我需要将 FSMO 角色从 Windows Server 2012 R2 转移到 Windows Server 2019。它适用于两个系统的干净 Datacenter 版本,但不适用于现有的 Windows Server 2012 R2 Essentials。
存在具有 FSMO 角色的现有 Windows Server 2012 R2 Essentials。我已将新的 Windows Server 2019 Essentials 添加到需要将 FSMO 转移到的域中并安装了 AD-Domain-Services。当我执行时:
Install-ADDSDomainController
-CreateDnsDelegation:$false
-NoGlobalCatalog:$true
-InstallDns:$true
-DomainName "mydomain.com"
-SiteName "Default-First-Site-Name"
-ReplicationSourceDC "server2012.mydomain.com"
-DatabasePath "C:\Windows\NTDS"
-LogPath "C:\Windows\NTDS"
-NoRebootOnCompletion:$true
-SysvolPath "C:\Windows\SYSVOL"
-Force:$true
它失败并出现错误:DCPROMO 失败并出现错误“访问被拒绝”如果用户执行促销未授予“受信任的委派”用户权限
我检查了 Microsoft 文章 => 我的操作: https ://docs.microsoft.com/cs-CZ/troubleshoot/windows-server/identity/access-denied-error-occurs-dcpromo
建议是这样的文章:
- 验证默认域控制器策略是否存在于 Active Directory (AD) 中。=> 是的,它存在
- 验证执行 DCPROMO 操作的用户帐户是否已在默认域控制器策略中被授予“允许计算机和用户帐户受信任以进行委派”用户权限。=> 用户在 Enterprise Administrators、Administrators、Domain Administrators 和 Schema Masters 组中。我试图授予管理员和域管理员组的用户权限,但没有帮助。当我运行 whoami /all 时,它显示 SeEnableDelegationPrivilege Disabled。
- 验证默认域控制器策略是否链接到域控制器 OU,并且所有 DC 机器帐户都保留在该 OU 中。=> 只有一个 OU - 域控制器,并且那里只有一个 Windows 2012 R2 服务器。
- 验证默认域控制器策略的文件系统部分是否存在于 DC 的 SYSVOL 共享中,用于在被提升或降级的计算机上应用策略。=>那里只有一个DC。
- 通常,默认域策略或策略不适用于登录用户 => 它适用于用户。gpupdate /force 应用域策略中的更改
两台服务器都未选中“保护对象不被意外删除”。
我没有找到任何其他合理的错误根本原因。
请问可以进一步做些什么,或者问题的潜在根本原因是什么?