DCPROMO Fehler – Zugriff verweigert

Heute war ich extra früh aufgestanden um noch vor 7 Uhr einen Domaincontroller herunterzustufen. Nachdem das Ganze letzte Woche nicht geklappt hat, weil die Zertifikatsdienste noch auf dem Server installiert werden, hatte ich für heute Hoffnung. Aber es hat heute morgen natürlich auch nicht auf Anhieb geklappt.

Nach dem Aufruf von DCPROMO kam schlussendlich folgender Fehler:

2014-02-20_070523_web

Im Debuglog sah das ganze so aus:

dcpromoui CCC.AC0 08A6 07:14:52.110 Enter State::SetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:

Fehler beim Versuch des Remoteverzeichnisservers „SD01.xx.xx“, den Verzeichnisserver „CN=SD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=fxxav,DC=xx“ zu entfernen.

dcpromoui CCC.2344 08B7 07:14:52.110 Enter State::GetFailureMessage Der Vorgang konnte nicht durchgeführt werden. Fehler:
Fehler beim Versuch des Remoteverzeichnisservers „SD01.xx.xx“, den Verzeichnisserver „CN=SD02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=xx,DC=wxxag“ zu entfernen.
„Zugriff verweigert“

Eine kurze Kontrolle der Rechte für das AD-Objekt des SD02 war nicht hilfreich – die Administratoren hatte die Rechte dieses zu löschen. Nach ein bisschen suchen kam ich dann aber auf diesen Eintrag im Technet:

Hi, everyone If you receive an “Access is denied” make sure that the computer object and the NTDS Settings object for the domain controller are not protected against accidental deletion.

Und das war auch das Problem, nicht der Domaincontroller aber dessen NTDS Objekt war gegen versehentliches löschen geschützt.

2014-02-20_074851_web

Kurz den Haken entfernen, einmal mit

repadmin /syncall

das AD Replizieren und schon lief das DCPROMO ohne Probleme durch.