Michael.ebel 10 Geschrieben 21. August 2009 Melden Teilen Geschrieben 21. August 2009 Hallo miteinander, folgendes Problem treibt mich um: Ich will bei einem beliebigen Computerkonto (im Programm "Active Directory-Benutzer und -Computer") auf der Karte Delegierung die Delegierung umstellen. Egal was ich probiere, ich bekomme beim Übernehmen der geänderten Einstellung immer den Fehler: "Active Directory-Fehler: Zugriff verweigert" Angemeldet bin ich mit administrativen Rechten, die Ereignisanzeige schweigt sich aus. In den Gruppenrichtlinien habe ich explizit nochmals das Verändern der Delegierung erlaubt. Hintendran hängt noch das Problem, das ich auf einem Server das dcpromo nicht durchführen kann weil der Zugriff verweigert wird. Microsoft verweist dazu wieder auf die Delegierung. Wer weiß Rat? sommerlich Grüße:cool: Michael Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. August 2009 Melden Teilen Geschrieben 21. August 2009 Hi, blende einmal die erweiterten Optionen in der AD USers & Computers MMC ein: http://www.microsoft.com/windows/windows2000/en/advanced/help/dsadmin_advanced_view.htm Danach kannst Du per Rechtsklick --> Eigenschaften auf dem entsprechenden Objekt die ACLs / Sicherheitseinstellungen einsehen und prüfen, welche Accounts Zugriffsrecht haben. Im Normalfall solltest Du als Administrator (Domain-Admin / Enterprise-Admin oder mit den entsprechend delegierten Berechtigungen) die notwendigen Rechte haben. Zumindest standardmäßig ist das der Fall. Ansonsten hoste extern einmal das DCPROMO.log, dann kann man vielleicht genauer schauen, wo es Probleme gibt. Bitte beachte dabei, daß in der Datei durchaus Datenschutz-relevante Informationen stehen. Daher nicht "einfach so" posten. Lokal an dem zu promotenden System bist Du lokaler Administrator, korrekt? Viele Grüße olc Zitieren Link zu diesem Kommentar
Michael.ebel 10 Geschrieben 24. August 2009 Autor Melden Teilen Geschrieben 24. August 2009 Hallo Olc ja ich bin Administrator, und die Rechte sind auch voll gegeben. daher hier das LOG (namen sind frei erfunden, Log ist authentisch): 08/24 07:44:58 [iNFO] Start the worker task 08/24 07:44:58 [iNFO] Request for promotion returning 0 08/24 07:44:58 [iNFO] Für die Domäne domäne.local mit dem Konto nochnichtdc$ wird ein Domänencontroller gesucht. 08/24 07:44:58 [iNFO] Der Domänencontroller istschondc.domäne.local für die Domäne domäne.local wurde gefunden. 08/24 07:44:58 [iNFO] Der Standort Standardname-des-ersten-Standorts wird für den Server \\istschondc.domäne.local verwendet. 08/24 07:44:58 [iNFO] Forcing time sync 08/24 07:44:58 [iNFO] Zeitsynchronisierung mit \\istschondc.domäne.local wird erzwungen. 08/24 07:44:58 [ERROR] Failed to get the current time on \\istschondc.domäne.local: 5 08/24 07:44:58 [ERROR] NON-FATAL error forcing a time sync (5). Ignoring 08/24 07:44:59 [iNFO] Der Dienst NETLOGON wird beendet. 08/24 07:44:59 [iNFO] Der Dienst NETLOGON wird beendet. 08/24 07:45:59 [iNFO] Configuring service NETLOGON to 1 returned 0 08/24 07:45:59 [iNFO] Stopped NETLOGON 08/24 07:45:59 [iNFO] Deleting current sysvol path C:\WINDOWS\SYSVOL 08/24 07:46:02 [iNFO] Created system volume path 08/24 07:46:02 [iNFO] Die ursprüngliche Verzeichnisdienstdatenbankdatei C:\WINDOWS\system32\ntds.dit wird nach C:\WINDOWS\NTDS\ntds.dit kopiert. 08/24 07:46:02 [iNFO] Der Verzeichnisdienst wird installiert. 08/24 07:46:02 [iNFO] Calling NtdsInstall for domäne.local 08/24 07:46:02 [iNFO] Die Active Directory-Installation wird gestartet. 08/24 07:46:02 [iNFO] Die vom Benutzer angegebenen Optionen werden bestätigt. 08/24 07:46:02 [iNFO] Ein Standort für die Installation wird ermittelt. 08/24 07:46:02 [iNFO] Eine bestehende Active Directory-Gesamtstruktur wird überprüft. 08/24 07:46:03 [iNFO] Der Replikationszyklus wird zwischen istschondc.domäne.local und dem RID-Vorgangsmaster (ms-software.domäne.local) gestartet, so dass das neue Replikat Benutzer, Gruppen und Computerobjekte erstellen kann… 08/24 07:46:03 [iNFO] Die lokale Domäne wird als Host für das Active Directory konfiguriert. 08/24 07:46:19 [iNFO] Das NTDS-Einstellungsobjekt für diesen Domänencontroller wird auf dem Remotedomänencontroller istschondc.domäne.local erstellt… 08/24 07:46:19 [iNFO] Die Schemaverzeichnispartition wird repliziert. 08/24 07:46:25 [iNFO] Replikation von CN=Schema,CN=Configuration,DC=domäne,DC=local: 1000 Objekte von ungefähr 1104 Objekten empfangen. 08/24 07:46:55 [iNFO] Replikation von CN=Schema,CN=Configuration,DC=domäne,DC=local: 1999 Objekte von ungefähr 1999 Objekten empfangen. 08/24 07:47:04 [iNFO] Replikation von CN=Schema,CN=Configuration,DC=domäne,DC=local: 2453 Objekte von ungefähr 2453 Objekten empfangen. 08/24 07:47:04 [iNFO] Der Schemacontainer wurde repliziert. 08/24 07:47:05 [iNFO] Active Directory hat den Schemacache aktualisiert. 08/24 07:47:05 [iNFO] Die Konfigurationsverzeichnispartition wird repliziert. 08/24 07:47:12 [iNFO] Replikation von CN=Configuration,DC=domäne,DC=local: 1000 Objekte von ungefähr 3229 Objekten empfangen. 08/24 07:47:13 [iNFO] Replikation von CN=Configuration,DC=domäne,DC=local: 1245 Objekte von ungefähr 3229 Objekten empfangen. 08/24 07:47:13 [iNFO] Der Konfigurationscontainer wurde repliziert. 08/24 07:47:13 [iNFO] Error - Der Assistent zum Installieren von Active Directory konnte das Computerkonto nochnichtdc$ nicht in ein Domänencontrollerkonto konvertieren. (5) 08/24 07:47:16 [iNFO] NtdsInstall for domäne.local returned 5 08/24 07:47:16 [iNFO] DsRolepInstallDs returned 5 08/24 07:47:16 [ERROR] Failed to install to Directory Service (5) 08/24 07:47:22 [iNFO] Der Dienst NETLOGON wird gestartet. 08/24 07:47:22 [iNFO] Configuring service NETLOGON to 2 returned 0 08/24 07:47:22 [iNFO] Der Domänencontrollervorgang wurde abgeschlossen. 08/24 07:47:22 [iNFO] DsRolepSetOperationDone returned 0 Gruß Michael Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. August 2009 Melden Teilen Geschrieben 24. August 2009 Hi Michael, das Log sollte uns hier weiter helfen, die übersetzte Fehlermeldung lautet "The Active Directory Installation Wizard was unable to convert the computer account %1 to a domain controller account." :) Schau Dir einmal den folgenden KB-Artikel an - unter Umständen wurde etwas an den Benutzerrechten gedreht: When you run Dcpromo.exe to create a replica domain controller, you receive the "Failed to modify the necessary properties for the machine account. Access is denied" error message Wichtig wäre (falls die Anleitung im Link oben keine Besserung bringt) übrigens auch zu checken, ob auf der Quell-OU als auch der "OU=Domain Controllers" keine fehlerhaften ACLs vorliegen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Michael.ebel 10 Geschrieben 25. August 2009 Autor Melden Teilen Geschrieben 25. August 2009 Servus OLC, das mit der Gruppenrichtlinie habe ich bereits geprüft (siehe meinen ersten Beitrag). Was mir dabei dann aufgefallen war, ist das ich die Karte Delegierung auf den betroffenen Maschinen zwar sehe, aber nicht ändern kann. Wie prüfe ich am besten auf fehlerhafte ACL (z.B. ntdstutil )? Michael:confused: Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. August 2009 Melden Teilen Geschrieben 25. August 2009 Hi, schau Dir am besten ein Testsystem an und prüfe die ACLs direkt auf dem Computerobjekt als auch den übergeordneten OUs an (Reiter "Sicherheit"). Zusätzlich könntest Du in den Sites & Services auch noch einmal prüfen, ob eventuell ein gleichnamiges Computerobjekt in einer Site existiert, ohne daß ein NTDS Objekt darunter liegt. Hier kann es in ungünstigen Umständen auch zu Problemen kommen. Einen gleichnamigen DC gab es vorher nicht in der Domäne, nein? Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.