共用方式為

如果 DCPROMO 降級無法連絡 DNS 基礎結構主機,就會失敗

  • 發行項

本文解決了裝載 Active Directory 網域服務 或域控制器伺服器角色的 Windows Server 計算機降級的問題。

原始 KB 編號: 2694933

徵兆

裝載 AD DS 或域控制器伺服器角色的 Windows Server 電腦正常降級失敗。 您會看到下列螢幕上的錯誤:

標題欄文字:Active Directory 網域服務 安裝精靈
訊息正文:
工作失敗,因為:
Active Directory 網域服務 無法傳輸目錄分割區中的剩餘數據
DC=DomainDNSZones,DC=<DNS domjain name> to Active Directory 網域 Controller
用來服務降級之協助程式DC的 \\<DNS 名稱>
「目錄服務缺少強制組態資訊,且無法判斷浮動單一主機作業角色的擁有權。

DCPROMO 的相關部分。LOG 檔案包含下列文字:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

檢閱螢幕上 DCPROMO 錯誤和 DCPROMO 中所參考之 DNS 應用程式分割的基礎結構物件和屬性。記錄:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

從範例網域 CONTOSO.COM 擷取之 LDAP 輸出中的元素包括:

  1. 屬性 fSMORoleOwner 包含字串 0ADEL,指出已刪除擁有 DC NTDS Settings 物件的角色。

  2. 屬性 fSMORoleOwner 包含擁有 DC NTDS Settings 物件的 32 個字元英數位 GUID,格式為 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx。

  3. 屬性指派給具有已刪除 NTDS Settings 物件之 DC 的預設 DNS 應用程式分割 fSMORoleOwner 區名稱。 在此情況下,錯誤會參考 DomainDNSZones。 ForestDNSZones 應用程式分割區也可能發生這個相同的錯誤。

原因

當降級的域控制器無法將變更傳出複寫至擁有DC基礎結構 FSMO 或 DCPROMO [log] 錯誤中所參考之分割區的作業角色時,就會發生此錯誤。

具體來說,降級嘗試已中止,以防止數據遺失。 在 DNS 應用程式分割的情況下,降級會遭到封鎖,以確保會復寫下列數據:

  • 即時和已刪除的 DNS 記錄
  • DNS 記錄的 ACLS
  • 元數據,例如註冊和刪除日期

發生徵兆區段中錯誤之數據分割的 DN 路徑包括:

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

解決方案

注意

當基礎結構主機指派給 DNS 應用程式分割區上已刪除的 NTDSA,例如 DomainDNSZones 時,樹系DNSZones 磁碟分區也可能遺失,反之亦然。 我們建議您確認指派給即時 Windows Server 2003 或更新版本的域控制器的 DomainDNSZones 和 ForestDNSZones 分割區的 ,並裝載有問題的 DNS 伺服器角色和分割區。

若要解決這個問題,請使用下列其中一個方法:

  1. 使用 ADSIEDIT.MSC 將 屬性的 DN 路徑 fsMORoleOwner 指派給即時 DC,該 DC 是原始 FSMO 角色擁有者的直接復寫夥伴。 然後等待該變更以輸入複寫至正在降級的DC。

  2. 針對有問題的分割區,在 KB949257[解析] 區段中執行腳本。

  3. 如果降級的 DC 無法針對有問題的目錄分割區進行輸入複寫變更,請執行 DCPROMO /FORCEREMOVAL 命令以強制降級域控制器。

其他相關資訊

DCPromo 會嘗試在每個本機保留的 NC 上進行輸出復寫變更,以免遺失唯一的變更。 如果數據儲存在 DNS 區域中,DCPROMO 會嘗試輸出將 DNS 區域的內容復寫至有問題的 DNS 分割區基礎結構主機。

相關問題:

KB949257說明當一或多個 DNS 應用程式分割的基礎結構主機指派給已刪除的 NTDSA 時,命令失敗的問題ADPREP /RODCPREP