DC herunterstufen schlägt mit „Zugriff verweigert“ fehl
Beim Versuch, einen DC mittels DCPromo oder über den Server Manager herunterzustufen, erhalten Sie die Fehlermeldung :
Der Vorgang konnte nicht durchgeführt werden. Fehler:
Das Computerkonto “SERVERNAME$“ konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten (“Dcpromo.exe“) nicht auf dem Active Directory-Remotedomänencontroller “AndererDC.domain.de“ konfiguriert werden.
bzw. auf Englisch:
The operation failed because:
Active Directory Domain Services could not configure the computer account <hostname>$ to the remote Active Directory Domain Controller account <fully qualified name of helper DC>.
"Access is denied"
Die Ursache des Problems liegt häufig an der Default Domain Controller Policy, bzw. der zugehörigen OU.
Überprüfen Sie folgendes und nehmen ggf. Änderungen vor:
Öffnen Sie den Group Policy Manager
Navigieren Sie in die Gruppe „Domain Controllers“
Verifizieren Sie, dass die Default Domain Controller Policy vorhanden und aktiviert ist.
Sollte diese nicht vorhanden sein, überprüfen Sie, ob die GPO im Bereich Group Policy Objects (siehe Abbildung1) vorhanden ist und verlinken Sie diese wieder zur OU Domain Controllers.
Mit dem Tool dcgpofix können Sie die Default Domain Controller Policy wiederherstellen. Alle getätigten Einstellungen werden hierfür gelöscht.
Der Befehl lautet dann wie folgt:
dcgpofix /target:DC
Beachten Sie, dass Sie nicht ausversehen die Default Domain Policy, sondern die Default Domain Controller Policy erneuern. Die Syntax können Sie hier nachlesen.
Abbildung 1: GPO
Verifizieren Sie die GPO „Enable computer and user accounts to be trusted for delegation“
Die betroffene GPO befindet sich in der Default Domain Controller Policy unter folgendem Pfad:
Computer Configuration/Policies/Windows Settings/SecuritySettings/Local Policies/User Rights Assignment
Standardmäßig ist hier die Gruppe BUILTIN\Administrators eingetragen.Fügen Sie den Administrator, welcher den dcpromo-Befehl ausführt, der Richtlinie hinzu.
Führen Sie anschließend ein gpupdate /force auf jedem Domain Controller aus, damit die Einstellungen angewendet werden
Überprüfen Sie die Domain Controller OU
Öffnen Sie Active Directory Users and Computers
Navigieren Sie in die OU Domain Controllers
Verifizieren Sie, ob die in der Fehlermeldung genannten Domain Controller in der OU vorhanden sind.
Machen Sie einen Rechtsklick auf die OU und wählen Properties aus.
Im Reiter Object wird die OU voraussichtlich vor einer unbeabsichtigten Löschung gesichert werden. Nehmen Sie diesen Haken Protect object from accidental deletion heraus.
Sollten Sie die Einstellung nicht sehen oder ändern können, müssen Sie zunächst in der Verwaltung von Active Directory Users and Computers unter dem Reiter View die Einstellung Advanced Features auswählen.
Weitere Möglichkeit den DC herunterzustufen
Eine Alternative den DC herunterzustufen besteht darin das Herunterstufen zu forcieren.
Dies können Sie über den Demoting-Vorgang über die GUI durchführen
Abbildung 2: force removal
MEHR BLOG-KATEGORIEN
- ASP.NET
- Active Directory
- Administration Tools
- Allgemein
- Backup
- ChatBots
- Configuration Manager
- DNS
- Data Protection Manager
- Deployment
- Endpoint Protection
- Exchange Server
- Gruppenrichtlinien
- Hyper-V
- Intune
- Konferenz
- Künstliche Intelligenz
- Linux
- Microsoft Office
- Microsoft Teams
- Office 365
- Office Web App Server
- Powershell
- Remote Desktop Server
- Remote Server
- SQL Server
- Sharepoint Server
- Sicherheit
- System Center
- Training
- Verschlüsselung
- Virtual Machine Manager
- Visual Studio
- WSUS
- Windows 10
- Windows 8
- Windows Azure
- Windows Client
- Windows Server
- Windows Server 2012
- Windows Server 2012R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Zertifikate