Udostępnij za pośrednictwem

Degradacja DCPROMO kończy się niepowodzeniem, jeśli nie może skontaktować się z wzorcem infrastruktury DNS

W tym artykule rozwiązano problem polegający na tym, że obniżenie poziomu komputera z systemem Windows Server hostujące usługi domena usługi Active Directory Services (AD DS) lub roli serwera kontrolera domeny kończy się niepowodzeniem.

Oryginalny numer KB: 2694933

Symptomy

Nie można bezpiecznie obniżać poziomu komputera z systemem Windows Server hostowanego przez usługę AD DS lub rolę serwera kontrolera domeny. Zostanie wyświetlony następujący błąd na ekranie:

Tekst paska tytułu: Kreator instalacji usług domena usługi Active Directory
Tekst wiadomości:
Operacja nie powiodła się, ponieważ:
domena usługi Active Directory Services nie można przenieść pozostałych danych w partycji katalogu
DC=DomainDNSZones,DC=<DNS domjain name> to domena usługi Active Directory Controller
\\<DNS nazwy kontrolera domeny pomocniczej używanej do obniżania poziomu usługi>
"W usłudze katalogowej brakuje obowiązkowych informacji o konfiguracji i nie można określić własności przestawnych ról operacji pojedynczego wzorca".

Odpowiednia część DCPROMO. Plik DZIENNIKA zawiera następujący tekst:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Przegląd obiektu i atrybutów infrastruktury dla partycji aplikacji DNS, do których odwołuje się błąd DCPROMO na ekranie i DCPROMO. DZIENNIK:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

Gdzie rozróżnianie elementów w danych wyjściowych LDAP pobranych z przykładowej domeny CONTOSO.COM to:

  1. Atrybut fSMORoleOwner zawiera ciąg 0ADEL wskazujący, że obiekt ustawień NTDS kontrolera domeny będącego właścicielem roli został usunięty.

  2. Atrybut fSMORoleOwner zawiera 32-znakowy identyfikator GUID alfanumeryczny obiektu ustawień NTDS kontrolerów domeny, w formacie xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

  3. Nazwa domyślnej partycji aplikacji DNS, dla której fSMORoleOwner atrybut jest przypisany do kontrolera domeny z usuniętym obiektem ustawień NTDS. W tym przypadku błąd odwołuje się do domenyDNSZones. Ten sam błąd może również wystąpić w przypadku partycji aplikacji ForestDNSZones.

Przyczyna

Błąd występuje, gdy kontroler domeny, który jest zdegradowany, nie może replikować zmian ruchu wychodzącego do kontrolera domeny, który jest właścicielem infrastruktury FSMO lub roli operacyjnej partycji, do których odwołuje się błąd DCPROMO [log].

W szczególności próba degradacji jest przerywana w celu ochrony przed utratą danych. W przypadku partycji aplikacji DNS degradacja jest blokowana, aby upewnić się, że następujące dane są replikowane:

  • aktywne i usunięte rekordy DNS
  • Listy ACLS rekordów DNS
  • metadanych, takich jak daty rejestracji i usunięcia

Ścieżki DN dla partycji, w których może wystąpić błąd w sekcji Objawy :

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

Rozwiązanie

Uwaga 16.

Gdy wzorzec infrastruktury jest przypisany do usuniętego NTDSA w partycji aplikacji DNS, takiej jak DomainDNSZones, może również brakować partycji ForestDNSZones lub odwrotnie. Zalecamy sprawdzenie, czy dla partycji DomainDNSZones i ForestDNSZones przypisanych do na żywo kontrolerów domeny systemu Windows Server 2003 lub nowszych hostujących rolę i partycję serwera DNS.

Aby rozwiązać ten problem, skorzystaj z jednej z poniższych metod:

  1. Użyj ADSIEDIT.MSC polecenia , aby przypisać ścieżkę DN atrybutu fsMORoleOwner do dynamicznego kontrolera domeny, który był partnerem replikacji bezpośredniej oryginalnego właściciela roli FSMO. Następnie poczekaj na zmianę na replikację przychodzącą do kontrolera domeny, który jest obniżany.

  2. Uruchom skrypt w sekcji Rozwiązanie KB949257 dla danej partycji.

  3. Jeśli kontroler domeny, który jest zdegradowany, nie może replikować zmian przychodzących dla danej partycji katalogu, uruchom DCPROMO /FORCEREMOVAL polecenie, aby wymusić obniżenie poziomu kontrolera domeny.

Więcej informacji

DcPromo próbuje zreplikować zmiany ruchu wychodzącego dla każdego lokalnego kontrolera domeny, aby unikatowe zmiany nie zostały utracone. Jeśli dane są przechowywane w strefach DNS, DCPROMO próbuje przeprowadzić replikację wychodzącą zawartości stref DNS do wzorca infrastruktury dla danej partycji DNS.

Powiązany problem:

KB949257 opisano problem polegający na tym, że ADPREP /RODCPREP polecenie kończy się niepowodzeniem, gdy wzorzec infrastruktury dla co najmniej jednej partycji aplikacji DNS jest przypisywany do usuniętego NTDSA.