповая политика будет обработана успешно. Если в течение нескольких часов это со
    общение не появляется, обратитесь к системному администратору.

    dcdiag.exe /q

    C:\Windows\system32>dcdiag /q

             * Отсутствующий SPN :LDAP/Server1.domen2.domen1.local/domen2.domen1.local

             * Отсутствующий SPN :LDAP/Server1.domen2.domen1.local

             * Отсутствующий SPN :LDAP/SERVER1

             * Отсутствующий SPN :LDAP/Server1.domen2.domen1.local/DOMEN2

             * Отсутствующий SPN

             :LDAP/0bd17382-8405-45d5-9042-83c43190ba2e._msdcs.domen1.local

             * Отсутствующий SPN :GC/Server1.domen2.domen1.local/domen1.local

             ......................... SERVER1 - не пройдена проверка

             MachineAccount

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   10:45:18

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   10:50:19

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   10:55:20

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:00:21

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:05:23

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:10:24

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:15:25

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:20:26

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:25:28

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:30:29

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:35:30

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:40:31

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x000003EE

                Время создания: 02/07/2018   11:42:21

                Строка события:

                Ошибка при обработке групповой политики. Не удалось пройти проверку

    подлинности в службе каталогов Active Directory на контроллере домена. (Ошибка п

    ри выполнении привязки LDAP Bind). На вкладке "Подробности" можно найти код и оп

    исание ошибки.

             Возникла ошибка. Код события (EventID): 0x00000469

                Время создания: 02/07/2018   11:42:21

                Строка события:

                Ошибка при обработке групповой политики из-за отсутствия сетевого по

    дключения к контроллеру домена. Это может быть временным явлением. Будет создано

     сообщение об успехе после того, как компьютер удастся подключить к контроллеру

    домена и групповая политика будет обработана успешно. Если в течение нескольких

    часов это сообщение не появляется, обратитесь к системному администратору.

             ......................... SERVER1 - не пройдена проверка SystemLog

    SetSpn.exe -X

    C:\Windows\system32>SetSpn.exe -X

    Проверка домена DC=domen2,DC=domen1,DC=local

    Обработка записи 5

    HOST/Server2/DOMEN2 зарегистрирован на этих учетных записях:

            CN=Server2,OU=Disabled objects,DC=domen2,DC=domen1,DC=local

            CN=SERVER1,OU=Domain Controllers,DC=domen2,DC=domen1,DC=local

     

    HOST/Server3/DOMEN2 зарегистрирован на этих учетных записях:

            CN=Server4,OU=Domain Controllers,DC=domen2,DC=domen1,DC=local

            CN=Server5,OU=Disabled objects,DC=domen2,DC=domen1,DC=local

     

    обнаружено 2 группы дубликатов SPN.

    Что делать? В чем может быть проблема?

    7 февраля 2018 г. 8:54

Ответы

  • Понизить можно и принудительно (dcpromo /forceremoval), а потом - удалить его учётную запись из AD.

    Лишние SPN следует удалить  оттуда, где их быть не должно (скорее всего, судя по названию - с объектов в Disabled Objects, это вряд ли работающие компьютеры) командой setspn -D <SPN> домен\sAMAccountName записи (для компьютера sAMAccountName обычно равен имени компьютера плюс $ на конце, но для надежности лучше его посмотреть с помощью редактора атрибутов в AD Пользователи и компьютеры либо в ADSIEdit).

    А появились они скорее всего, при переименовании контроллеров домена.


    Слава России!

    7 февраля 2018 г. 13:39