DC herunterstufen schlägt mit „Zugriff verweigert“ fehl

Beim Versuch, einen DC mittels DCPromo oder über den Server Manager herunterzustufen, erhalten Sie die Fehlermeldung :

Der Vorgang konnte nicht durchgeführt werden. Fehler:
Das Computerkonto “SERVERNAME$“ konnte vom Assistenten zum Installieren von Active Directory-Domänendiensten (“Dcpromo.exe“) nicht auf dem Active Directory-Remotedomänencontroller “AndererDC.domain.de“ konfiguriert werden.

bzw. auf Englisch:

The operation failed because:
Active Directory Domain Services could not configure the computer account <hostname>$ to the remote Active Directory Domain Controller account <fully qualified name of helper DC>.
"Access is denied"

Die Ursache des Problems liegt häufig an der Default Domain Controller Policy, bzw. der zugehörigen OU.

Überprüfen Sie folgendes und nehmen ggf. Änderungen vor:

  • Öffnen Sie den Group Policy Manager

  • Navigieren Sie in die Gruppe „Domain Controllers

  • Verifizieren Sie, dass die Default Domain Controller Policy vorhanden und aktiviert ist.
    Sollte diese nicht vorhanden sein, überprüfen Sie, ob die GPO im Bereich Group Policy Objects (siehe Abbildung1) vorhanden ist und verlinken Sie diese wieder zur OU Domain Controllers.
    Mit dem Tool dcgpofix können Sie die Default Domain Controller Policy wiederherstellen. Alle getätigten Einstellungen werden hierfür gelöscht.
    Der Befehl lautet dann wie folgt:
    dcgpofix /target:DC
    Beachten Sie, dass Sie nicht ausversehen die Default Domain Policy, sondern die Default Domain Controller Policy erneuern. Die Syntax können Sie hier nachlesen.

Abbildung 1: GPO

Abbildung 1: GPO

Verifizieren Sie die GPO „Enable computer and user accounts to be trusted for delegation“

  • Die betroffene GPO befindet sich in der Default Domain Controller Policy unter folgendem Pfad:
    Computer Configuration/Policies/Windows Settings/SecuritySettings/Local Policies/User Rights Assignment
    Standardmäßig ist hier die Gruppe BUILTIN\Administrators eingetragen.

  • Fügen Sie den Administrator, welcher den dcpromo-Befehl ausführt, der Richtlinie hinzu.

  • Führen Sie anschließend ein gpupdate /force auf jedem Domain Controller aus, damit die Einstellungen angewendet werden

Überprüfen Sie die Domain Controller OU

  • Öffnen Sie Active Directory Users and Computers

  • Navigieren Sie in die OU Domain Controllers

  • Verifizieren Sie, ob die in der Fehlermeldung genannten Domain Controller in der OU vorhanden sind.

  • Machen Sie einen Rechtsklick auf die OU und wählen Properties aus.

  • Im Reiter Object wird die OU voraussichtlich vor einer unbeabsichtigten Löschung gesichert werden. Nehmen Sie diesen Haken Protect object from accidental deletion heraus.
    Sollten Sie die Einstellung nicht sehen oder ändern können, müssen Sie zunächst in der Verwaltung von Active Directory Users and Computers unter dem Reiter View die Einstellung Advanced Features auswählen.

Weitere Möglichkeit den DC herunterzustufen

Eine Alternative den DC herunterzustufen besteht darin das Herunterstufen zu forcieren.

Dies können Sie über den Demoting-Vorgang über die GUI durchführen

Abbildung 2: force removal

Abbildung 2: force removal

oder mit dem Befehl

dcpromo /forceremoval

Die Syntax von dcpromo finden Sie hier.

Anschließend müssen Sie ein metadatacleanup durchführen, um Reste des Domain Controllers aus dem Active Directory zu entfernen. Eine Anleitung hierzu finden Sie hier.

Iris Gerlach