Category Archives: Arbeit

Herabstufen eines Domänencontrollers schlägt mit “5 (Zugriff verweigert)” bzw. “[ERROR] Failed to demote the directory service (5)” fehl

Letzthin schlug bei einem Kunden das Herabstufen eines Domänencontrollers mit Windows 2008r2 mit der Fehlermeldung ‘5 “Zugriff verweigert”‘ bzw. “[ERROR] Failed to demote the directory service (5)” fehl, obwohl der Benutzer, welcher dcpromo ausführte, über alle notwendigen Rechte verfügte.

In der Protokolldatei C:\Windows\Debug\dcpromo.log war folgendes zu lesen:

[...]
10/10/2017 07:26:09 [INFO] Active Directory-Objekte, die auf den lokalen Domänencontroller von dem Remotedomänencontroller S-002-3209.corp.local verweisen, werden entfernt…
10/10/2017 07:26:11 [INFO] Error - Fehler beim Versuch des Remoteverzeichnisservers "S-002-3209.corp.local", den Verzeichnisserver "CN=S-002-3209,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=corp,DC=local" zu entfernen. (5)
10/10/2017 07:26:11 [INFO] NtdsDemote returned 5
10/10/2017 07:26:11 [INFO] DsRolepDemoteDs returned 5
10/10/2017 07:26:11 [ERROR] Failed to demote the directory service (5)
 [...]

Der alte Server musste erhalten bleiben, da – Achtung Sarkasmus – natürlich auf einen DC auch noch File-, Print-, Applikations- und Datenbankdienste liefen.

Die Lösung des Problems ist recht simpel: Alle Objekte der Active Directory wurden irgendwann mal gegen versehentliches Löschen geschützt, auch das Computerobjekt des Domänencontrollers, die NTDS settings und die transport connections. Sobald der Schutz gegen versehentliches Löschen entfernt war, konnte der Controller problemlos entfernt werden.

Drei Gedanken dazu:

  1. Lokalisierte Serverbetriebsysteme sind grausam. Sucht mal nach einem bestimmten Fehler oder macht mal einen Supportcase beim Hersteller mit einer deutschen Fehlermeldung auf! Gerade Kernsysteme gehören nicht-lokalisiert implementiert. Für nicht-englischsprachige Mitarbeitende stehen genügend alternativen zur Verfügung.
  2. Auf einen DC gehören keine anderen Rollen – nicht einmal die DHCP-Serverrolle. Aus Sicht der Sicherheit, der Agilität und der Robustheit ist das eine Katastrophe! Ich empfehle dringend die Lektüre von “Best Practices for Securing Active Directory”…
  3. Wie wenig Vertrauen muss man in seine System Engineers oder seine Kollegen haben, um jedes Objekt in der Active Directory proaktiv mit dem Schutz vor unbeabsichtigtem Löschen zu versehen?

The Pretty Reckless – Heaven Knows

Mit Powershell aus CSV-Dateien Liniendiagramme zeichnen

Mal wieder so ein Tag, Cheffe will etwas (in periodischen Abständen), ich bin zu faul, die Daten, welche Täglich generiert werden, ins Tabellenkalkulationprogramm zu wursten und daraus ein hübsches Liniendiagramm zu pinseln…

Hmmm, kann ich meine Faulheit steigern, indem ich etwas PowerShell gegen das Problem werfe?

Continue reading Mit Powershell aus CSV-Dateien Liniendiagramme zeichnen

Geschichten aus der Gruft, Teil 6: Gravier’ mir das Lied vom Tod!

In den Hauptrollen:

  • Der junge Informatiker direkt ab der FH als scheisse-bauendes Jüngelchen
  • Ich als Dinosaurier
  • Herr Müller als Werkstattleiter
  • Louis K. als Graviermaschine

Ihr erinnert Euch doch sicher an die Geschichte mit den Graviermaschinen und den fehlenden RS-232 Schnittstellen.

Die Sache hat mittlerweile einen zweiten Akt bekommen:

Continue reading Geschichten aus der Gruft, Teil 6: Gravier’ mir das Lied vom Tod!