none
Неудачная попытка понижения роли КД RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Доброго времени суток.

    Было 2 КД оба на WinServer 2012, работали, реплецировались, потом потеряли связь друг с другом, прошло много времени, было принято решения вместо починки репликации, понизить второстепенный и заменить его другим сервером.

    Но понизить не получается и в графическом интерфэйсе и в PS (Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole) выдаёт:

    PS C:\Windows\system32> Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole
LocalAdministratorPassword: *************************
Подтвердить LocalAdministratorPassword: ************
Введенные данные и их подтверждение для LocalAdministratorPassword не совпадают. Попробуйте еще раз.
LocalAdministratorPassword: ************
Подтвердить LocalAdministratorPassword: ************

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да - Y  [A] Да для всех - A  [N] Нет - N  [L] Нет для всех - L  [S] Приостановить - S  [?] Справка
(значением по умолчанию является "Y"):y
Uninstall-AddsDomainController : Сбой операции по следующей причине:
DFS Replication: Отказано в доступе.
"Отказано в доступе."
строка:1 знак:1
+ Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Uninstall-ADDSDomainController], DCPromoExecutionException
    + FullyQualifiedErrorId : DCPromo.General.54,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.UninstallA
   DDSDomainCommand

Message                       Context                                      RebootRequired                        Status
-------                       -------                                      --------------                        ------
Сбой операции по следующей... DCPromo.General.54                                    False                         Error


    Сразу скажу, переустановка ОС сервера не вариант.

    Возможно это было ошибкой, но через удаление компонентов были удалены "репликация DFS" и "пространства имён DFS", а так же роль DNS сервера.

    Что ещё добавить добавлю.

    Заранее спасибо.


    Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : 1c-SRV
   Основной DNS-суффикс  . . . . . . : domain.kz
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : domain.kz

Ethernet adapter vEthernet (LAN):

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
er-V #2
   Физический адрес. . . . . . . . . : 00-19-99-FF-3E-00
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.200.4(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.200.1
   DNS-серверы. . . . . . . . . . . : 192.168.200.1
   NetBios через TCP/IP. . . . . . . . : Включен


    Диагностика сервера каталогов

Выполнение начальной настройки:
   Выполняется попытка поиска основного сервера...
   Основной сервер = 1c-SRV
   * Определен лес AD.
   Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

   Сервер проверки: Office\1C-SRV
      Запуск проверки: Connectivity
         Узел 616f7581-b8a9-403e-a013-a34f3d688ba1._msdcs.domain.kz не
         удается разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера
         и т. д.
         Получена ошибка при проверке подключения LDAP и RPC. Проверьте
         параметры брандмауэра.
         ......................... 1C-SRV - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Office\1C-SRV
      Пропуск всех проверок, так как сервер 1C-SRV не отвечает на запросы
      службы каталогов.


   Выполнение проверок разделов на: ForestDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... ForestDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... ForestDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: DomainDnsZones
      Запуск проверки: CheckSDRefDom
         ......................... DomainDnsZones - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... DomainDnsZones - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Schema
      Запуск проверки: CheckSDRefDom
         ......................... Schema - пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Schema - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: Configuration
      Запуск проверки: CheckSDRefDom
         ......................... Configuration - пройдена проверка
         CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... Configuration - пройдена проверка
         CrossRefValidation

   Выполнение проверок разделов на: domain
      Запуск проверки: CheckSDRefDom
         ......................... domain- пройдена проверка CheckSDRefDom
      Запуск проверки: CrossRefValidation
         ......................... domain - пройдена проверка
         CrossRefValidation

   Выполнение проверок предприятия на: domain.kz
      Запуск проверки: LocatorCheck
         ......................... domain.kz - пройдена проверка LocatorCheck
      Запуск проверки: Intersite
         ......................... domain.kz - пройдена проверка Intersite

    • Изменено KurtFox 11 августа 2017 г. 12:59
    11 августа 2017 г. 12:49
    |

Ответы

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    В поиске способов обхода ошибки может помочь анализ  файла журнала операций изменения роли контроллера домена C:\WINDOWS\Debug\dcpromo.log (и до кучи - ещё и dcpromoui.log там же, он касается операций интерфейса пользовтаеля). А может и не помочь - тут уж не угадаешь.

    Слава России!

    11 августа 2017 г. 23:08
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Огромное спасибо за скорый ответ.

    После команды Uninstall-AddsDomainController -forceremoval -demoteoperationmasterrole, в журнале dcpromo.log мне не понятно какой компьютер он ищет ичто за фаза 2 в данной процедуре?

    08/11/2017 18:34:51 [INFO] Request for demotion of domain controller
08/11/2017 18:34:51 [INFO] DnsDomainName  (NULL)
08/11/2017 18:34:51 [INFO] 	ServerRole  0
08/11/2017 18:34:51 [INFO] 	Account (NULL) 08/11/2017 18:34:51 [INFO] 	Options  65664
08/11/2017 18:34:51 [INFO] 	LastDcInDomain  TRUE
08/11/2017 18:34:51 [INFO] 	Forced Demote  TRUE
08/11/2017 18:34:51 [INFO] 	Stage 2 only   FALSE
08/11/2017 18:34:51 [INFO] Start the worker task
08/11/2017 18:34:51 [INFO] Request for demotion returning 0
08/11/2017 18:34:51 [INFO] Performing Forced Demotion08/11/2017 18:34:51 [INFO] Чтение политики домена с этого локального компьютера
08/11/2017 18:34:52 [INFO] Error - DFS Replication: Отказано в доступе.  (5)
08/11/2017 18:35:07 [ERROR] Failed to get computer name (5)
08/11/2017 18:35:07 [INFO] Предпринятая контроллером домена операция завершена
08/11/2017 18:35:07 [INFO] Updating service status to 4
08/11/2017 18:35:07 [INFO] DsRolepSetOperationDone returned 0
    12 августа 2017 г. 7:36
    |
  • Question
    Нужно войти
    0
    Нужно войти

    А вот журнал C:\WINDOWS\Debug\dcpromoui.log он большой, публикую с отметки где начались ошибки

    dcpromoui 1504.1854 034D 18:34:51.675       Enter DetermineRoleAndMembership
dcpromoui 1504.1854 034E 18:34:51.675         Enter MyDsRoleGetPrimaryDomainInformation
dcpromoui 1504.1854 034F 18:34:51.675           Enter MyDsRoleGetPrimaryDomainInformationHelper
dcpromoui 1504.1854 0350 18:34:51.675             Calling DsRoleGetPrimaryDomainInformation
dcpromoui 1504.1854 0351 18:34:51.675             lpServer  : (null)
dcpromoui 1504.1854 0352 18:34:51.675             InfoLevel : 0x1 (DsRolePrimaryDomainInfoBasic)
dcpromoui 1504.1854 0353 18:34:51.675             HRESULT = 0x00000000
dcpromoui 1504.1854 0354 18:34:51.675           MachineRole      : 0x5
dcpromoui 1504.1854 0355 18:34:51.675           Flags            : 0x1000001
dcpromoui 1504.1854 0356 18:34:51.675           DomainNameFlat   : DOMAIN
dcpromoui 1504.1854 0357 18:34:51.675           DomainNameDns    : domain.kz
dcpromoui 1504.1854 0358 18:34:51.675           DomainForestName : domain.kz
dcpromoui 1504.1854 0359 18:34:51.675     Enter State::GetOperation DEMOTE
dcpromoui 1504.1854 035A 18:34:51.675     Enter Computer::GetNetbiosName
dcpromoui 1504.1854 035B 18:34:51.675       1C-SRV
dcpromoui 1504.1854 035C 18:34:51.676     Enter Computer::IsDomainController 1C-SRV
dcpromoui 1504.1854 035D 18:34:51.676       Enter Computer::GetNetbiosName
dcpromoui 1504.1854 035E 18:34:51.676         1C-SRV
dcpromoui 1504.1854 035F 18:34:51.676       Enter Computer::GetRole 1C-SRV
dcpromoui 1504.1854 0360 18:34:51.676         role: 5
dcpromoui 1504.1854 0361 18:34:51.676       is a domain controller
dcpromoui 1504.1854 0362 18:34:51.676   Enter DoPreOperationStuffWithText
dcpromoui 1504.1854 0363 18:34:51.676     Enter State::GetOperation DEMOTE
dcpromoui 1504.1854 0364 18:34:51.676   Enter State::GetOperation DEMOTE
dcpromoui 1504.1854 0365 18:34:51.676   Enter DS::DemoteDC
dcpromoui 1504.1854 0366 18:34:51.676     Enter State::IsLastDCInDomain false
dcpromoui 1504.1854 0367 18:34:51.676     Enter State::IsForcedDemotion true
dcpromoui 1504.1854 0368 18:34:51.676     Enter State::GetAdminPassword
dcpromoui 1504.1854 0369 18:34:51.676     Enter State::GetAppPartitionList
dcpromoui 1504.1854 036A 18:34:51.676     Enter AllocateAppPartitionList
dcpromoui 1504.1854 036B 18:34:51.676     Calling DsRoleDemoteDc
dcpromoui 1504.1854 036C 18:34:51.676     lpServer               : (null)
dcpromoui 1504.1854 036D 18:34:51.676     lpDnsDomainName        : (null)
dcpromoui 1504.1854 036E 18:34:51.676     ServerRole             : DsRoleServerStandalone
dcpromoui 1504.1854 036F 18:34:51.676     lpAccount              : (null)
dcpromoui 1504.1854 0370 18:34:51.676     Options                : 0x10080
dcpromoui 1504.1854 0371 18:34:51.676     fLastDcInDomain        : true
dcpromoui 1504.1854 0372 18:34:51.676     cRemoteNCs             : 0
dcpromoui 1504.1854 0373 18:34:51.752     HRESULT = 0x00000000
dcpromoui 1504.1854 0374 18:34:51.752     Enter DeallocateAppPartitionList
dcpromoui 1504.1854 0375 18:34:51.752     Enter DoProgressLoop
dcpromoui 1504.1854 0376 18:34:51.752       Enter State::GetOperation DEMOTE
dcpromoui 1504.1854 0377 18:34:51.752       Enter TxtProgressReporter::UpdateButton 
dcpromoui 1504.1854 0378 18:35:08.257       Enter TxtProgressReporter::UpdateButton 
dcpromoui 1504.1854 0379 18:35:08.257       Progress loop complete.
dcpromoui 1504.1854 037A 18:35:08.257       Calling DsRoleGetDcOperationResults
dcpromoui 1504.1854 037B 18:35:08.268       Error 0x0 (!0 => error)
dcpromoui 1504.1854 037C 18:35:08.268       Operation results:
dcpromoui 1504.1854 037D 18:35:08.269       OperationStatus      : 0x5 !0 => error
dcpromoui 1504.1854 037E 18:35:08.269       DisplayString        : DFS Replication: Отказано в доступе. 
dcpromoui 1504.1854 037F 18:35:08.269       ServerInstalledSite  : (null)
dcpromoui 1504.1854 0380 18:35:08.269       OperationResultsFlags: 0x0
dcpromoui 1504.1854 0381 18:35:08.291       Enter State::SetOperationResultsMessage DFS Replication: Отказано в доступе. 
dcpromoui 1504.1854 0382 18:35:08.291       Enter State::SetOperationResultsFlags 0x0
dcpromoui 1504.1854 0383 18:35:08.293   Exception caught
dcpromoui 1504.1854 0384 18:35:08.293   catch completed
dcpromoui 1504.1854 0385 18:35:08.293   handling exception
dcpromoui 1504.1854 0386 18:35:08.293   Enter EnableConsoleLocking
dcpromoui 1504.1854 0387 18:35:08.293     Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
dcpromoui 1504.1854 0388 18:35:08.293     Enter RegistryKey::SetValue-DWORD DisableLockWorkstation
dcpromoui 1504.1854 0389 18:35:08.293   Enter State::SetOperationResults result FAILURE
dcpromoui 1504.1854 038A 18:35:08.310   Enter State::IsOperationRetryAllowed
dcpromoui 1504.1854 038B 18:35:08.310     true
dcpromoui 1504.1854 038C 18:35:08.310   credentials were invalid, hr=0x80070005
dcpromoui 1504.1854 038D 18:35:08.310   Enter ComposeFailureMessage
dcpromoui 1504.1854 038E 18:35:08.310     Enter GetErrorMessage 80070005
dcpromoui 1504.1854 038F 18:35:08.310     Enter State::GetOperationResultsMessage DFS Replication: Отказано в доступе. 
dcpromoui 1504.1854 0390 18:35:08.310     Enter State::GetOperationResultsFlags 0x0
dcpromoui 1504.1854 0391 18:35:08.310     Enter State::GetOperationResultsFlags 0x0
dcpromoui 1504.1854 0392 18:35:08.310     Enter State::SetFailureMessage Сбой операции по следующей причине:

DFS Replication: Отказано в доступе. 

"Отказано в доступе."
dcpromoui 1504.1854 0393 18:35:08.310   posting message to progress window
dcpromoui 1504.1850 0394 18:35:08.310         Enter State::GetOperationResultsCode FAILURE
dcpromoui 1504.1850 0395 18:35:08.310         OPERATION FAILED
dcpromoui 1504.1850 0396 18:35:08.310         Enter State::GetOperationResultsCode FAILURE
dcpromoui 1504.1850 0397 18:35:08.310         Enter State::GetUserCancelled false
dcpromoui 1504.1850 0398 18:35:08.310         Enter State::IsOperationRetryAllowed
dcpromoui 1504.1850 0399 18:35:08.310           true
dcpromoui 1504.1850 039A 18:35:08.311         Info: 
dcpromoui 1504.1850 039B 18:35:08.311       performed state 28, next state 29
dcpromoui 1504.1850 039C 18:35:08.311       Enter FailedFunct
dcpromoui 1504.1850 039D 18:35:08.311         Enter State::GetOperationResultsCode FAILURE
dcpromoui 1504.1850 039E 18:35:08.311         FAILURE
dcpromoui 1504.1850 039F 18:35:08.311       performed state 29, next state 30
dcpromoui 1504.1850 03A0 18:35:08.311       Enter FinishFunct
dcpromoui 1504.1850 03A1 18:35:08.311         Enter State::GetFailureMessage Сбой операции по следующей причине:

DFS Replication: Отказано в доступе. 

"Отказано в доступе."
dcpromoui 1504.1850 03A2 18:35:08.312         Error: Сбой операции по следующей причине:

DFS Replication: Отказано в доступе. 

"Отказано в доступе."
dcpromoui 1504.1850 03A3 18:35:08.312         Enter getCompletionMessage
dcpromoui 1504.1850 03A4 18:35:08.312           Enter State::GetOperation DEMOTE
dcpromoui 1504.1850 03A5 18:35:08.312           Enter State::GetOperationResultsCode FAILURE
dcpromoui 1504.1850 03A6 18:35:08.312           Enter NeedDsBinaryWarning
dcpromoui 1504.1850 03A7 18:35:08.312             Enter Computer::RemoveLeadingBackslashes 
dcpromoui 1504.1850 03A8 18:35:08.312             Enter GetProductTypeFromRegistry
dcpromoui 1504.1850 03A9 18:35:08.312               Enter RegistryKey::Open System\CurrentControlSet\Control\ProductOptions
dcpromoui 1504.1850 03AA 18:35:08.312               Enter RegistryKey::GetValue-String ProductType
dcpromoui 1504.1850 03AB 18:35:08.312               LanmanNT
dcpromoui 1504.1850 03AC 18:35:08.312               prodtype : 0x2
dcpromoui 1504.1850 03AD 18:35:08.312         Info: Доменные службы Active Directory не были удалены.
dcpromoui 1504.1850 03AE 18:35:08.312       performed state 30, next state 31
dcpromoui 1504.1850 03AF 18:35:08.312       Enter RebootFunct
dcpromoui 1504.1850 03B0 18:35:08.312         Enter State::GetNeedsReboot false
dcpromoui 1504.1850 03B1 18:35:08.312         reboot not necessary
dcpromoui 1504.1850 03B2 18:35:08.312       performed state 31, next state 37
dcpromoui 1504.1850 03B3 18:35:08.312       Enter State::GetHadNonCriticalFailures
dcpromoui 1504.1850 03B4 18:35:08.312         bHadNonCriticalFailures = false
dcpromoui 1504.1850 03B5 18:35:08.312     Enter State::UnbindFromReplicationPartnetDC
dcpromoui 1504.1850 03B6 18:35:08.312     Exit code is 54
dcpromoui 1504.1850 03B7 18:35:08.312   Exit code is 54



    12 августа 2017 г. 7:46
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Вы походу единственный кто сможет мне помочь...
    12 августа 2017 г. 15:19
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Мне показалось по логам, что сообщение об отказе доступа произошло при обращении к другому контроллеру домена (что в вашем случае, с развалившейся репликацией, не удивительно). Вы не пробовали принудительно понизить контроллер домена, полностью отключив его от сети?

    Слава России!


    • Изменено M.V.V. _ 12 августа 2017 г. 16:00
    12 августа 2017 г. 16:00
    |
  • Question
    Нужно войти
    0
    Нужно войти
    От сети не отключал, может помочь? Я маршрутизатором отсёк любые попытки со стороны 1с-srv увидеть работающий контроллер, что бы ничего не мешало.
    12 августа 2017 г. 17:19
    |
  • Question
    Нужно войти
    0
    Нужно войти
    безрезультатно(((может через реестр dfs поправить?
    PS C:\Windows\system32> Uninstall-AddsDomainController -force -demoteoperationmasterrole -RemoveApplicationPartitions -S
kipPreChecks -IgnoreLastDCInDomainMismatch -IgnoreLastDnsServerForZone -LastDomainControllerInDomain
LocalAdministratorPassword: ************
Подтвердить LocalAdministratorPassword: ************
Uninstall-AddsDomainController : Сбой операции по следующей причине:
DFS Replication: Отказано в доступе.
"Отказано в доступе."
строка:1 знак:1
+ Uninstall-AddsDomainController -force -demoteoperationmasterrole -RemoveApplicat ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Uninstall-ADDSDomainController], DCPromoExecutionException
    + FullyQualifiedErrorId : DCPromo.General.54,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.UninstallA
   DDSDomainCommand

Message                       Context                                      RebootRequired                        Status
-------                       -------                                      --------------                        ------
Сбой операции по следующей... DCPromo.General.54                                    False                         Error


    14 августа 2017 г. 12:28
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Нет, ну если вы точно знаете, что именно нужно поправить - конечно, поправляйте. Только вот я сомневаюсь, что вы это действительно знаете.

    Я бы попробовал отловить, в каком именно вызове API именно возникает ошибка, с помощью Process Monitor (есть на сайте MS в разделе утилит Sysinternals). А потом бы уже думал, как поправить. Да, это долго, муторно и без гарантий, но ничего другого не вижу.

    Слава России!

    14 августа 2017 г. 13:48
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Это и правда очень муторно....
    15 августа 2017 г. 12:52
    |
  • Question
    Нужно войти
    0
    Нужно войти
    решили переустанавливать...
    • Помечено в качестве ответа KurtFox 20 августа 2017 г. 6:56
    17 августа 2017 г. 10:22
    |