120405-Header-v2.jpg
08-10-2014

EventID 2020 und 2091 Microsoft-Windows-ActiveDirectory_DomainService beim Herabstufen eines Domain Controllers

Artikel bewerten
(4 Stimmen)

Bei dem Versuch, einen Domain Controller herabzustufen, tritt ein Fehler auf und im Verzeichnisdienstprotokoll werden  die Ereignisse 2022 und 2091 protokolliert. Der Server kann nicht herabgestuft werden.

 

 

Das Herabstufen bricht bei Windows Server 2008 R2 mit folgender Fehlermeldung ab:

 

fsmo1

 

Im Protokoll des Verzeichnisdienstes des Servers waren folgende Einträge zu finden:

Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         08.10.2014 14:06:06
Ereignis-ID:   2022
Aufgabenkategorie:Replikation
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      NTDC4.xyz.local
Beschreibung:
Die Betriebsmasterfunktionen, die dieser Verzeichnisserver innehat, konnten nicht auf den folgenden Remoteverzeichnisserver übertragen werden.
 
Remoteverzeichnisdienst:
\\NTDC1.xyz.local

Dies verhindert das Entfernen dieses Verzeichnisservers.
 
Benutzeraktion
Untersuchen Sie, warum der Remoteverzeichnisserver ggf. nicht in der Lage ist, die Betriebsmasterfunktionen anzunehmen, oder übertragen Sie manuell alle Funktionen, die dieser Verzeichnisserver innehat, auf den Remoteverzeichnisserver. Versuchen Sie dann erneut, diesen Verzeichnisserver zu entfernen.
 
Zusätzliche Daten
Fehlerwert:
5005 Dem Verzeichnisdienst fehlen verbindliche Konfigurationsinformationen. Er kann daher den Besitz der Betriebsmodi für wechselnde Einzelmaster nicht bestimmen. 
Erweiterter Fehlerwert:
0
Interne ID:
52498735

und

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         08.10.2014 14:06:06
Ereignis-ID:   2091
Aufgabenkategorie:Replikation
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      NTDC4.xyz.local
Beschreibung:

Der Besitzer der folgenden FSMO-Rolle wurde auf einen Server festgelegt, der entweder gelöscht wurde oder nicht vorhanden ist.
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird.
 
FSMO-Rolle: CN=Infrastructure,DC=DomainDnsZones,DC=xyz,DC=local
DN des FSMO-Servers: CN=NTDS Settings\0ADEL:0c77e55a-c7d2-4aed-ba03-0a0bf13d6da7,CN=NTDC1\0ADEL:75c90fa8-f2d5-400f-ad8c-892dc5bd02c9,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,DC=local

 

Das Ereignis 2091 verweist auf die NTDSSettings eines entfernten Domain Controller DSA Objektes. Der Domain Controller wurde mit ntdsutil.exe Metadata Cleanup aus dem AD gelöscht.

Lösung

In diesem Szenario sollte der NTDC4 entfernt werden. Alle FSMO-Rollen lagen auf dem NTDC2, was leicht zu überprüfen war. Der NTDC2 war voll funktionsfähig.

Die Korrektur erfolgte mit ADSIEdit.msc. Dabei werden die AD Partitionen

dc=domainDNSZones,dc=xyz,dc=local
dc=ForestDNSZones,dc=xyz,dc=local

auf dem Server ntdc2 (Infrastructure Master) bearbeiten. Hier sind die Verbindungseinstellungen für die DomainDNSZones:

 

fsmo2

 

Bearbeitet wird das Objekt CN=Infrastructure.

Dort finden wir den fehlerhaften Eintrag im Attribute fsmoRoleOwner.  Zur Korrektur tragen wir den DistinguishedName der ntdssettings des aktuellen Infrastructure Masters ein:

CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local

Das geht am leichtesten, wenn wir das Attribut DistinguishedName aus dem Objekt

CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local

kopieren und dann hier einfügen.

Danach muss die Korrektur noch für cn=Infrastructure,dc=ForestDNSZone,dc=xyz,dc=local durchgeführt werden.


ADSIEdit muss dabei mit den aktuellen Infrastructure Master (im Szenario NTDC2) verbunden sein, sonst kann die Änderung nicht durchgeführt werden.

Anschließend müssen die Änderungen auf alle Domain Controller repliziert werden.

Der DC NTDC4  konnte heruntergestuft werden.

 

trevedi-logo-weiss

transparent10

trevedi IT-Consulting GmbH
Gottfried-Hagen-Str. 30
51105 Köln

T +49 (0)221 - 3 55 88 88 - 0
E Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Impressum/Haftungsausschluss

transparent10

transparent10

© trevedi IT-Consulting GmbH 2012

Login

Login