Я пытаюсь использовать dcpromo на сервере Windows 2008 R2. Команда выдает предупреждение и ошибку в журнале событий. Ниже приведены распечатки этих записей:
-Warning-
Право собственности на следующую роль FSMO устанавливается на сервер, который удален или не существует.
Операции, требующие обращения к мастеру операций FSMO, завершатся ошибкой, пока это условие не будет исправлено.
Роль FSMO: CN = Инфраструктура, DC = DomainDnsZones, DC = XXX, DC = XXXX DN сервера FSMO: CN = Настройки NTDS \ 0ADEL: xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, CN = XXX-PDC01 \ 0ADEL: xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, CN = Servers, CN = Default-First-Site-Name, CN = Sites, CN = Configuration, DC = XXX, DC = XXXX
Действия пользователя :
- Определите, какой сервер должен выполнять данную роль.
- Вид конфигурации может быть устаревшим. Если рассматриваемый сервер недавно был повышен, убедитесь, что раздел конфигурации был недавно реплицирован с нового сервера. Если рассматриваемый сервер был недавно понижен в должности и роль была передана, убедитесь, что этот сервер реплицировал раздел (содержащий последнее владение ролью) в последнее время.
- Определите, правильно ли установлена роль на сервере держателя роли FSMO. Если роль не установлена, используйте NTDSUTIL.EXE для передачи или захвата роли. Это можно сделать, выполнив действия, описанные в статьях базы знаний 255504 и 324801 на http://support.microsoft.com.
- Убедитесь, что репликация раздела FSMO между сервером-держателем роли FSMO и этим сервером выполняется успешно.
Могут быть затронуты следующие операции: Схема: вы больше не сможете изменять схему для этого леса. Именование доменов: вы больше не сможете добавлять или удалять домены из этого леса. PD C: вы больше не сможете выполнять операции основного контроллера домена, такие как обновление групповой политики и сброс пароля для учетных записей доменных служб, не относящихся к Active Directory. RID: вы не сможете назначать новые идентификаторы безопасности для новых учетных записей пользователей, учетных записей компьютеров или групп безопасности. Инфраструктура: ссылки на междоменные имена, такие как членство в универсальных группах, не будут обновляться должным образом, если их целевой объект будет перемещен или переименован.
-Error-
Роли хозяина операций, выполняемые этим серверу каталогов не удалось выполнить передачу на следующий удаленный сервер каталогов.
Удаленный сервер каталогов: \ XXX-AWSDC2.CSI.local
Это предотвращает удаление этого сервера каталогов.
Действия пользователя Выясните, почему удаленный сервер каталогов может не принять роли хозяина операций или вручную передать все роли, которые удерживаются этим сервером каталогов, на удаленный сервер каталогов. Затем попробуйте снова удалить этот сервер каталогов.
Дополнительные данные Значение ошибки: 5005 В службе каталогов отсутствует обязательная информация о конфигурации, и она не может определить владельца плавающих ролей с одним главным оператором. Расширенное значение ошибки: 0 Внутренний идентификатор: 52498782
Следующие роли были успешно переданы серверу XXX-awsdc2
Мастер схемы Мастер именования доменов Диспетчер пула RID PDC Мастер инфраструктуры
Как удалить объект CN = CSI-PDC01 с помощью ADSI? Похоже, что XXX-PDC01 в какой-то момент выполнял роль сервера FSMO, а затем был удален из домена без должного понижения. Мне не удалось найти никаких ссылок на сервер XXX-PDC01 в DNS, AD или ADSI.
Я также попытался удалить все метаданные AD. В крайнем случае, я всегда мог использовать команду dcpromo / forceremoval, но я бы предпочел проработать ошибку и понизить уровень этого контроллера домена с помощью команды dcpromo без флага forceremoval.
Спасибо!