Jump to content
Sign in to follow this  
TiTux

"Zugriff verweigert" beim herunterstufen eines Domänencontrollers

Recommended Posts

Hallo,

 

in unserer Domäne laufen 2 Domänencontroller. Auf beiden läuft ein DNS und

beide sind auch Global Catalog Server. Nslookup arbeitet auch einwandfrei.

 

Wenn ich nun den einen Server mit dcpromo herunterstufen möchte, fängt er erst

einmal ganz normal an und dann kommt die folgende Fehlermeldung:

 

Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER01$ auf dem Server server04.traffiQ.de zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert "

 

Darunter steht dann noch: „Geben sie ein Konto an, das über Administratorrechte

für die Gesamtstruktur „traffiq.de“ verfügt.

 

Dann kann ich einen Benutzernamen, Passwort und die Domäne nochmals angeben.

Ich habe den Administrator Account benutzt, mit dem ich auch an beiden Servern angemeldet bin. Der Administrator Account ist Mitglied in: Organisationsadmin, Schemaadmins und Domänenadmin. Also mehr Rechte kann er eigentlich nicht mehr haben wollen.

 

An diesem Punkt komme ich einfach nicht weiter. Ich hab’s auch mit einem neu angelegten User probiert, der auch die ganzen Berechtigungen bekommen hat, brachte aber auch nichts.

 

Das dcpromoui.log File häng ich hier jetzt lieber nicht an, es ist schon ziemlich groß, es sei denn, jemand kann damit mehr anfangen, als meiner einer.

 

Gruß TiTux

Share this post


Link to post

Es steht ausser Frage das das ein Rechteproblem ist.

Melde Dich mit dem Konto an mit dem die DC erstellt bzw. hochgestuft wurden. Dann sollte es funktionieren.

Share this post


Link to post

Servus,

 

der DC wurde mit dem Administrator Konto zum DC damals hochgestuft und mit dem gleichen möchte ich ihn jetzt auch wieder runterstufen. Zudem hat der User sämtliche Rechte bekommen um auszuschliessen, dass ich auch keine wichtige Gruppe vergessen habe.

 

Wäre echt Klasse, wenn hier jemanden noch etwas zu dieser Problematik einfallen würde, denn NTDSUTIL soll eigentlich die letzte Möglichkeit sein, um den DC sauber aus der Domäne rauszubekommen.

 

Vielen Dank schonmal,

 

Gruß

 

TiTux

Share this post


Link to post

Wie sieht es eigentlich mit DNS aus. Läuft den nslookup sauber durch.

Gib in den TCP/IP Eigenschaften des DC von dem Du ADS entfernen möchtest doch den DNS Server an der hinterher noch DC sein soll.

Ich hatte auch schon mal das Problem. Ich habe dann alles im DNS überprüft uns siehe da es fehlte ein SRV Eintrag.

Mit ipconfig /registerdns kannst Du den Server ja im DNS registrieren lassen. Hinterher mit nslookup nochmals überprüfen und dcpromo anschubsen.

Wenn es wieder nicht klappen sollte würde ich den Server einfachplatt machen und neu installieren , wenn nicht noch etwas wichtiges drauf wäre.

 

Gruß

Baba

Share this post


Link to post

Servus,

 

ich hab's endlich geschafft :)

 

Den KB Artikel hatte ich die ganze Zeit auf dem Server, warum ich das

nicht gleich umgesetzt hab, kapiert wohl niemand. :suspect:

 

Auf jedenfall geht es um das "Delegierungsprivileg". Dieses muss man der Gruppe Administratoren in den Richtlinien der Domänencontroller zuweisen. Danach einfach die Replizierung anstossen und dann funzt es auch mit dcpromo.

 

KB Link

 

Gruß Rainer

Share this post


Link to post

Welche Richtlinie?

lokale Sicherheitsrichtlinie ?

 

Und warum sollte ich den Dom Admins ein Privileg einräumen was sie doch schon haben.

Poste doch bitte mal die Artikelnummer der KB.

Das würde mich mal interessieren.

 

 

Danke

Baba

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...