:strip_exif()/u/11183/keen2.gif?f=community)
Samenvatting: Ik probeer een nieuwe domain controller in Active Directory toe te voegen met Dcpromo, maar Dcpromo zegt: Failed to modify the necessary properties for the machine account <servername>. "Access is denied." Ik gebruik een domain-admin-account en "Enable computer and users accounts to be trusted for delegation" staat op Domain Admins en Administrators.
Oplossing gevonden! Hier staat de oplossing.
De situatie
Active Directory met vijf domain controllers verspreid over vijf vestigingen. Alle DC's doen Windows 2000 Server SP4. De vestigingen zijn onderling verbonden in een volledig transparant WAN. Er zijn geen andere problemen met Active Directory.
Wat er moet gebeuren
In de vestiging Nijmegen moet een server om hardware-redenen vervangen worden. De server werkt nog wel maar hij wordt vervangen omdat-ie afgeschreven is - er zijn GEEN software- of AD-problemen aan de orde.
Hoe ik het aangepakt heb
1. Ik heb er een nieuwe server naast gezet, er Windows 2000 Server SP4 op geïnstalleerd en 'm gejoined in het domain (gewoon als client, dus nog niet als DC).
2. De DNS op de nieuwe server (DCNM02) wijst naar het IP-adres van de oude server (DCNM01).
De domain admin-account kan zonder problemen inloggen op de nieuwe server in het domain. De NetBIOS-naam van de server verschijnt ook in Active Directory Users And Computer in de lijst met Computers. Het ziet er dus naar uit dat de nieuwe server succesvol in het domain is gejoined.
Wat er fout gaat
Als ik DCPROMO doe en mijn gegevens invul (waar de DB's moeten staan e.d.) en aangeef dat ik de domain admin wil gebruiken als account met voldoende rechten om de computer als nieuwe domain controller in het bestaande domain te zetten, dan krijg ik deze melding:
The operation failed because: Failed to modify the necessary properties for the machine account DCNM02$
"Access is denied."
In %SystemRoot%\Debug\Dcpromo.log wordt dit gelogd:
http://support.microsoft.com/kb/232070
When you run Dcpromo.exe to create a replica domain controller, you receive the "Failed to modify the necessary properties for the machine account. Access is denied." error message
Samenvatting: je gebruikt een account dat niet het recht "Delegation Privilege" heeft, of dit recht is nog niet gerepliceerd. Standaard hebben alleen gebruikers in de groep Domain Admins het recht "Delegation Privilege".
Ik gebruik een account dat lid is van de groep Domain Admins, dus dit artikel is verder niet op mij van toepassing.
http://support.microsoft.com/kb/250874
"Access Denied" Error Message During Active Directory Promotion of Replica Domain Controller
Samenvatting: de nieuwe DC moet de security policy gerepliceerd en toegepast hebben. Aan de hand hiervan heb ik e.e.a. aangepast in lokale policies (zie het artikel) en gewacht op replicatie. In de Application log van de bestaande DC's verschijnt Event ID 1704: Security policy in the Group policy objects are applied succesfully.
Alle bestaande DC's (behalve de eerste natuurlijk) heb ik destijds toegevoegd zonder dat dit nodig was, dus ik denk niet dat dit het probleem is. In Windows 2000 Servers staat deze setting standaard goed (aldus 250874), en ik heb de setting eerder nooit aangepast.
Er zijn twee artikelen op GoT die mijn probleem omschrijven maar die verwijzen naar bovenstaande twee artikelen en naar elkaar en sterven een stille dood.
http://www.jsifaq.com/subG/TIP3000/rh3034.htm
Hier wordt het promotieproces beschreven, en er komt een zinnetje in terug dat ik bij Microsoft ook al eens heb gezien. Erg merkwaardig:
Verder wijzen vrijwel alle resultaten die Google teruggeeft, naar bovengenoemde artikelen.
Ik hoop dat iemand me een zetje in de juiste richting kan geven. Ik denk zelf aan een DNS-probleem (alle vage problemen met AD zijn DNS-gerelateerd, lijkt het wel), maar veel meer dan een andere DNS invullen kan ik niet bedenken.
(Ik heb dit topic in Netwerken geplaatst omdat ik hier twee soortgelijke topics vond.)
Oplossing gevonden! Hier staat de oplossing.
De situatie
Active Directory met vijf domain controllers verspreid over vijf vestigingen. Alle DC's doen Windows 2000 Server SP4. De vestigingen zijn onderling verbonden in een volledig transparant WAN. Er zijn geen andere problemen met Active Directory.
Wat er moet gebeuren
In de vestiging Nijmegen moet een server om hardware-redenen vervangen worden. De server werkt nog wel maar hij wordt vervangen omdat-ie afgeschreven is - er zijn GEEN software- of AD-problemen aan de orde.
Hoe ik het aangepakt heb
1. Ik heb er een nieuwe server naast gezet, er Windows 2000 Server SP4 op geïnstalleerd en 'm gejoined in het domain (gewoon als client, dus nog niet als DC).
2. De DNS op de nieuwe server (DCNM02) wijst naar het IP-adres van de oude server (DCNM01).
De domain admin-account kan zonder problemen inloggen op de nieuwe server in het domain. De NetBIOS-naam van de server verschijnt ook in Active Directory Users And Computer in de lijst met Computers. Het ziet er dus naar uit dat de nieuwe server succesvol in het domain is gejoined.
Wat er fout gaat
Als ik DCPROMO doe en mijn gegevens invul (waar de DB's moeten staan e.d.) en aangeef dat ik de domain admin wil gebruiken als account met voldoende rechten om de computer als nieuwe domain controller in het bestaande domain te zetten, dan krijg ik deze melding:
The operation failed because: Failed to modify the necessary properties for the machine account DCNM02$
"Access is denied."
In %SystemRoot%\Debug\Dcpromo.log wordt dit gelogd:
Wat ik geprobeerd heb
- De username en het password van de account gecontroleerd en gedubbelchecked.
- De machine een weekendje laten weken zodat het zeker is dat er is gerepliceerd.
- De netlogon-service op DCNM01 (de oude server dus) tijdelijk gestopt zodat de nieuwe server zich via een andere server moest aanmelden.
- De DNS tijdelijk naar de DC met de FSMO-rol Domain Controller Emulator laten wijzen (je weet maar nooit).
http://support.microsoft.com/kb/232070
When you run Dcpromo.exe to create a replica domain controller, you receive the "Failed to modify the necessary properties for the machine account. Access is denied." error message
Samenvatting: je gebruikt een account dat niet het recht "Delegation Privilege" heeft, of dit recht is nog niet gerepliceerd. Standaard hebben alleen gebruikers in de groep Domain Admins het recht "Delegation Privilege".
Ik gebruik een account dat lid is van de groep Domain Admins, dus dit artikel is verder niet op mij van toepassing.
http://support.microsoft.com/kb/250874
"Access Denied" Error Message During Active Directory Promotion of Replica Domain Controller
Samenvatting: de nieuwe DC moet de security policy gerepliceerd en toegepast hebben. Aan de hand hiervan heb ik e.e.a. aangepast in lokale policies (zie het artikel) en gewacht op replicatie. In de Application log van de bestaande DC's verschijnt Event ID 1704: Security policy in the Group policy objects are applied succesfully.
Alle bestaande DC's (behalve de eerste natuurlijk) heb ik destijds toegevoegd zonder dat dit nodig was, dus ik denk niet dat dit het probleem is. In Windows 2000 Servers staat deze setting standaard goed (aldus 250874), en ik heb de setting eerder nooit aangepast.
Er zijn twee artikelen op GoT die mijn probleem omschrijven maar die verwijzen naar bovenstaande twee artikelen en naar elkaar en sterven een stille dood.
http://www.jsifaq.com/subG/TIP3000/rh3034.htm
Hier wordt het promotieproces beschreven, en er komt een zinnetje in terug dat ik bij Microsoft ook al eens heb gezien. Erg merkwaardig:
Die laatste zinsnede begrijp ik niet: "AFTER Dcpromo has run". De symptonen die het artikel beschrijft, komen overeen met mijn probleem, maar stappen 2 en 3 vinden plaats TIJDENS het runnen van Dcpromo. Is dit een contradictio in terminis?
Verder wijzen vrijwel alle resultaten die Google teruggeeft, naar bovengenoemde artikelen.
Ik hoop dat iemand me een zetje in de juiste richting kan geven. Ik denk zelf aan een DNS-probleem (alle vage problemen met AD zijn DNS-gerelateerd, lijkt het wel), maar veel meer dan een andere DNS invullen kan ik niet bedenken.
(Ik heb dit topic in Netwerken geplaatst omdat ik hier twee soortgelijke topics vond.)
[ Voor 12% gewijzigd door CmdrKeen op 04-04-2006 12:22 . Reden: typo ]
Bloed, zweet & koffie
:strip_exif()/u/39162/homer1.gif?f=community)
:strip_exif()/u/4251/ERT2.gif?f=community)