Freigeben über

DCPROMO-Herabstufung schlägt fehl, wenn der DNS-Infrastrukturmaster nicht kontaktiert werden kann.

  • Artikel

In diesem Artikel wird ein Problem behoben, bei dem die Herabstufung eines Windows Server-Computers, auf dem die Serverrolle Active Directory-Domäne Dienste (AD DS) oder Domänencontroller gehostet wird, fehlschlägt.

Ursprüngliche KB-Nummer: 2694933

Symptome

Die ordnungsgemäße Herabstufung eines Windows Server-Computers, auf dem die AD DS- oder Domänencontrollerserverrolle gehostet wird, schlägt fehl. Der folgende On-Screen-Fehler wird angezeigt:

Titelleistentext: Active Directory-Domäne Dienstinstallations-Assistent
Nachrichtentext:
Fehler beim Vorgang, da:
Active Directory-Domäne Services konnten die verbleibenden Daten in der Verzeichnispartition nicht übertragen.
DC=DomainDNSZones,DC=<DNS domjain name> to Active Directory-Domäne Controller
\\<DNS-Name des Hilfs-DC, der für die Dienstdemotion verwendet wird>
"Der Verzeichnisdienst enthält keine obligatorischen Konfigurationsinformationen und kann den Besitz der unverankerten Einzelmastervorgangsrollen nicht ermitteln."

Der relevante Teil des DCPROMO. DIE LOG-Datei enthält den folgenden Text:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Eine Überprüfung des Infrastrukturobjekts und der Attribute für die DNS-Anwendungspartition, auf die im On-Screen DCPROMO-Fehler und DCPROMO verwiesen wird. LOG:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

Die Unterscheidung von Elementen in der LDAP-Ausgabe aus der Beispieldomäne CONTOSO.COM umfasst:

  1. Das fSMORoleOwner Attribut enthält die Zeichenfolge 0ADEL, die angibt, dass das NTDS Settings -Objekt des DC-Besitzers gelöscht wurde.

  2. Das fSMORoleOwner Attribut enthält eine 32-stellige alphanumerische GUID des eigenen DCs NTDS Settings-Objekts im Format xxxxxx-xxxx-xxxx-xxxx-xxxx-xx.

  3. Der Name der Standardmäßigen DNS-Anwendungspartition, für die das fSMORoleOwner Attribut einem DC mit einem gelöschten NTDS Settings-Objekt zugewiesen ist. In diesem Fall wurde auf den Fehler "DomainDNSZones" verwiesen. Dieser Fehler kann auch für die ForestDNSZones-Anwendungspartition auftreten.

Ursache

Der Fehler tritt auf, wenn der Domänencontroller, der herabgestuft wird, keine ausgehenden Replikationsänderungen an dem DC ausführen kann, die die Infrastruktur-FSMO oder die operative Rolle für die Partition besitzen, auf die im FEHLER DCPROMO [log] verwiesen wird.

Insbesondere wird der Herabstufungsversuch abgebrochen, um den Schutz vor Datenverlust zu gewährleisten. Bei DNS-Anwendungspartitionen wird die Herabstufung blockiert, um sicherzustellen, dass die folgenden Daten repliziert werden:

  • Live- und gelöschte DNS-Einträge
  • ACLS der DNS-Einträge
  • Metadaten, z. B. Registrierungs- und Löschdaten

DN-Pfade für Partitionen, bei denen der Fehler im Abschnitt "Symptome " auftreten kann, umfassen:

  • CN=Infrastrukturen,DC=DomainDNSZones....
  • CN=Infrastrukturen,DC=ForestDNSZones....

Lösung

Notiz

Wenn der Infrastrukturmaster einer gelöschten NTDSA auf einer DNS-Anwendungspartition wie DomainDNSZones zugewiesen ist, fehlt er möglicherweise auch für die ForestDNSZones-Partition oder umgekehrt. Es wird empfohlen, sicherzustellen, dass sowohl für die Partitionen "DomainDNSZones" als auch "ForestDNSZones", die Live-Windows Server 2003 oder höher zugewiesen sind, die dns-Serverrolle und -partition gehostet werden.

Sie können dieses Problem mit einer der folgenden Methoden beheben:

  1. Dient ADSIEDIT.MSC zum Zuweisen des DN-Pfads für das fsMORoleOwner Attribut zu einem Live-DC, das ein direkter Replikationspartner des ursprünglichen FSMO-Rollenbesitzers war. Warten Sie dann, bis diese Änderung in der eingehenden Replikation auf den DC erfolgt, der herabgestuft wird.

  2. Führen Sie das Skript im Abschnitt "Lösung " von KB949257 für die betreffende Partition aus.

  3. Wenn der herabgestufte DC änderungen für die betreffende Verzeichnispartition nicht eingehend replizieren kann, führen Sie den DCPROMO /FORCEREMOVAL Befehl aus, um den Domänencontroller zu erzwingen.

Weitere Informationen

DCPromo versucht, Änderungen an allen lokal gehaltenen NC-Dateien ausgehend zu replizieren, sodass eindeutige Änderungen nicht verloren gehen. Wenn Daten in DNS-Zonen gespeichert werden, versucht DCPROMO, den Inhalt von DNS-Zonen in den Infrastrukturmaster der betreffenden DNS-Partition zu replizieren.

Verwandtes Problem:

KB949257 beschreibt ein Problem, bei dem der Befehl fehlschlägt, wenn der ADPREP /RODCPREP Infrastrukturmaster für eine oder mehrere DNS-Anwendungspartitionen einem gelöschten NTDSA zugewiesen wird.