Понижение DCPROMO завершается ошибкой, если не удается связаться с инфраструктурой DNS master

  • Статья

В этой статье устранена проблема, из-за которой происходит сбой понижения уровня компьютера Windows Server, на котором размещена роль сервера доменные службы Active Directory (AD DS) или контроллера домена.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2694933

Симптомы

Сбой корректного понижения уровня компьютера с Windows Server, на котором размещена роль сервера AD DS или контроллера домена. На экране отображается следующая ошибка:

Текст строки заголовка: мастер установки доменные службы Active Directory
Текст сообщения:
Операция завершилась сбоем, так как:
доменные службы Active Directory не удалось передать оставшиеся данные в секции каталога
DC=DomainDNSZones,DC=<DNS domjain name> to домен Active Directory Controller
\\<DNS-имя вспомогательного контроллера домена, используемого для понижения уровня обслуживания>
"Служба каталогов не имеет обязательных сведений о конфигурации и не может определить владельца плавающих ролей операций с одним master".

Соответствующая часть DCPROMO. Файл LOG содержит следующий текст:

<date> <time> [INFO] Transferring operations master roles owned by this Active Directory Domain Controller in directory partition  
DC=DomainDnsZones,DC=contoso,DC=com to Active Directory Domain Controller \\<DNS name of helper DC...  
<date> <time>  [INFO] EVENTLOG (Warning): NTDS Replication / Replication : 2091

Проверка объекта инфраструктуры и атрибутов для раздела приложения DNS, на которые ссылается ошибка DCPROMO на экране и DCPROMO. ЖУРНАЛА:

Expanding base 'CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com'...  
Getting 1 entries:  
Dn: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=com  
cn: Infrastructure;  
distinguishedName: CN=Infrastructure,DC=DomainDnsZones,DC=contoso,DC=corp,DC=microsoft,DC=com;  
dSCorePropagationData: 0x0 = (  );  
fSMORoleOwner: CN=NTDS Settings\0ADEL:<NTDS Settings objet GUID>,CN=\<hostname of last DC to host the partition infrastructure role>,CN=Servers,CN=<active directory site name>,CN=Sites,CN=Configuration,DC=contoso,DC=com;  
instanceType: 0x4 = ( WRITE );  
isCriticalSystemObject: TRUE;  
name: Infrastructure;  
objectCategory: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=contoso,DC=com;  
objectClass (2): top; infrastructureUpdate;  
objectGUID: <object guid>;  
showInAdvancedViewOnly: TRUE;  
systemFlags: 0x8C000000 = ( DISALLOW_DELETE | DOMAIN_DISALLOW_RENAME | DOMAIN_DISALLOW_MOVE );  
uSNChanged: <some USN #>;  
uSNCreated: <some USN #>;  
whenChanged: <date> <time>;  
whenCreated: <date> <time>;

В отличие от элементов в выходных данных LDAP, взятых из примера домена CONTOSO.COM , относятся:

  1. Атрибут fSMORoleOwner содержит строку 0ADEL, указывающую, что роль, владеющая объектом параметров NTDS контроллера домена, удалена.

  2. Атрибут fSMORoleOwner содержит 32-значный буквенно-цифровой ИДЕНТИФИКАТОР объекта NTDS Settings контроллеров домена в формате xxxxxxxx-xxxx-xxxx-xxxx-xxxxx.

  3. Имя секции приложения DNS по умолчанию, для которой fSMORoleOwner атрибут назначается контроллеру домена с удаленным объектом параметров NTDS. В этом случае ошибка ссылается на DomainDNSZones. Эта же ошибка также может возникнуть для раздела приложения ForestDNSZones.

Причина

Ошибка возникает, когда контроллер домена, который понижается, не может реплицировать исходящие изменения в контроллер домена, которому принадлежит инфраструктура FSMO или операционная роль для секции, на которую ссылается ошибка DCPROMO [log].

В частности, попытка понижения уровня прервана для защиты от потери данных. В случае секций приложений DNS понижение должности блокируется, чтобы обеспечить репликацию следующих данных:

  • динамические и удаленные записи DNS
  • ACLS записей DNS
  • метаданные, например даты регистрации и удаления

Пути DN для секций, в которых может возникнуть ошибка в разделе "Симптомы", включают:

  • CN=Infrastructures,DC=DomainDNSZones....
  • CN=Infrastructures,DC=ForestDNSZones....

Решение

Примечание.

Когда master инфраструктуры назначается удаленному объекту NTDSA в разделе приложения DNS, например DomainDNSZones, он также может отсутствовать для раздела ForestDNSZones или наоборот. Рекомендуется убедиться, что для секций DomainDNSZones и ForestDNSZones, назначенных динамическим контроллерам домена Windows Server 2003 или более поздней версии, в котором размещена роль DNS-сервера и соответствующий раздел.

Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.

  1. Используйте ADSIEDIT.MSC , чтобы назначить путь DN для атрибута fsMORoleOwner динамическому контроллеру домена, который был прямым партнером по репликации исходного владельца роли FSMO. Затем подождите, пока это изменение реплицирует входящий и реплицируется на контроллер домена, который понижается.

  2. Запустите скрипт в разделе РазрешениеKB949257 для соответствующей секции.

  3. Если контроллер домена, который понижается, не может реплицировать изменения входящего трафика для соответствующего раздела каталога, выполните DCPROMO /FORCEREMOVAL команду, чтобы принудительно понизить контроллер домена.

Дополнительная информация

DCPromo пытается выполнить исходящую репликацию изменений на каждом локальном контроллере, чтобы не потерять уникальные изменения. Если данные хранятся в зонах DNS, DCPROMO пытается выполнить исходящую репликацию содержимого зон DNS в инфраструктуру master для соответствующего раздела DNS.

Связанная проблема:

KB949257 описывает проблему, из-за которой ADPREP /RODCPREP команда завершается ошибкой, когда master инфраструктуры для одного или нескольких разделов приложения DNS назначается удаленному NTDSA.