Bei dem Versuch, einen Domain Controller herabzustufen, tritt ein Fehler auf und im Verzeichnisdienstprotokoll werden  die Ereignisse 2022 und 2091 protokolliert. Der Server kann nicht herabgestuft werden.

Das Herabstufen bricht mit folgender Fehlermeldung ab:

 

Im Protokoll des Verzeichnisdienstes des Servers waren folgende Einträge zu finden:

Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         08.10.2014 14:06:06
Ereignis-ID:   2022
Aufgabenkategorie:Replikation
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      NTDC4.xyz.local
Beschreibung:
Die Betriebsmasterfunktionen, die dieser Verzeichnisserver innehat, konnten nicht auf den folgenden Remoteverzeichnisserver übertragen werden. 
 
Remoteverzeichnisdienst: 
\NTDC1.xyz.local

Dies verhindert das Entfernen dieses Verzeichnisservers. 
 
Benutzeraktion 
Untersuchen Sie, warum der Remoteverzeichnisserver ggf. nicht in der Lage ist, die Betriebsmasterfunktionen anzunehmen, oder übertragen Sie manuell alle Funktionen, die dieser Verzeichnisserver innehat, auf den Remoteverzeichnisserver. Versuchen Sie dann erneut, diesen Verzeichnisserver zu entfernen. 
 
Zusätzliche Daten 
Fehlerwert: 
5005 Dem Verzeichnisdienst fehlen verbindliche Konfigurationsinformationen. Er kann daher den Besitz der Betriebsmodi für wechselnde Einzelmaster nicht bestimmen.  
Erweiterter Fehlerwert: 

Interne ID:
52498735

und

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         08.10.2014 14:06:06
Ereignis-ID:   2091
Aufgabenkategorie:Replikation
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      NTDC4.xyz.local
Beschreibung:

Der Besitzer der folgenden FSMO-Rolle wurde auf einen Server festgelegt, der entweder gelöscht wurde oder nicht vorhanden ist. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: CN=Infrastructure,DC=DomainDnsZones,DC=xyz,DC=local 
DN des FSMO-Servers: CN=NTDS Settings�ADEL:0c77e55a-c7d2-4aed-ba03-0a0bf13d6da7,CN=NTDC1�ADEL:75c90fa8-f2d5-400f-ad8c-892dc5bd02c9,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,DC=local

 

Das Ereignis 2091 verweist auf die NTDSSettings eines entfernten Domain Controller DSA Objektes. Dieser Domain Controller wurde mit ntdsutil.exe Metadata Cleanup aus dem AD entfernt.

Lösung

In diesem Szenario sollte der NTDC4 entfernt werden. Alle FSMO-Rollen waren auf dem DC NTDC2, was leicht zu überprüfen war. Der NTDC2 war voll funktionsfähig.

Die Korrektur erfolgte mit ADSIEdit.msc. Dabei werden die AD Partitionen

dc=domainDNSZones,dc=xyz,dc=local
dc=ForestDNSZones,dc=xyz,dc=local

auf dem Server ntdc2 (Infrastructure Master) bearbeitet.

Hier sind die Verbindungseinstellungen für die DomainDNSZones:

 

 

Bearbeitet wird das Objekt CN=Infrastructure.

Dort finden wir den fehlerhaften Eintrag im Attribute fsmoRoleOwner.  Zur Korrektur tragen wir den DistinguishedName der ntdssettings des aktuellen Infrastructure Masters ein:

CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local

Das geht am leichtesten, wenn wir das Attribut DistinguishedName aus dem Objekt

CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local

kopieren und dann hier einfügen.

Danach muss die Korrektur noch für cn=Infrastructure,dc=ForestDNSZone,dc=xyz,dc=local durchgeführt werden.
ADSIEdit muss dabei mit den aktuellen Infrastructure Master (im Szenario NTDC2) verbunden sein, sonst kann die Änderung nicht durchgeführt werden.

Anschließend müssen die Änderungen auf alle Domain Controller repliziert werden.

Der DC NTDC4  konnte danach heruntergestuft werden.

Feedback

Haben Sie Fragen, Anregungen oder Kritik zu diesem Beitrag?
Nutzen Sie unser Feedback-Tool. Wir freuen uns auf Ihre Nachricht.

Ihre E-Mail-Adresse (Pflichtfeld)

Ihre Nachricht (Pflichtfeld)

Ich stimme zu, dass die Verarbeitung meiner Daten gemäß Punkt 3 der Datenschutzerklärung erfolgt .

Trevedi

Trevedi IT-Consulting GmbH
Gottfried-Hagen-Str. 30
51105 Köln

T +49 (0)221 – 3 55 88 88 – 0
E info(@)trevedi.de

Trevedi Partnerlogos

Top