Compartilhar via

O rebaixamento do DCPROMO falhará se não for possível entrar em contato com o mestre da infraestrutura DNS

  • Artigo

Este artigo resolve um problema em que o rebaixamento de um computador Windows Server que hospeda os Serviços de Domínio Active Directory (AD DS) ou a função de servidor do controlador de domínio falha.

Número original da base de conhecimento: 2694933

Sintomas

O rebaixamento normal de um computador Windows Server que hospeda a função de servidor AD DS ou controlador de domínio falha. Você vê o seguinte erro na tela:

Texto da barra de título: Assistente de Instalação dos Serviços de Domínio Active Directory
Texto da mensagem:
A operação falhou porque:
Os Serviços de Domínio Active Directory não puderam transferir os dados restantes na partição de diretório
DC=DomainDNSZones,DC=<DNS nome do domínio> para o controlador de domínio do Active Directory
\\<Nome DNS do DC auxiliar usado para rebaixamento de serviço>
"O serviço de diretório não tem informações de configuração obrigatórias e não consegue determinar a propriedade das funções de operação flutuantes de mestre único."

A parte relevante do DCPROMO. LOG contém o seguinte texto:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Uma revisão do objeto de infraestrutura e dos atributos da partição de aplicativo DNS referenciada no erro DCPROMO na tela e DCPROMO. TORA:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

Onde os elementos distintivos na saída LDAP retirados do domínio CONTOSO.COM de amostra incluem:

  1. O fSMORoleOwner atributo contém a cadeia de caracteres 0ADEL indicando que a função que possui o objeto NTDS Settings do DC foi excluída.

  2. O fSMORoleOwner atributo contém um GUID alfanumérico de 32 caracteres do objeto Configurações NTDS dos DCs proprietários no formato xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

  3. O nome da partição de aplicativo DNS padrão para a qual o fSMORoleOwner atributo é atribuído a um controlador de domínio com um objeto NTDS Settings excluído. Nesse caso, o erro fazia referência aos DomainDNSZones. Esse mesmo erro também pode ocorrer para a partição do aplicativo ForestDNSZones.

Motivo

O erro ocorre quando o controlador de domínio que está sendo rebaixado não pode replicar alterações de saída para o controlador de domínio que possui o FSMO de infraestrutura ou a função operacional para a partição referenciada no erro DCPROMO [log].

Especificamente, a tentativa de rebaixamento é anulada para proteger contra perda de dados. No caso de partições de aplicativo DNS, o rebaixamento é bloqueado para garantir que os seguintes dados sejam replicados:

  • registros DNS ativos e excluídos
  • ACLS dos registros DNS
  • metadados, como datas de registro e exclusão

Os caminhos DN para partições em que o erro na seção Sintomas pode ocorrer incluem:

  • CN=Infraestruturas,DC=DomainDNSZones....
  • CN=Infraestruturas,DC=ForestDNSZones....

Resolução

Observação

Quando o mestre de infraestrutura é atribuído a um NTDSA excluído em uma partição de aplicativo DNS, como DomainDNSZones, ele também pode estar ausente para a partição ForestDNSZones ou vice-versa. Recomendamos que você verifique se as partições DomainDNSZones e ForestDNSZones atribuídas a controladores de domínio ativos do Windows Server 2003 ou posterior que hospedam a função de servidor DNS e a partição em questão.

Para resolver esse problema, use um dos seguintes métodos:

  1. Use ADSIEDIT.MSC para atribuir o caminho DN do fsMORoleOwner atributo a um controlador de domínio ativo que era um parceiro de replicação direta do proprietário da função FSMO original. Em seguida, aguarde até que essa alteração seja replicada de entrada para o DC que está sendo rebaixado.

  2. Execute o script na seção Resolução do KB949257 para a partição em questão.

  3. Se o controlador de domínio que está sendo rebaixado não puder replicar alterações de entrada para a partição de diretório em questão, execute o DCPROMO /FORCEREMOVAL comando para rebaixar o controlador de domínio à força.

Mais informações

O DCPromo tenta replicar as alterações de saída em cada NC mantido localmente para que as alterações exclusivas não sejam perdidas. Se os dados forem armazenados em zonas DNS, o DCPROMO tentará replicar o conteúdo das zonas DNS para o mestre de infraestrutura da partição DNS em questão.

Problema relacionado:

KB949257 descreve um problema em que o comando falha quando o ADPREP /RODCPREP mestre de infraestrutura para uma ou mais partições de aplicativo DNS é atribuído a um NTDSA excluído.