Мастеру установки доменных служб active directory не удается преобразовать учетную запись компьютера
Никак не могу разобраться в следующей проблеме.
Имеется контроллер домена под управлением Windows 2008 R2.
Необходимо развенуть резервный под той же ОС.
Делаю как описанно в инструкции (которых полно на просторах интернет):
1. Запускаю dcpromo
2. Ввожу пошагово необходимые данные
3. Запускаю установку
Учетная запись используется администратора, в группу админов домена он входит .
Не подскажите где копать .
Заранее огромное спасибо за ответ !
Решение
Если вы устанавливаете службы домена Active Directory на компьютере с тем же именем, что и контроллер домена, который ранее существовал в домене, не исключено, что метаданные по-прежнему остаются.
Для удаления метаданных можно использовать один из следующих методов:
Если мастер установки Active Directory продолжает сбой с ошибкой "Указанный пользователь уже существует", просмотрите %systemroot% \ \ отлаживку DCPROMOUI. LOG для определения имени контроллера домена помощника, который пытается использовать новый контроллер домена.
Пример вывода из DCPROMOUI. ЖУРНАЛ:
Убедитесь, что диспетчер домена-помощника, идентифицированный в шаге 2, реплицирует удаление конфликтующих учетных записей компьютера контроллера домена и объектов NTDS Параметры (очистка метаданных), выполняемых в шаге 1. Если учетная запись компьютера контроллера домена все еще существует, оцените возможные причины:
- Задержка репликации, например контроллер домена, который находится в нескольких прыжках от контроллера домена, зародив очистку метаданных.
- Сбой репликации входящие на контроллере домена помощника.
- Контроллер домена-помощника находится на сайте задержки, специально настроенном для входящие изменения репликации с задержкой.
Дополнительные сведения о других причинах этой ошибки можно найти в следующем номере статьи, чтобы просмотреть статьи в базе знаний Майкрософт:
938447 Нельзя добавить имя пользователя или имя объекта, которое отличается только от символа с диакритической метой
Смотрел gpedit - "Разрешения доверия к учетным записям при делегировании", там нельзя добавить новых пользователей, а как мне кажется именно этого требует система. setsnp не помог, или я неправильно им воспользовался.
ПС а копать атсюда и до абеда
бгг
SPN-ны являются уникальными идентификаторами для сервисов, работающих на серверах. Любой сервис, который использует аутентификацию Kerberos, должен иметь SPN, чтобы клиенты могли идентифицировать этот сервис в сети. Если SPN для сервиса не определен, клиенты не смогут найти этот сервис. Без правильно установленных SPN-нов аутентификация Kerberos невозможна.
Соответственно set_spn - утилита для настройки.
Я использовал ее для того, чтобы в AD в свойствах пользователя добавить вкладку "делегирование". С этим все получилось.
А вот разрешить делегирование для УЗ админа не разрешается. Ругается. Тут у меняы пока затык.
Что приводит к проблеме,невозможности преобразования УЗ.
достаточно было сказать, что очепятка мол вышла, чего ты до кербероса докопался? KRB_ERROR в логах видишь? по сцылке ходил, читал?
скрин с ошибкой ниочем, че в логах по етому поводу написано выкладывай, будем думать.
Предположим, что я отправился не по тому пути. Начну сначала.
1) Есть 2003 и 2008 r2.
2) Подготоваливаем 2003 через adprep. Назначаем 2008 статический IP.
3) На 2008 - dcpromo, в существующем лесу добавляем контроллер в существующий домен.
4) Пишем имя уже существующего домена, даем логин и пароль с правами администратора домена.
5) Выбираем существующий домен, сайт.
6) В доп параметрах отмечаем DNS-Server и глобальный каталог.
7) Выбираем расположение баз, журналов и SYSVOL.
8) Задаем пароль админа для режиме восстановления служб каталогов.
9) Пошла установка - Последнее из действий - "Реплицирован контейнер конфигурации", далле скриншот
И в итоге отмена процесса..
и текст ошибки (если не то, то подскажите, где смотреть)
Internal error: An Active Directory Domain Services error has occurred.
Additional Data
Error value (decimal):
-1073741823
Error value (hex):
c0000001
Internal ID:
300162a
Ок, спасибо. В принципе очередная статья, где об этой ошибке не слова. Все неудачно заканчивается на этом шаге.
Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog.
Ок, спасибо. В принципе очередная статья, где об этой ошибке не слова. Все неудачно заканчивается на этом шаге.
Попробую сегодня обойтись без перенесения, а просто воткнуть и настроить новый сервак.
для начала непонятки:
1 за такие имена хостов, казнилбы, фантазии чтоль не хватает? любишь строгости есть стандартные названия контроллер DC DC1 DC2. ДНСы ns ns1 ns2. почтовики mx . файлопомойки fs и т.д. нахер себе жисть усложнять спец символами.
2 диагностику существующего контроллера делал? (netdiag dcdiag) диагностированные ошибки исправлять нужно обязательно.
3 не понятно у тебя 2008 в домене, или ты его так пытаешся втюхать.
вся операция - поднять второй DC, корректно реплицировать, передать роли. на двадцать минут.
2008 снеси, поставь заново, и строго по статье, слово в слово.
Миграций делал и делаю херову гору, проблем никогда не было, за исключением когда работнички роли с PDC не перрекинули а сам сервак грохнули. Вот тогда было весело.
Причина
Учетная запись пользователя, используемая для выполнения DCPROMO, не получила права пользователя "Включить учетные записи компьютеров и пользователей для делегирования".
Симптомы
Продвижение DCPROMO компьютера-члена Windows Server 2008 или более поздней версии на контроллер домена реплики (DC) не удается со следующей ошибкой:
Понижение DCPROMO может привести к сбой с той же ошибкой:
Ответы
Огромное всем спасибо за ответы .
В групповой политике контроллера домена отсутствовали какие-либо пользователи которым разрешено осуществлять делегирование.
Причина
Существует учетная запись компьютера с тем же именем, что и компьютер, на котором вы пытаетсяе установить службы домена Active Directory.
Симптомы
Изящное понижение Windows Сервера, на который размещена роль AD DS или сервера контроллера домена. Вы видите следующую ошибку на экране:
Соответствующая часть DCPROMO. Файл LOG содержит следующий текст:
Обзор объекта инфраструктуры и атрибутов раздела приложений DNS, на который ссылается ошибка DCPROMO на экране и DCPROMO. ЖУРНАЛ:
Атрибут содержит строку 0ADEL, указывающую, что роль, владеющий объектом fSMORoleOwner NTDS dc Параметры, удалена.
Атрибут содержит 32-символ альфа-числимый GUID владеют объектом DCs NTDS Параметры в формате fSMORoleOwner xxxx-xxxx-xxxx-xxxx-xxxx.
Имя раздела приложения DNS по умолчанию, для которого атрибут назначен dc с удаленным объектом fSMORoleOwner NTDS Параметры. В этом случае ошибка ссылается на DomainDNSZones. Эта же ошибка может возникнуть и в разделе приложений ForestDNSZones.
Дополнительные сведения
Таблица1. Журналы из промоушена (пример)
Значение ошибки (десятичная):
-1073741823
Значение ошибки (hex):
c0000001
[INFO] EVENTLOG (Информационная): NTDS General / Service Control: 1004
Службы домена Active Directory были успешно закрыты.
В этой статье решается проблема, из-за которой не удается Windows сервера, на котором размещены службы домена Active Directory (AD DS) или роль сервера контроллера домена.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2694933
Ответы
Огромное всем спасибо за ответы .
В групповой политике контроллера домена отсутствовали какие-либо пользователи которым разрешено осуществлять делегирование.
Причина
Ошибка возникает, когда пониженный контроллер домена не может воспроизводить исходящие изменения в DC, который владеет инфраструктурой FSMO или операционной ролью раздела, на который ссылается ошибка DCPROMO [журнал].
В частности, попытка понижения прерывается для защиты от потери данных. В случае разделов приложений DNS понижение блокируется, чтобы обеспечить репликацию следующих данных:
- живые и удаленные записи DNS
- ACLS записей DNS
- метаданные, такие как даты регистрации и удаления
Пути DN для разделов, в которых может возникнуть ошибка в разделе Симптомы, включают следующие:
- CN=Infrastructures,DC=DomainDNSZones.
- CN=Infrastructures,DC=ForestDNSZones.
Решение
Если мастеру инфраструктуры назначен удаленный NTDSA в разделе приложений DNS, например DomainDNSZones, его также может не оказаться в разделе ForestDNSZones или наоборот. Рекомендуется убедиться, что разделы DomainDNSZones и ForestDNSZones назначены для живых Windows Server 2003 или более поздних контроллеров домена, на которые размещена роль и раздел DNS Server.
Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.
Используйте для назначения пути DN для атрибута к живому DC, который был прямым партнером репликации исходного ADSIEDIT.MSC fsMORoleOwner владельца роли FSMO. Затем подождите, пока это изменение будет входящий репликации в dc, который будет понижен.
Запустите сценарий в разделе Разрешение KB949257 для раздела, о чем идет речь.
Если пониженный dc не может воспроизводить входящие изменения для раздела каталога, запустите команду, чтобы принудительно понизить контроллер DCPROMO /FORCEREMOVAL домена.
Дополнительная информация
DCPromo пытается реплицировать изменения на каждом локально удерживаемом NC, чтобы уникальные изменения не были потеряны. Если данные хранятся в зонах DNS, DCPROMO пытается реплицировать содержимое зон DNS в мастер инфраструктуры для раздела DNS, о чем идет речь.
KB949257 описывает проблему, при которой команда не удается, когда мастер инфраструктуры для одного или более разделов приложений DNS назначен удаленным ADPREP /RODCPREP NTDSA.
В этой статье предоставляется решение проблемы, из-за которой при установке служб домена Active Directory ошибка: указанный пользователь уже существует.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2000622
Симптомы
При попытке установить службы домена Active Directory на компьютере Windows Server вы можете получить следующую ошибку:
Присоединение к домену ошибки
Операция не удалась, так как попытка присоединиться к этому компьютеру не удалось. Указанный пользователь уже существует.
%systemroot% \ отлаживка \ DCPROMOUI. ЖУРНАЛ содержит следующий текст:
dcpromoui Enter ComposeFailureMessage
dcpromoui Введите getErrorMessage 80070524
dcpromoui Введите состояние::GetOperationResultsMessage Попытка присоединиться к этому компьютеру в домен сбой.
dcpromoui Введите состояние::GetOperationResultsFlags 0x0
dcpromoui Введите состояние::SetFailureMessage Операция не удалась, так как:
Попытка присоединиться к этому компьютеру в домен не удалась.
"Указанный пользователь уже существует".
Все ответы
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Основной контроллер домена:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : PROPLUS
Основной DNS-суффикс . . . . . . : emerson.sgpz
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : emerson.sgpz
Ethernet adapter DV_P:
DNS- суффикс подключения . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Маска подсети . . . . . . . . . . : 255.254.0.0
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter DV_s:
DNS- суффикс подключения . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Маска подсети . . . . . . . . . . : 255.254.0.0
NetBios через TCP/IP. . . . . . . . : Включен
Предполагаемый резерный контроллер домена:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : DC-2
Основной DNS-суффикс . . . . . . : emerson.sgpz
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : emerson.sgpz
Ethernet adapter Local Area Connection 2:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Broadcom NetXtreme 57xx Gigabit Controller
Физический адрес. . . . . . . . . : 00-26-B9-77-AE-9B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::1549:fd02:bf46:96b4%12(Основной)
Маска подсети . . . . . . . . . . : 255.254.0.0
IAID DHCPv6 . . . . . . . . . . . : 268445369
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-4B-96-2D-00-07-E9-0A-75-3B
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Local Area Connection:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Физический адрес. . . . . . . . . : 00-07-E9-0A-75-3B
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::11b1:68ff:3e7d:29d%10(Основной)
Маска подсети . . . . . . . . . . : 255.254.0.0
IAID DHCPv6 . . . . . . . . . . . : 234883049
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-4B-96-2D-00-07-E9-0A-75-3B
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер Local Area Connection* 8:
Состояние носителя. . . . . . . . : Носитель отключен
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Local Area Connection* 9:
Состояние носителя. . . . . . . . : Носитель отключен
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Можно впорос для чего вам 2 сети?
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
К сожалению прихоть не моя.
Это так сказать резервная сеть, таков проект.
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
К сожалению не нашел ничего что касалось бы моей темы :(
Что самое интересное ранее домен был под управлением Windows 2003 и все отлично развернулось.
На резервном интерфейсе уберите галку с регистрировать в DNS и попробуйте
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Попробовал - не помогло .
Убрал галку на резервном КД. На основном надо ?
На основном КД кстати не выполнял ADPREP, может быть из-за этого ?
Наверно меня не так поняли на обоих КД убрать галку с резервной сетевухи
Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.
Убрал - результат нулевой, точнее все по старому, доступ запрещен :(
Мож где-то в групповых политиках есть какой-нить пункт .
скоро начнется истерика . %)
Вот здесь есть пара мыслей на эту тему. Попробуйте.
Если не поможет, логи DCPROMO.LOG and DCPROMOUI.LOG в студию.
Попробывал - результата нет :(
DCPROMO.LOG
06/13/2013 15:36:43 [INFO] Promotion request for replica domain controller
06/13/2013 15:36:43 [INFO] DnsDomainName emerson.sgpz
06/13/2013 15:36:43 [INFO] ReplicaPartner PROPLUS.emerson.sgpz
06/13/2013 15:36:43 [INFO] SiteName Default-First-Site-Name
06/13/2013 15:36:43 [INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
06/13/2013 15:36:43 [INFO] SystemVolumeRootPath C:\Windows\SYSVOL
06/13/2013 15:36:43 [INFO] Account emerson.sgpz\Administrator
06/13/2013 15:36:43 [INFO] Options 1179840
06/13/2013 15:36:43 [INFO] Validate supplied paths
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\NTDS.
06/13/2013 15:36:43 [INFO] Path is a directory
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\NTDS.
06/13/2013 15:36:43 [INFO] Path is a directory
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Validating path C:\Windows\SYSVOL.
06/13/2013 15:36:43 [INFO] Path is on a fixed disk drive.
06/13/2013 15:36:43 [INFO] Path is on an NTFS volume
06/13/2013 15:36:43 [INFO] Start the worker task
06/13/2013 15:36:43 [INFO] Request for promotion returning 0
06/13/2013 15:36:44 [INFO] Forcing time sync
06/13/2013 15:36:44 [INFO] Принудительная синхронизация времени с PROPLUS.emerson.sgpz
06/13/2013 15:36:44 [INFO] Поиск контроллера для домена emerson.sgpz, который содержит учетную запись DC$
06/13/2013 15:36:45 [INFO] Найден контроллер PROPLUS.emerson.sgpz для домена emerson.sgpz
06/13/2013 15:36:45 [INFO] Directing kerberos authentication to PROPLUS.emerson.sgpz returns 0
06/13/2013 15:36:45 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the Kerberos ticket cache
06/13/2013 15:36:45 [INFO] Используется сайт Default-First-Site-Name для сервера PROPLUS.emerson.sgpz
06/13/2013 15:36:45 [INFO] Остановка службы NETLOGON
06/13/2013 15:36:45 [INFO] Остановка службы NETLOGON
06/13/2013 15:36:46 [INFO] Configuring service NETLOGON to 1 returned 0
06/13/2013 15:36:46 [INFO] Stopped NETLOGON
06/13/2013 15:36:46 [INFO] Deleting current sysvol path C:\Windows\SYSVOL
06/13/2013 15:36:46 [INFO] Created system volume path
06/13/2013 15:36:46 [INFO] Копирование файла исходной базы данных службы каталогов C:\Windows\system32\ntds.dit на C:\Windows\NTDS\ntds.dit
06/13/2013 15:36:46 [INFO] Установка службы каталогов
06/13/2013 15:36:46 [INFO] Calling NtdsInstall for emerson.sgpz
06/13/2013 15:36:46 [INFO] Запуск установки доменных служб Active Directory
06/13/2013 15:36:46 [INFO] Проверка предоставленных пользователем параметров
06/13/2013 15:36:46 [INFO] Определение сайта для установки
06/13/2013 15:36:46 [INFO] Обследование текущего леса.
06/13/2013 15:36:46 [INFO] Настройка локального компьютера, на котором будут установлены доменные службы Active Directory
06/13/2013 15:36:55 [INFO] EVENTLOG (Warning): NTDS General / Internal Configuration : 1463
Active Directory Domain Services has detected and deleted some possibly corrupted indices as part of initialization.
These deleted indices will be rebuilt.
06/13/2013 15:36:55 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.
06/13/2013 15:36:56 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014
Active Directory Domain Services successfully completed rebuilding the following number of indices.
06/13/2013 15:36:57 [INFO] Создание параметров объекта NTDSA для данного контроллера домена Active Directory на удаленном контроллере домена Active Directory PROPLUS.emerson.sgpz.
06/13/2013 15:36:57 [INFO] Репликация схемы разделов
06/13/2013 15:36:58 [INFO] Репликация CN=Schema,CN=Configuration,DC=emerson,DC=sgpz: получено 1000 из приблизительно 1266 объектов.
06/13/2013 15:36:59 [INFO] Репликация CN=Schema,CN=Configuration,DC=emerson,DC=sgpz: получено 1518 из приблизительно 1518 объектов.
06/13/2013 15:36:59 [INFO] Реплицирован контейнер схемы.
06/13/2013 15:36:59 [INFO] Кэш схемы обновлен доменными службами Active Directory.
06/13/2013 15:36:59 [INFO] Репликация конфигурации схемы разделов
06/13/2013 15:37:02 [INFO] Репликация CN=Configuration,DC=emerson,DC=sgpz: получено 999 из приблизительно 4885 объектов.
06/13/2013 15:37:02 [INFO] EVENTLOG (Informational): NTDS General / Replication : 1695
This directory service now supports linked-valued replication. Each value of a multivalued attribute now replicates individually to reduce network bandwidth and to provide a finer degree of conflict resolution.
06/13/2013 15:37:04 [INFO] Репликация данных CN=Configuration,DC=emerson,DC=sgpz: получено 1756 из приблизительно 4885 объектов и 20 из приблизительно 20 значений различающихся имен (DN).
06/13/2013 15:37:04 [INFO] Реплицирован контейнер конфигурации.
06/13/2013 15:37:04 [INFO] Error - Мастеру установки доменных служб Active Directory не удается преобразовать учетную запись компьютера DC$ в учетную запись контроллера домена. (5)
06/13/2013 15:37:04 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168
Internal error: An Active Directory Domain Services error has occurred.
Error value (decimal):
-1073741823
Error value (hex):
c0000001
Internal ID:
30014c7
06/13/2013 15:37:06 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1004
Active Directory Domain Services was shut down successfully.
06/13/2013 15:37:07 [INFO] NtdsInstall for emerson.sgpz returned 5
06/13/2013 15:37:07 [INFO] DsRolepInstallDs returned 5
06/13/2013 15:37:07 [ERROR] Failed to install to Directory Service (5)
06/13/2013 15:37:07 [ERROR] DsRolepFinishSysVolPropagation (Abort Promote) failed with 8001
06/13/2013 15:37:07 [WARNING] Failed to abort system volume installation (8001)
06/13/2013 15:37:07 [INFO] Запуск службы NETLOGON
06/13/2013 15:37:07 [INFO] Configuring service NETLOGON to 2 returned 0
06/13/2013 15:37:07 [INFO] Предпринятая контроллером домена операция завершена
06/13/2013 15:37:07 [INFO] DsRolepSetOperationDone returned 0
В этой статье предоставляется решение об отказе в доступе к ошибке, которая возникает с DCPROMO (промоутер контроллера домена).
Применяется к: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Исходный номер КБ: 2002413
Решение
Убедитесь, что политика контроллеров домена по умолчанию существует в Active Directory.
Если политики контроллера домена не существует, оцените, обусловлено ли это условие простой задержкой репликации, сбоем репликации Active Directory или удалением политики из Active Directory. Если политика удалена, обратитесь в службу поддержки Майкрософт, чтобы воссоздать недостающую политику с GUID политики по умолчанию (Globally Unique Identifier). Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.
Если политика контроллеров домена по умолчанию существует в Active Directory для некоторых контроллеров домена, но не для других, оцените, вызвана ли эта непоследовательность простой задержкой репликации или сбоем репликации. Разрешить по мере необходимости.
Убедитесь, что учетная запись сервера не защищена от случайного удаления.
Для этого перейдите в Центр администрирования Active Directory, найдите сервер в списке компьютеров в домене, откройте свойства. В первом разделе, прямо под данными операционной системы, убедитесь, что почтовый ящик Protect from accidental deletion не проверяется.
В процессе перенаверки в контроллер домена учетная запись компьютера для сервера удаляется и добавляется в качестве контроллера домена. Если этот почтовый ящик щелкнуть, это не может произойти.
Убедитесь, что учетной записи пользователя операции DCPROMO была предоставлена "Включить компьютер и учетные записи пользователей, чтобы доверять делегирования" пользователь прямо в политике контроллеров домена по умолчанию.
Запустите whoami /all , чтобы убедиться, что в маркере безопасности пользователей существует право пользователя "Включить учетные записи компьютеров и пользователей для делегирования".
По умолчанию это право предоставляется членам группы безопасности администраторов в целевом домене. Встроенная учетная запись администратора является членом этой группы безопасности, но может быть удалена.
- Если пользователь, помимо встроенной группы администраторов, занимается промоакциями DCPROMO, добавьте эту учетную запись пользователя в группу безопасности Администраторы или добавьте учетную запись пользователя "Включить учетные записи компьютера и пользователя для делегирования" прямо в политике контроллеров домена по умолчанию.
- "Включить учетные записи компьютеров и пользователей для делегирования" недавно было изменено, или политика предоставления учетной записи пользователя DCPROMO существует на некоторых контроллерах домена в домене, но не другие, проверьте для простой задержки репликации или сбоя репликации в Active Directory и репликации файловой системы (FSR) / Распределенная репликация файловой системы (DFSR).
- Если политика была недавно изменена, запишите учетную запись пользователя DCPROMO и вопишите ее.
Убедитесь, что политика контроллеров домена по умолчанию связана с OU контроллеров домена и что все учетные записи компьютера DC остаются в этом OU.
Если учетные записи компьютера DC остаются в альтернативном контейнере OU, переместите все учетные записи компьютера DC в OU контроллеров домена или привяжете политику контроллеров домена по умолчанию к альтернативному контейнеру OU.
Убедитесь, что часть файловой системы политики контроллеров домена по умолчанию существует в доле SYSVOL dc, используемой для применения политики на продвигаемом или пониженном компьютере.
Если нет, это может быть по одной или нескольким из следующих причин:
- Задержка репликации в FRS / DFSR
- Сбой репликации в FRS / DFSR
- Политика удалена из SYSVOL. Если политика удалена, обратитесь в Службу поддержки Майкрософт, чтобы воссоздать недостающую политику с GUID политики по умолчанию. Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.
Чтобы проверить наследование политики, Windows управления инструментами (WMI) фильтрации или проблемы дескриптора безопасности, которые могут препятствовать политике применять, запустите следующую команду:
Читайте также: