none
Неудачная попытка понижения роли КД

    Вопрос

  • Доброго времени суток.

    Было 2 КД оба на WinServer 2012, работали, реплецировались, потом потеряли связь друг с другом, прошло много времени, было принято решения вместо починки репликации, понизить второстепенный и заменить его другим сервером.

    Но понизить не получается и в графическом интерфэйсе и в PS (Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole) выдаёт:

    PS C:\Windows\system32> Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole
    LocalAdministratorPassword: *************************
    Подтвердить LocalAdministratorPassword: ************
    Введенные данные и их подтверждение для LocalAdministratorPassword не совпадают. Попробуйте еще раз.
    LocalAdministratorPassword: ************
    Подтвердить LocalAdministratorPassword: ************
    
    После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
    Directory на последнем контроллере домена, этот домен перестанет существовать.
    Вы хотите продолжить эту операцию?
    [Y] Да - Y  [A] Да для всех - A  [N] Нет - N  [L] Нет для всех - L  [S] Приостановить - S  [?] Справка
    (значением по умолчанию является "Y"):y
    Uninstall-AddsDomainController : Сбой операции по следующей причине:
    DFS Replication: Отказано в доступе.
    "Отказано в доступе."
    строка:1 знак:1
    + Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Uninstall-ADDSDomainController], DCPromoExecutionException
        + FullyQualifiedErrorId : DCPromo.General.54,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.UninstallA
       DDSDomainCommand
    
    Message                       Context                                      RebootRequired                        Status
    -------                       -------                                      --------------                        ------
    Сбой операции по следующей... DCPromo.General.54                                    False                         Error


    Сразу скажу, переустановка ОС сервера не вариант.

    Возможно это было ошибкой, но через удаление компонентов были удалены "репликация DFS" и "пространства имён DFS", а так же роль DNS сервера.

    Что ещё добавить добавлю.

    Заранее спасибо.


    Настройка протокола IP для Windows
    
       Имя компьютера  . . . . . . . . . : 1c-SRV
       Основной DNS-суффикс  . . . . . . : domain.kz
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : domain.kz
    
    Ethernet adapter vEthernet (LAN):
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
    er-V #2
       Физический адрес. . . . . . . . . : 00-19-99-FF-3E-00
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.200.4(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.200.1
       DNS-серверы. . . . . . . . . . . : 192.168.200.1
       NetBios через TCP/IP. . . . . . . . : Включен
    

    Диагностика сервера каталогов
    
    Выполнение начальной настройки:
       Выполняется попытка поиска основного сервера...
       Основной сервер = 1c-SRV
       * Определен лес AD.
       Сбор начальных данных завершен.
    
    Выполнение обязательных начальных проверок
    
       Сервер проверки: Office\1C-SRV
          Запуск проверки: Connectivity
             Узел 616f7581-b8a9-403e-a013-a34f3d688ba1._msdcs.domain.kz не
             удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
             и т. д.
             Получена ошибка при проверке подключения LDAP и RPC. Проверьте
             параметры брандмауэра.
             ......................... 1C-SRV - не пройдена проверка Connectivity
    
    Выполнение основных проверок
    
       Сервер проверки: Office\1C-SRV
          Пропуск всех проверок, так как сервер 1C-SRV не отвечает на запросы
          службы каталогов.
    
    
       Выполнение проверок разделов на: ForestDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... ForestDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... ForestDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: DomainDnsZones
          Запуск проверки: CheckSDRefDom
             ......................... DomainDnsZones - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... DomainDnsZones - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Schema
          Запуск проверки: CheckSDRefDom
             ......................... Schema - пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Schema - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: Configuration
          Запуск проверки: CheckSDRefDom
             ......................... Configuration - пройдена проверка
             CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... Configuration - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок разделов на: domain
          Запуск проверки: CheckSDRefDom
             ......................... domain- пройдена проверка CheckSDRefDom
          Запуск проверки: CrossRefValidation
             ......................... domain - пройдена проверка
             CrossRefValidation
    
       Выполнение проверок предприятия на: domain.kz
          Запуск проверки: LocatorCheck
             ......................... domain.kz - пройдена проверка LocatorCheck
          Запуск проверки: Intersite
             ......................... domain.kz - пройдена проверка Intersite

    • Изменено KurtFox 11 августа 2017 г. 12:59
    11 августа 2017 г. 12:49

Все ответы

  • В поиске способов обхода ошибки может помочь анализ  файла журнала операций изменения роли контроллера домена C:\WINDOWS\Debug\dcpromo.log (и до кучи - ещё и dcpromoui.log там же, он касается операций интерфейса пользовтаеля). А может и не помочь - тут уж не угадаешь.


    Слава России!

    11 августа 2017 г. 23:08
  • Огромное спасибо за скорый ответ.

    После команды Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole, в журнале dcpromo.log мне не понятно какой компьютер он ищет ичто за фаза 2 в данной процедуре?

    08/11/2017 18:34:51 [INFO] Request for demotion of domain controller
    08/11/2017 18:34:51 [INFO] DnsDomainName  (NULL)
    08/11/2017 18:34:51 [INFO] 	ServerRole  0
    08/11/2017 18:34:51 [INFO] 	Account (NULL) 08/11/2017 18:34:51 [INFO] 	Options  65664
    08/11/2017 18:34:51 [INFO] 	LastDcInDomain  TRUE
    08/11/2017 18:34:51 [INFO] 	Forced Demote  TRUE
    08/11/2017 18:34:51 [INFO] 	Stage 2 only   FALSE
    08/11/2017 18:34:51 [INFO] Start the worker task
    08/11/2017 18:34:51 [INFO] Request for demotion returning 0
    08/11/2017 18:34:51 [INFO] Performing Forced Demotion08/11/2017 18:34:51 [INFO] Чтение политики домена с этого локального компьютера
    08/11/2017 18:34:52 [INFO] Error - DFS Replication: Отказано в доступе.  (5)
    08/11/2017 18:35:07 [ERROR] Failed to get computer name (5)
    08/11/2017 18:35:07 [INFO] Предпринятая контроллером домена операция завершена
    08/11/2017 18:35:07 [INFO] Updating service status to 4
    08/11/2017 18:35:07 [INFO] DsRolepSetOperationDone returned 0
    
    12 августа 2017 г. 7:36
  • А вот журнал C:\WINDOWS\Debug\dcpromoui.log он большой, публикую с отметки где начались ошибки

    dcpromoui 1504.1854 034D 18:34:51.675       Enter DetermineRoleAndMembership
    dcpromoui 1504.1854 034E 18:34:51.675         Enter MyDsRoleGetPrimaryDomainInformation
    dcpromoui 1504.1854 034F 18:34:51.675           Enter MyDsRoleGetPrimaryDomainInformationHelper
    dcpromoui 1504.1854 0350 18:34:51.675             Calling DsRoleGetPrimaryDomainInformation
    dcpromoui 1504.1854 0351 18:34:51.675             lpServer  : (null)
    dcpromoui 1504.1854 0352 18:34:51.675             InfoLevel : 0x1 (DsRolePrimaryDomainInfoBasic)
    dcpromoui 1504.1854 0353 18:34:51.675             HRESULT = 0x00000000
    dcpromoui 1504.1854 0354 18:34:51.675           MachineRole      : 0x5
    dcpromoui 1504.1854 0355 18:34:51.675           Flags            : 0x1000001
    dcpromoui 1504.1854 0356 18:34:51.675           DomainNameFlat   : DOMAIN
    dcpromoui 1504.1854 0357 18:34:51.675           DomainNameDns    : domain.kz
    dcpromoui 1504.1854 0358 18:34:51.675           DomainForestName : domain.kz
    dcpromoui 1504.1854 0359 18:34:51.675     Enter State::GetOperation DEMOTE
    dcpromoui 1504.1854 035A 18:34:51.675     Enter Computer::GetNetbiosName
    dcpromoui 1504.1854 035B 18:34:51.675       1C-SRV
    dcpromoui 1504.1854 035C 18:34:51.676     Enter Computer::IsDomainController 1C-SRV
    dcpromoui 1504.1854 035D 18:34:51.676       Enter Computer::GetNetbiosName
    dcpromoui 1504.1854 035E 18:34:51.676         1C-SRV
    dcpromoui 1504.1854 035F 18:34:51.676       Enter Computer::GetRole 1C-SRV
    dcpromoui 1504.1854 0360 18:34:51.676         role: 5
    dcpromoui 1504.1854 0361 18:34:51.676       is a domain controller
    dcpromoui 1504.1854 0362 18:34:51.676   Enter DoPreOperationStuffWithText
    dcpromoui 1504.1854 0363 18:34:51.676     Enter State::GetOperation DEMOTE
    dcpromoui 1504.1854 0364 18:34:51.676   Enter State::GetOperation DEMOTE
    dcpromoui 1504.1854 0365 18:34:51.676   Enter DS::DemoteDC
    dcpromoui 1504.1854 0366 18:34:51.676     Enter State::IsLastDCInDomain false
    dcpromoui 1504.1854 0367 18:34:51.676     Enter State::IsForcedDemotion true
    dcpromoui 1504.1854 0368 18:34:51.676     Enter State::GetAdminPassword
    dcpromoui 1504.1854 0369 18:34:51.676     Enter State::GetAppPartitionList
    dcpromoui 1504.1854 036A 18:34:51.676     Enter AllocateAppPartitionList
    dcpromoui 1504.1854 036B 18:34:51.676     Calling DsRoleDemoteDc
    dcpromoui 1504.1854 036C 18:34:51.676     lpServer               : (null)
    dcpromoui 1504.1854 036D 18:34:51.676     lpDnsDomainName        : (null)
    dcpromoui 1504.1854 036E 18:34:51.676     ServerRole             : DsRoleServerStandalone
    dcpromoui 1504.1854 036F 18:34:51.676     lpAccount              : (null)
    dcpromoui 1504.1854 0370 18:34:51.676     Options                : 0x10080
    dcpromoui 1504.1854 0371 18:34:51.676     fLastDcInDomain        : true
    dcpromoui 1504.1854 0372 18:34:51.676     cRemoteNCs             : 0
    dcpromoui 1504.1854 0373 18:34:51.752     HRESULT = 0x00000000
    dcpromoui 1504.1854 0374 18:34:51.752     Enter DeallocateAppPartitionList
    dcpromoui 1504.1854 0375 18:34:51.752     Enter DoProgressLoop
    dcpromoui 1504.1854 0376 18:34:51.752       Enter State::GetOperation DEMOTE
    dcpromoui 1504.1854 0377 18:34:51.752       Enter TxtProgressReporter::UpdateButton 
    dcpromoui 1504.1854 0378 18:35:08.257       Enter TxtProgressReporter::UpdateButton 
    dcpromoui 1504.1854 0379 18:35:08.257       Progress loop complete.
    dcpromoui 1504.1854 037A 18:35:08.257       Calling DsRoleGetDcOperationResults
    dcpromoui 1504.1854 037B 18:35:08.268       Error 0x0 (!0 => error)
    dcpromoui 1504.1854 037C 18:35:08.268       Operation results:
    dcpromoui 1504.1854 037D 18:35:08.269       OperationStatus      : 0x5 !0 => error
    dcpromoui 1504.1854 037E 18:35:08.269       DisplayString        : DFS Replication: Отказано в доступе. 
    dcpromoui 1504.1854 037F 18:35:08.269       ServerInstalledSite  : (null)
    dcpromoui 1504.1854 0380 18:35:08.269       OperationResultsFlags: 0x0
    dcpromoui 1504.1854 0381 18:35:08.291       Enter State::SetOperationResultsMessage DFS Replication: Отказано в доступе. 
    dcpromoui 1504.1854 0382 18:35:08.291       Enter State::SetOperationResultsFlags 0x0
    dcpromoui 1504.1854 0383 18:35:08.293   Exception caught
    dcpromoui 1504.1854 0384 18:35:08.293   catch completed
    dcpromoui 1504.1854 0385 18:35:08.293   handling exception
    dcpromoui 1504.1854 0386 18:35:08.293   Enter EnableConsoleLocking
    dcpromoui 1504.1854 0387 18:35:08.293     Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    dcpromoui 1504.1854 0388 18:35:08.293     Enter RegistryKey::SetValue-DWORD DisableLockWorkstation
    dcpromoui 1504.1854 0389 18:35:08.293   Enter State::SetOperationResults result FAILURE
    dcpromoui 1504.1854 038A 18:35:08.310   Enter State::IsOperationRetryAllowed
    dcpromoui 1504.1854 038B 18:35:08.310     true
    dcpromoui 1504.1854 038C 18:35:08.310   credentials were invalid, hr=0x80070005
    dcpromoui 1504.1854 038D 18:35:08.310   Enter ComposeFailureMessage
    dcpromoui 1504.1854 038E 18:35:08.310     Enter GetErrorMessage 80070005
    dcpromoui 1504.1854 038F 18:35:08.310     Enter State::GetOperationResultsMessage DFS Replication: Отказано в доступе. 
    dcpromoui 1504.1854 0390 18:35:08.310     Enter State::GetOperationResultsFlags 0x0
    dcpromoui 1504.1854 0391 18:35:08.310     Enter State::GetOperationResultsFlags 0x0
    dcpromoui 1504.1854 0392 18:35:08.310     Enter State::SetFailureMessage Сбой операции по следующей причине:
    
    DFS Replication: Отказано в доступе. 
    
    "Отказано в доступе."
    dcpromoui 1504.1854 0393 18:35:08.310   posting message to progress window
    dcpromoui 1504.1850 0394 18:35:08.310         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 1504.1850 0395 18:35:08.310         OPERATION FAILED
    dcpromoui 1504.1850 0396 18:35:08.310         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 1504.1850 0397 18:35:08.310         Enter State::GetUserCancelled false
    dcpromoui 1504.1850 0398 18:35:08.310         Enter State::IsOperationRetryAllowed
    dcpromoui 1504.1850 0399 18:35:08.310           true
    dcpromoui 1504.1850 039A 18:35:08.311         Info: 
    dcpromoui 1504.1850 039B 18:35:08.311       performed state 28, next state 29
    dcpromoui 1504.1850 039C 18:35:08.311       Enter FailedFunct
    dcpromoui 1504.1850 039D 18:35:08.311         Enter State::GetOperationResultsCode FAILURE
    dcpromoui 1504.1850 039E 18:35:08.311         FAILURE
    dcpromoui 1504.1850 039F 18:35:08.311       performed state 29, next state 30
    dcpromoui 1504.1850 03A0 18:35:08.311       Enter FinishFunct
    dcpromoui 1504.1850 03A1 18:35:08.311         Enter State::GetFailureMessage Сбой операции по следующей причине:
    
    DFS Replication: Отказано в доступе. 
    
    "Отказано в доступе."
    dcpromoui 1504.1850 03A2 18:35:08.312         Error: Сбой операции по следующей причине:
    
    DFS Replication: Отказано в доступе. 
    
    "Отказано в доступе."
    dcpromoui 1504.1850 03A3 18:35:08.312         Enter getCompletionMessage
    dcpromoui 1504.1850 03A4 18:35:08.312           Enter State::GetOperation DEMOTE
    dcpromoui 1504.1850 03A5 18:35:08.312           Enter State::GetOperationResultsCode FAILURE
    dcpromoui 1504.1850 03A6 18:35:08.312           Enter NeedDsBinaryWarning
    dcpromoui 1504.1850 03A7 18:35:08.312             Enter Computer::RemoveLeadingBackslashes 
    dcpromoui 1504.1850 03A8 18:35:08.312             Enter GetProductTypeFromRegistry
    dcpromoui 1504.1850 03A9 18:35:08.312               Enter RegistryKey::Open System\CurrentControlSet\Control\ProductOptions
    dcpromoui 1504.1850 03AA 18:35:08.312               Enter RegistryKey::GetValue-String ProductType
    dcpromoui 1504.1850 03AB 18:35:08.312               LanmanNT
    dcpromoui 1504.1850 03AC 18:35:08.312               prodtype : 0x2
    dcpromoui 1504.1850 03AD 18:35:08.312         Info: Доменные службы Active Directory не были удалены.
    dcpromoui 1504.1850 03AE 18:35:08.312       performed state 30, next state 31
    dcpromoui 1504.1850 03AF 18:35:08.312       Enter RebootFunct
    dcpromoui 1504.1850 03B0 18:35:08.312         Enter State::GetNeedsReboot false
    dcpromoui 1504.1850 03B1 18:35:08.312         reboot not necessary
    dcpromoui 1504.1850 03B2 18:35:08.312       performed state 31, next state 37
    dcpromoui 1504.1850 03B3 18:35:08.312       Enter State::GetHadNonCriticalFailures
    dcpromoui 1504.1850 03B4 18:35:08.312         bHadNonCriticalFailures = false
    dcpromoui 1504.1850 03B5 18:35:08.312     Enter State::UnbindFromReplicationPartnetDC
    dcpromoui 1504.1850 03B6 18:35:08.312     Exit code is 54
    dcpromoui 1504.1850 03B7 18:35:08.312   Exit code is 54
    



    12 августа 2017 г. 7:46
  • Вы походу единственный кто сможет мне помочь...
    12 августа 2017 г. 15:19
  • Мне показалось по логам, что сообщение об отказе доступа произошло при обращении к другому контроллеру домена (что в вашем случае, с развалившейся репликацией, не удивительно). Вы не пробовали принудительно понизить контроллер домена, полностью отключив его от сети?


    Слава России!


    • Изменено M.V.V. _ 12 августа 2017 г. 16:00
    12 августа 2017 г. 16:00
  • От сети не отключал, может помочь? Я маршрутизатором отсёк любые попытки со стороны 1с-srv увидеть работающий контроллер, что бы ничего не мешало.
    12 августа 2017 г. 17:19
  • безрезультатно(((может через реестр dfs поправить?
    PS C:\Windows\system32> Uninstall-AddsDomainController -force -demoteoperationmasterrole -RemoveApplicationPartitions -S
    kipPreChecks -IgnoreLastDCInDomainMismatch -IgnoreLastDnsServerForZone -LastDomainControllerInDomain
    LocalAdministratorPassword: ************
    Подтвердить LocalAdministratorPassword: ************
    Uninstall-AddsDomainController : Сбой операции по следующей причине:
    DFS Replication: Отказано в доступе.
    "Отказано в доступе."
    строка:1 знак:1
    + Uninstall-AddsDomainController -force -demoteoperationmasterrole -RemoveApplicat ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Uninstall-ADDSDomainController], DCPromoExecutionException
        + FullyQualifiedErrorId : DCPromo.General.54,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.UninstallA
       DDSDomainCommand
    
    Message                       Context                                      RebootRequired                        Status
    -------                       -------                                      --------------                        ------
    Сбой операции по следующей... DCPromo.General.54                                    False                         Error


    14 августа 2017 г. 12:28
  • Нет, ну если вы точно знаете, что именно нужно поправить - конечно, поправляйте. Только вот я сомневаюсь, что вы это действительно знаете.

    Я бы попробовал отловить, в каком именно вызове API именно возникает ошибка, с помощью Process Monitor (есть на сайте MS в разделе утилит Sysinternals). А потом бы уже думал, как поправить. Да, это долго, муторно и без гарантий, но ничего другого не вижу.


    Слава России!

    14 августа 2017 г. 13:48
  • Это и правда очень муторно....
    15 августа 2017 г. 12:52
  • решили переустанавливать...
    17 августа 2017 г. 10:22