Поделиться через

Сбой понижения DCPROMO, если не удается связаться с главной службой инфраструктуры DNS

  • Статья

В этой статье рассматривается проблема, из-за которой сбой понижения компьютера Windows Server, на котором размещается роль сервера домен Active Directory Служб (AD DS) или роли сервера контроллера домена.

Исходный номер базы знаний: 2694933

Симптомы

Сбой корректного понижения компьютера Windows Server с ролью сервера AD DS или контроллера домена. Вы увидите следующую ошибку на экране:

Текст строки заголовка: мастер установки служб домен Active Directory
Текст сообщения:
Операция завершилась ошибкой, так как:
домен Active Directory Службы не смогли передать оставшиеся данные в разделе каталога
DC=DomainDNSZones,DC=<DNS domjain name> to домен Active Directory Controller
\\<DNS-имя вспомогательного контроллера домена, используемого для понижения службы>
"Служба каталогов отсутствует обязательные сведения о конфигурации и не может определить владение ролями с плавающей одно главной операцией".

Соответствующая часть DCPROMO. LOG-файл содержит следующий текст:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Проверка объекта инфраструктуры и атрибутов для раздела приложения DNS, на который ссылается ошибка DCPROMO на экране и DCPROMO. ЖУРНАЛ:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

Где различающиеся элементы в выходных данных LDAP, взятых из примера домена CONTOSO.COM , включают:

  1. Атрибут fSMORoleOwner содержит строку 0ADEL, указывающую, что объект параметров NTDS контроллера домена, принадлежащий роли, удален.

  2. Атрибут fSMORoleOwner содержит 32-символьный альфа-числовый GUID объекта параметров NTDS в формате xxxx-xxxxx-xxxx.

  3. Имя секции приложения DNS по умолчанию, для которой fSMORoleOwner атрибут назначается контроллеру домена с удаленным объектом параметров NTDS. В этом случае ошибка ссылается на DomainDNSZones. Эта же ошибка также может возникать для раздела приложения ForestDNSZones.

Причина

Ошибка возникает, когда контроллер домена, который понижен, не может исходящие реплицировать изменения в контроллере домена, который владеет инфраструктурой FSMO или операционной ролью для секции, на которую ссылается ошибка DCPROMO [log].

В частности, попытка понижения прерывается для защиты от потери данных. В случае секций приложений DNS понижение блокируется, чтобы убедиться, что следующие данные реплицируются:

  • динамические и удаленные записи DNS
  • ACLS записей DNS
  • метаданные, такие как даты регистрации и удаления

Пути DN для секций, в которых может возникнуть ошибка в разделе "Симптомы" :

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

Решение

Примечание.

Если главной инфраструктуре назначен удаленный NTDSA в разделе приложения DNS, например DomainDNSZones, он также может быть пропущен для секции ForestDNSZones или наоборот. Рекомендуется убедиться, что для секций DomainDNSZones и ForestDNSZones, назначенных динамическим контроллерам домена Windows Server 2003 или более поздних версий, где размещается роль DNS-сервера и секции в вопросе.

Чтобы решить эту проблему, используйте один из указанных ниже способов.

  1. Используйте ADSIEDIT.MSC для назначения пути DN для fsMORoleOwner атрибута динамическому контроллеру домена, который был прямым партнером репликации исходного владельца роли FSMO. Затем подождите, пока это изменение реплицируется входящего трафика в контроллер домена, который будет понижен.

  2. Запустите скрипт в разделе "Разрешение" KB949257 для секции.

  3. Если контроллер домена, который понижен, не может входящий реплицировать изменения для секции каталога, который находится под вопросом, выполните DCPROMO /FORCEREMOVAL команду, чтобы принудительно понизить контроллер домена.

Дополнительная информация

DCPromo пытается выполнить исходящую репликацию изменений на каждом локально удерживаемом NC, чтобы уникальные изменения не были потеряны. Если данные хранятся в зонах DNS, DCPROMO пытается выполнить исходящую репликацию содержимого зон DNS в главную инфраструктуру для секции DNS, о чем идет речь.

Связанная проблема:

KB949257 описывает проблемуADPREP /RODCPREP, из-за которой команда завершается сбоем, если мастер инфраструктуры для одной или нескольких секций приложений DNS назначается удаленной NTDSA.