Category Archives: Active Directory

Das Automatisieren des Patch-Deployments auf Windows mit Ansible / AWX, Teil 0: Einführung und Anforderungen

Wie viel Zeit wendest Du für das Deployment von Patches auf Deiner Windows-Infrastruktur Monat für Monat auf? Bist Du es nicht leid, diese Zeit aufzuwenden? Bist Du es nicht leid, Monat für Monat das Gleiche tun zu müssen?

Continue reading Das Automatisieren des Patch-Deployments auf Windows mit Ansible / AWX, Teil 0: Einführung und Anforderungen

Herabstufen eines Domänencontrollers schlägt mit “5 (Zugriff verweigert)” bzw. “[ERROR] Failed to demote the directory service (5)” fehl

Letzthin schlug bei einem Kunden das Herabstufen eines Domänencontrollers mit Windows 2008r2 mit der Fehlermeldung ‘5 “Zugriff verweigert”‘ bzw. “[ERROR] Failed to demote the directory service (5)” fehl, obwohl der Benutzer, welcher dcpromo ausführte, über alle notwendigen Rechte verfügte.

In der Protokolldatei C:\Windows\Debug\dcpromo.log war folgendes zu lesen:

[...]
10/10/2017 07:26:09 [INFO] Active Directory-Objekte, die auf den lokalen Domänencontroller von dem Remotedomänencontroller S-002-3209.corp.local verweisen, werden entfernt…
10/10/2017 07:26:11 [INFO] Error - Fehler beim Versuch des Remoteverzeichnisservers "S-002-3209.corp.local", den Verzeichnisserver "CN=S-002-3209,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=corp,DC=local" zu entfernen. (5)
10/10/2017 07:26:11 [INFO] NtdsDemote returned 5
10/10/2017 07:26:11 [INFO] DsRolepDemoteDs returned 5
10/10/2017 07:26:11 [ERROR] Failed to demote the directory service (5)
 [...]

Der alte Server musste erhalten bleiben, da – Achtung Sarkasmus – natürlich auf einen DC auch noch File-, Print-, Applikations- und Datenbankdienste liefen.

Die Lösung des Problems ist recht simpel: Alle Objekte der Active Directory wurden irgendwann mal gegen versehentliches Löschen geschützt, auch das Computerobjekt des Domänencontrollers, die NTDS settings und die transport connections. Sobald der Schutz gegen versehentliches Löschen entfernt war, konnte der Controller problemlos entfernt werden.

Drei Gedanken dazu:

  1. Lokalisierte Serverbetriebsysteme sind grausam. Sucht mal nach einem bestimmten Fehler oder macht mal einen Supportcase beim Hersteller mit einer deutschen Fehlermeldung auf! Gerade Kernsysteme gehören nicht-lokalisiert implementiert. Für nicht-englischsprachige Mitarbeitende stehen genügend alternativen zur Verfügung.
  2. Auf einen DC gehören keine anderen Rollen – nicht einmal die DHCP-Serverrolle. Aus Sicht der Sicherheit, der Agilität und der Robustheit ist das eine Katastrophe! Ich empfehle dringend die Lektüre von “Best Practices for Securing Active Directory”…
  3. Wie wenig Vertrauen muss man in seine System Engineers oder seine Kollegen haben, um jedes Objekt in der Active Directory proaktiv mit dem Schutz vor unbeabsichtigtem Löschen zu versehen?

Ich höre gerade: The Pretty Reckless – Heaven Knows