Jump to content

zusätlicher Domänencontroller

SuBSoNiC2K

Von SuBSoNiC2K
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

SuBSoNiC2K

SuBSoNiC2K   10

Geschrieben
Geschrieben

Hallo MCSE Gemeinde,

 

beim Versuch des Anlegens eines zusätlichen Domänencontrollers bekomme ich folgende Fehlermeldung nachdem ich die bestehende Domäne ausgewählt habe:

 

"Vorgang fehlgeschlagen. Grund: Die erforderlichen Eigenschaften für das Computerkonto BLA$ wurden nicht geändert.

'Zugriff verweigert' "

 

Der Benutzer den ich zum anlegen verwendet habe hat alle Rechte auf der bestehenden Domäne.

 

Bis dann.

Link zu diesem Kommentar
PIC Mentor

PIC   11

Geschrieben
Geschrieben

Hallo SuBSoNiC2K,

 

Du hältst uns ein bisschen kurz mit Informationen. Deine Domäne ist W2K, oder?

 

Computerkonto: Du hast ein Kommunikationsproblem, so weit iss schon klar. Aber wie weit ist die Einrichtung des zweiten DC denn durchgelaufen?

 

Ereignisanzeige?

 

TCP/IP-Konfiguration? Irgendwelche Auffälligkeiten mit Routern, Subnetzen etc?

Link zu diesem Kommentar
SuBSoNiC2K

SuBSoNiC2K   10

Geschrieben
  • Autor
Geschrieben

jetzt hab ich ja doch ne Fehlermeldung:

 

Der Versuch die HOST-SPNs (Service Principal Names) des Computers im Active Directory zu aktualisieren ist fehlgeschlagen. Die aktualisierten Werte waren "<UNAVAILABLE>" und "<UNAVAILABLE>". Der folgende Fehler ist aufgetreten:

Aufgrund eines Fehlers im Zusammenhang mit der angeforderten Dienstqualität (z.B. gegenseitige Authentifizierung oder Delegierung) konnte der Sicherheitskontext nicht festgelegt werden.

Link zu diesem Kommentar
SuBSoNiC2K

SuBSoNiC2K   10

Geschrieben
  • Autor
Geschrieben

When you try to promote a replica domain controller, you receive:

 

The operation failed because: Failed to modify the necessary properties for the machine account %computername%$ "Access Denied"

The %SystemRoot%\Debug\Dcpromolog folder contains entries similar to:

MM/DD HH:MM:SS [iNFO] Configuring the server account

MM/DD HH:MM:SS [iNFO] NtdsSetReplicaMachineAccount returned 5

MM/DD HH:MM:SS [iNFO] DsRolepSetMachineAccountType returned 5

MM/DD HH:MM:SS [iNFO] Error - Failed to modify the necessary properties for the machine account %COMPUTERNAME%$(5)

During the promotion of a replica domain controller, the UserAccountControl attribute for the computer you are promoting is modified to define its' role as a domain controller. The computer you are promoting tries to:

1. Perform a LDAP search against an existing domain controller for its computer account (ObjectClass=user,ObjectClass=computer,SamAccountName=%ComputerName%$).

 

2. Update the UserAccountControl attribute, indicating a change from a member server to a domain controller.

 

3. Move the computer account object (CAO) from the current container or organizational unit (OU), to the domain controller's OU of the domain.

 

4. Source the schema, configuration, and domain naming contexts for replication, from domain controllers that already exist.

 

For steps 2 and 3 to succeed, the source domain controller used by the new replica must have successfully replicated and applied the security policy, as identified by Event ID 1704 in the application log, after Dcpromo has run.

 

The operation failed because the Enable computer and users accounts to be trusted for delegation user right, required to update the UserAccountControl, has not been granted. This right is granted to the Administrators group, in the defaut domain controllers policy.

 

To fix the problem:

 

Make sure that existing domain controllers have applied security policy and that the Enable computer and users accounts to be trusted for delegation user right has been granted to the Administrators group (Default Domain Controller Policy / Computer Configuration / Windows Settings / Security Settings / Local Policies).

 

If a domain controller does not have this right, confirm that GPOs have replicated, and then manually apply the policy by typing the following command:

 

secedit /refreshpolicy machine_policy

 

NOTE: If the Application event log contains:

 

Event ID 1704: Security Policy in the Group policy objects are applied successfully. the GPOs have been appliced.

 

If you're in a hurry, stop the Netlogon service on the source domain controller that doesn't have this right, to discover another DC that does.

 

 

 

 

OK hier ist die Lösung aber ich kann leider nicht so viel damit anfangen kann das vielleicht jemand verständlich für newbies ausdrücken

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...