Bei dem Versuch, einen Domain Controller herabzustufen, tritt ein Fehler auf und im Verzeichnisdienstprotokoll werden die Ereignisse 2022 und 2091 protokolliert. Der Server kann nicht herabgestuft werden.
Das Herabstufen bricht mit folgender Fehlermeldung ab:
Im Protokoll des Verzeichnisdienstes des Servers waren folgende Einträge zu finden:
Quelle:
Microsoft-Windows-ActiveDirectory_DomainService
Datum: 08.10.2014 14:06:06
Ereignis-ID: 2022
Aufgabenkategorie:Replikation
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: ANONYMOUS-ANMELDUNG
Computer: NTDC4.xyz.local
Beschreibung:
Die Betriebsmasterfunktionen, die dieser Verzeichnisserver innehat, konnten
nicht auf den folgenden Remoteverzeichnisserver übertragen werden.
Remoteverzeichnisdienst:
\NTDC1.xyz.local
Dies
verhindert das Entfernen dieses Verzeichnisservers.
Benutzeraktion
Untersuchen Sie, warum der Remoteverzeichnisserver ggf. nicht in der Lage
ist, die Betriebsmasterfunktionen anzunehmen, oder übertragen Sie manuell alle
Funktionen, die dieser Verzeichnisserver innehat, auf den
Remoteverzeichnisserver. Versuchen Sie dann erneut, diesen Verzeichnisserver zu
entfernen.
Zusätzliche Daten
Fehlerwert:
5005 Dem Verzeichnisdienst fehlen verbindliche Konfigurationsinformationen.
Er kann daher den Besitz der Betriebsmodi für wechselnde Einzelmaster nicht
bestimmen.
Erweiterter Fehlerwert:
0
Interne ID:
52498735
und
Protokollname:
Directory Service
Quelle:
Microsoft-Windows-ActiveDirectory_DomainService
Datum: 08.10.2014 14:06:06
Ereignis-ID: 2091
Aufgabenkategorie:Replikation
Ebene: Warnung
Schlüsselwörter:Klassisch
Benutzer: ANONYMOUS-ANMELDUNG
Computer: NTDC4.xyz.local
Beschreibung:
Der Besitzer
der folgenden FSMO-Rolle wurde auf einen Server festgelegt, der entweder
gelöscht wurde oder nicht vorhanden ist.
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern,
sind nicht erfolgreich, solange dieser Zustand nicht behoben wird.
FSMO-Rolle: CN=Infrastructure,DC=DomainDnsZones,DC=xyz,DC=local
DN des FSMO-Servers: CN=NTDS Settings�ADEL:0c77e55a-c7d2-4aed-ba03-0a0bf13d6da7,CN=NTDC1�ADEL:75c90fa8-f2d5-400f-ad8c-892dc5bd02c9,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,DC=local
Das Ereignis 2091 verweist auf die NTDSSettings eines entfernten Domain Controller DSA Objektes. Dieser Domain Controller wurde mit ntdsutil.exe Metadata Cleanup aus dem AD entfernt.
Lösung
In diesem Szenario sollte der NTDC4 entfernt werden. Alle FSMO-Rollen waren auf dem DC NTDC2, was leicht zu überprüfen war. Der NTDC2 war voll funktionsfähig.
Die Korrektur erfolgte mit ADSIEdit.msc. Dabei werden die AD Partitionen
dc=domainDNSZones,dc=xyz,dc=local
dc=ForestDNSZones,dc=xyz,dc=local
auf dem Server ntdc2 (Infrastructure Master) bearbeitet.
Hier sind die Verbindungseinstellungen für die DomainDNSZones:
Bearbeitet wird das Objekt CN=Infrastructure.
Dort finden wir den fehlerhaften Eintrag im Attribute fsmoRoleOwner. Zur Korrektur tragen wir den DistinguishedName der ntdssettings des aktuellen Infrastructure Masters ein:
CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local
Das geht am leichtesten, wenn wir das Attribut DistinguishedName aus dem Objekt
CN=NTDS Settings,CN=NTDC2,CN=Servers,CN=Koeln,CN=Sites,CN=Configuration,DC=xyz,dc=local
kopieren und dann hier einfügen.
Danach muss
die Korrektur noch für cn=Infrastructure,dc=ForestDNSZone,dc=xyz,dc=local durchgeführt
werden.
ADSIEdit muss dabei mit den aktuellen Infrastructure Master (im Szenario NTDC2)
verbunden sein, sonst kann die Änderung nicht durchgeführt werden.
Anschließend müssen die Änderungen auf alle Domain Controller repliziert werden.
Der DC NTDC4 konnte danach heruntergestuft werden.