Letzthin schlug bei einem Kunden das Herabstufen eines Domänencontrollers mit Windows 2008r2 mit der Fehlermeldung ‘5 “Zugriff verweigert”‘ bzw. “[ERROR] Failed to demote the directory service (5)” fehl, obwohl der Benutzer, welcher dcpromo ausführte, über alle notwendigen Rechte verfügte.
In der Protokolldatei C:\Windows\Debug\dcpromo.log war folgendes zu lesen:
[...] 10/10/2017 07:26:09 [INFO] Active Directory-Objekte, die auf den lokalen Domänencontroller von dem Remotedomänencontroller S-002-3209.corp.local verweisen, werden entfernt… 10/10/2017 07:26:11 [INFO] Error - Fehler beim Versuch des Remoteverzeichnisservers "S-002-3209.corp.local", den Verzeichnisserver "CN=S-002-3209,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=corp,DC=local" zu entfernen. (5) 10/10/2017 07:26:11 [INFO] NtdsDemote returned 5 10/10/2017 07:26:11 [INFO] DsRolepDemoteDs returned 5 10/10/2017 07:26:11 [ERROR] Failed to demote the directory service (5) [...]
Der alte Server musste erhalten bleiben, da – Achtung Sarkasmus – natürlich auf einen DC auch noch File-, Print-, Applikations- und Datenbankdienste liefen.
Die Lösung des Problems ist recht simpel: Alle Objekte der Active Directory wurden irgendwann mal gegen versehentliches Löschen geschützt, auch das Computerobjekt des Domänencontrollers, die NTDS settings und die transport connections. Sobald der Schutz gegen versehentliches Löschen entfernt war, konnte der Controller problemlos entfernt werden.
Drei Gedanken dazu:
- Lokalisierte Serverbetriebsysteme sind grausam. Sucht mal nach einem bestimmten Fehler oder macht mal einen Supportcase beim Hersteller mit einer deutschen Fehlermeldung auf! Gerade Kernsysteme gehören nicht-lokalisiert implementiert. Für nicht-englischsprachige Mitarbeitende stehen genügend alternativen zur Verfügung.
- Auf einen DC gehören keine anderen Rollen – nicht einmal die DHCP-Serverrolle. Aus Sicht der Sicherheit, der Agilität und der Robustheit ist das eine Katastrophe! Ich empfehle dringend die Lektüre von “Best Practices for Securing Active Directory”…
- Wie wenig Vertrauen muss man in seine System Engineers oder seine Kollegen haben, um jedes Objekt in der Active Directory proaktiv mit dem Schutz vor unbeabsichtigtem Löschen zu versehen?
Ich höre gerade: The Pretty Reckless – Heaven Knows
> Wie wenig Vertrauen muss man in seine System Engineers oder seine Kollegen haben, um jedes Objekt in der Active Directory proaktiv mit dem Schutz vor unbeabsichtigtem Löschen zu versehen?
Genau das frage ich mich auch. Ich bin dabei, einen alten DC aus dem System zu entfernen. Zwei neue sind bereits seit Langem im Einsatz. Jetzt darf ich bei jedem einzelnen Objekt den Haken entfernen. Mein Vorgesetzter war zu der damaligen Zeit der einzige ITler. Er hat sich offensichtlich selbst nicht vertraut.
Vielen Dank für die Tipps hier.
Viele Grüße
Thomas