0

我需要将 FSMO 角色从 Windows Server 2012 R2 转移到 Windows Server 2019。它适用于两个系统的干净 Datacenter 版本,但不适用于现有的 Windows Server 2012 R2 Essentials。

存在具有 FSMO 角色的现有 Windows Server 2012 R2 Essentials。我已将新的 Windows Server 2019 Essentials 添加到需要将 FSMO 转移到的域中并安装了 AD-Domain-Services。当我执行时:

Install-ADDSDomainController
-CreateDnsDelegation:$false
-NoGlobalCatalog:$true
-InstallDns:$true
-DomainName "mydomain.com"
-SiteName "Default-First-Site-Name"
-ReplicationSourceDC "server2012.mydomain.com"
-DatabasePath "C:\Windows\NTDS"
-LogPath "C:\Windows\NTDS"
-NoRebootOnCompletion:$true
-SysvolPath "C:\Windows\SYSVOL"
-Force:$true

它失败并出现错误:DCPROMO 失败并出现错误“访问被拒绝”如果用户执行促销未授予“受信任的委派”用户权限

我检查了 Microsoft 文章 => 我的操作: https ://docs.microsoft.com/cs-CZ/troubleshoot/windows-server/identity/access-denied-error-occurs-dcpromo

建议是这样的文章:

  1. 验证默认域控制器策略是否存在于 Active Directory (AD) 中。=> 是的,它存在
  2. 验证执行 DCPROMO 操作的用户帐户是否已在默认域控制器策略中被授予“允许计算机和用户帐户受信任以进行委派”用户权限。=> 用户在 Enterprise Administrators、Administrators、Domain Administrators 和 Schema Masters 组中。我试图授予管理员和域管理员组的用户权限,但没有帮助。当我运行 whoami /all 时,它显示 SeEnableDelegationPrivilege Disabled。
  3. 验证默认域控制器策略是否链接到域控制器 OU,并且所有 DC 机器帐户都保留在该 OU 中。=> 只有一个 OU - 域控制器,并且那里只有一个 Windows 2012 R2 服务器。
  4. 验证默认域控制器策略的文件系统部分是否存在于 DC 的 SYSVOL 共享中,用于在被提升或降级的计算机上应用策略。=>那里只有一个DC。
  5. 通常,默认域策略或策略不适用于登录用户 => 它适用于用户。gpupdate /force 应用域策略中的更改

两台服务器都未选中“保护对象不被意外删除”。

我没有找到任何其他合理的错误根本原因。

请问可以进一步做些什么,或者问题的潜在根本原因是什么?

4

1 回答 1

0

应用 KB5008102(2021 年 11 月)时,如果不在“域管理员”全局组中的用户尝试提升域控制器,也会出现此错误。该更新通过一条消息阻止 UAC 设置更新日期(在您正在复制/尝试更新计算机对象的 DC 上):

The security account manager blocked a non-administrator from creating an Active Directory account in this domain with mismatched objectClass and userAccountControl account type flags.

Details:

Account name: NEWDCNAME$
Account objectClass: domainDNS
userAccountControl: 8448
Caller address: xx.xx.xx.xx:yyyy
Caller SID: S-1-5-21-YourAccountSID

Microsoft 似乎忘记了企业管理员应该被视为林中所有域的管理员。

例如,如果您尝试在父域中使用 Enterprise Admin 帐户在子域中提升新 DC,则此更新现在将失败。您必须在子域中创建一个帐户,将其添加到域管理员全局组中,然后进行升级。

于 2022-01-07T21:36:47.830 回答