Die DCPROMO-Herabstufung schlägt fehl, wenn keine Verbindung mit der DNS-Infrastruktur master

In diesem Artikel wird ein Problem behoben, bei dem die Herabstufung eines Windows Server-Computers, der die serverrolle Active Directory Domain Services (AD DS) oder Domänencontroller hostet, fehlschlägt.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2694933

Symptome

Die ordnungsgemäße Herabstufung eines Windows Server-Computers, auf dem die AD DS- oder Domänencontroller-Serverrolle gehostet wird, schlägt fehl. Der folgende Fehler wird auf dem Bildschirm angezeigt:

Titelleistentext: Active Directory Domain Services Installations-Assistent
Meldungstext:
Fehler beim Vorgang:
Active Directory Domain Services konnten die verbleibenden Daten in der Verzeichnispartition nicht übertragen.
DC=DomainDNSZones,DC=<DNS domjain name> to Active Directory-Domäne Controller
\\<DNS-Name des Hilfsdomänencontrollers, der für die Herabstufung des Diensts verwendet wird>
"Dem Verzeichnisdienst fehlen obligatorische Konfigurationsinformationen und kann den Besitz von unverankerten Single-master-Vorgangsrollen nicht ermitteln."

Der relevante Teil des DCPROMO. Die LOG-Datei enthält den folgenden Text:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Eine Überprüfung des Infrastrukturobjekts und der Attribute für die DNS-Anwendungspartition, auf die im DCPROMO-Fehler auf dem Bildschirm und DCPROMO verwiesen wird. PROTOKOLL:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;  

Zu den unterschiedenen Elementen in der LDAP-Ausgabe aus der Beispieldomäne CONTOSO.COM gehören:

1. Das fSMORoleOwner Attribut enthält die Zeichenfolge 0ADEL, die angibt, dass die Rolle, die das NTDS Settings-Objekt des Domänencontrollers besitzt, gelöscht wurde.

2. Das fSMORoleOwner Attribut enthält eine alphanumerische GUID mit 32 Zeichen des besitzenden DCs NTDS Settings-Objekts im Format xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

3. Der Name der DNS-Standardanwendungspartition, für die das fSMORoleOwner Attribut einem Domänencontroller mit einem gelöschten NTDS-Einstellungsobjekt zugewiesen ist. In diesem Fall verweist der Fehler auf domainDNSZones. Dieser Fehler kann auch für die Anwendungspartition ForestDNSZones auftreten.

Ursache

Der Fehler tritt auf, wenn der Domänencontroller, der herabgestuft wird, keine ausgehenden Änderungen an dem Domänencontroller replizieren kann, der das Infrastruktur-FSMO oder die operative Rolle für die Partition besitzt, auf die im DCPROMO -Fehler [log] verwiesen wird.

Insbesondere wird der Herabstufungsversuch abgebrochen, um sich vor Datenverlust zu schützen. Bei DNS-Anwendungspartitionen wird die Herabstufung blockiert, um sicherzustellen, dass die folgenden Daten repliziert werden:

• live und gelöschte DNS-Einträge
• ACLS der DNS-Einträge
• Metadaten, z. B. Registrierungs- und Löschdaten

DN-Pfade für Partitionen, bei denen der Fehler im Abschnitt Symptome auftreten kann, umfassen:

• CN=Infrastructures,DC=DomainDNSZones....
• CN=Infrastructures,DC=ForestDNSZones....

Lösung

Hinweis

Wenn die Infrastruktur master einer gelöschten NTDSA auf einer DNS-Anwendungspartition wie DomainDNSZones zugewiesen wird, fehlt sie möglicherweise auch für die ForestDNSZones-Partition oder umgekehrt. Es wird empfohlen, zu überprüfen, ob sowohl für die Partitionen DomainDNSZones als auch ForestDNSZones live Domänencontrollern unter Windows Server 2003 oder höher zugewiesen sind, die die betreffende DNS-Serverrolle und -Partition hosten.

Wenden Sie eine der folgenden Methoden an, um dieses Problem zu beheben:

1. Verwenden Sie ADSIEDIT.MSC , um den DN-Pfad für das fsMORoleOwner Attribut einem Live-Domänencontroller zuzuweisen, der ein direkter Replikationspartner des ursprünglichen FSMO-Rollenbesitzers war. Warten Sie dann, bis diese Änderung für die eingehende Replikation auf den dc-Replikationsvorgang erfolgt, der herabgestuft wird.

2. Führen Sie das Skript im Abschnitt Auflösung von KB949257 für die betreffende Partition aus.

3. Wenn der herabgestufte Domänencontroller änderungen für die betreffende Verzeichnispartition nicht eingehend replizieren kann, führen Sie den DCPROMO /FORCEREMOVAL Befehl aus, um den Domänencontroller erzwungen zu herabstufen.

Weitere Informationen

DCPromo versucht, Änderungen auf jedem lokal gehaltenen NC ausgehend zu replizieren, damit eindeutige Änderungen nicht verloren gehen. Wenn Daten in DNS-Zonen gespeichert werden, versucht DCPROMO, den Inhalt von DNS-Zonen in ausgehender Richtung in die Infrastruktur zu replizieren, master für die betreffende DNS-Partition.

Verwandtes Problem:

KB949257 beschreibt ein Problem, bei dem der ADPREP /RODCPREP Befehl fehlschlägt, wenn die Infrastruktur master für eine oder mehrere DNS-Anwendungspartitionen einem gelöschten NTDSA zugewiesen wird.