你目前正处于脱机状态,正在等待 Internet 重新连接

子域中最后一个域控制器的 Dcpromo 降级失败

本文的发布号曾为 CHS255229
症状
担任域命名主机“灵活单主机操作”(FSMO) 角色的服务器被分配到负责对 Active Directory 中的 CN=Partitions、CN=Configuration、DC= domain 配置容器进行更改的域控制器中。 配置命名上下文由同一目录林中所有基于 Windows 2000 的域控制器共享、复制。

本文阐述当基于 Windows 2000 的服务器在升级或降级时不能联系已经错误删除的域命名主机 FSMO 角色时,所出现的错误消息。
原因
担任域命名主机 FSMO 角色的服务器是唯一能在基于 Windows 2000 Active Directory 目录林中添加或删除域的计算机,并且是唯一能与 Active Directory Installation Wizard (Dcpromo.exe) 联系的 FSMO 角色所有者。 不过,在现有域中升级或降级副本域控制器不需要任何对 FSMO 角色的访问。

例如,当您在子域中降级最后一个域控制器时,Dcpromo.log、Dcpromoui.log、Netlogon 日志显示下列结果:
  • 当作为降级的一部分停止某些服务时,%SystemRoot%\Dcpromo.log 日志立即显示下列事件:
    MM/DD HH:MM [INFO] Invoking NtdsDemote
    MM/DD HH:MM [INFO] Starting to prepare the SAM and the Directory Service for demotion
    MM/DD HH:MM [INFO] Validating the demotion of this server in the context of the enterprise
    MM/DD HH:MM [INFO] Creating new local account information for the SAM and the LSA
    MM/DD HH:MM [INFO] Creating a new local account database for SAM
    MM/DD HH:MM [INFO] Setting the new local account information in the LSA
    MM/DD HH:MM [INFO] Removing Directory Service objects referring to the local server from the remote server SATEMP3.NTLAB.KELLY.AF.MIL
    MM/DD HH:MM [INFO] Error - An ldap read of operational attributes from server SATEMP3.NTLAB.KELLY.AF.MIL failed. (2)
  • 当问题出现时,相同服务被重新启动,计算机又回到原来的状态。 这时,%SystemRoot%\Dcpromoui.log 日志显示相似的结果:
    dcpromoui t:0x140 01226 Enter State::GetOperationResultsMessage An ldap read of operational attributes from server Computername .FQDN failed.

    dcpromoui t:0x140 01227 Exit State::GetOperationResultsMessage An ldap read of operational attributes from server Computername .FQDN failed.

    dcpromoui t:0x140 01228 Enter State::SetFailureMessage The operation failed because: An ldap read of operational attributes from server Computername .FQDN failed. “系统找不到指定文件。 ”
  • 当显示筛选程设置为只显示 LDAP 帧时,降级的网络跟踪中包含下列突出显示:
    A Base Object search against CN=Partitions,CN=Configuration,DC= FQDN for an object of object class Attribute Value = fSMORoleOwner. The hex detail in the LDAP response shows the name of Domain Naming master FSMO role owner as seen by the queried Windows 2000 Domain Controller.

    The next LDAP search queries the CN=Servers,CN= SiteName ,CN=Sites,CN=Configration,DC= FQDN container for the dnshostname of the domain naming master FSMO role owner located in the query above.The Search response returns:

    LDAP: ProtocolOp = SearchResponse (simple)
    LDAP: Result Code = No Such Object
    LDAP: Matched DN = CN= computername \ DEL:b8f48ee3-f18f-453a-986c-49b370327ded,CN=Servers,C
    LDAP: Error Message = 0000208D: NameErr: DSID-031001C9, problem 2001 (NO_OBJECT), da

    The LDAP error 208D converts to 8333 decimal.
    which maps to "Directory object not found" (type "NET HELPMSG 8333" at the NT CMD prompt).
如果在不正确降级的情况下从目录服务中删除担任域命名 FSMO 角色的域控制器,便会出现这种情况。 如果在 DSSITES.MSC 中删除当前域命名主机 FSMO 的 NTDS Settings 对象,或使用 Ntdsutil 工具删除计算机,也会出现这种情况。 Ntdsutil 工具如以下 Microsoft Knowledge Base 文章所述:
230306 如何从 Active Directory 中删除孤立的域
解决方案
要解决该问题,请使用 Ntdsutil.exe 工具来捕获担任域命名 FSMO 角色的域。如以下 Microsoft Knowledge Base 文章所述:
223787 Flexible Single Master Operation 转移和捕获过程
属性

文章 ID:255229 - 上次审阅时间:03/25/2004 20:32:00 - 修订版本: 2.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbprb KB255229
反馈