У нас есть сервер под управлением Server 2008 R2 в качестве основного контроллера домена. В настоящее время у нас нет вторичного контроллера домена, но мы пытаемся его добавить. Вторичный контроллер домена, который мы пытаемся использовать, работает под управлением Server 2012 R2 Standard.
Проблема:
Когда мы пытаемся повысить уровень второго сервера до контроллера домена, мы сталкиваемся с ошибкой:
The Active Directory Domain Services Installation Wizard was unable to
convert the computer account SERVERNAME$ to an Active Directory
Domain Controller Account.
Вы можете увидеть снимок экрана Вот:
Что мы пробовали:
Мы попытались изменить политику контроллера домена по умолчанию, чтобы предоставить права делегирования администраторам домена. Эта часть работает, но не отображается, когда мы запускаем whoami / all
. Вместо этого мы получаем следующий результат: SeEnableDelegationPrivilege Disabled
Мы также попытались зайти в AD Users And Computers> Computers> SERVERTOBEPROMOED. Мы перешли в «Свойства»> «Делегирование» и выбрали Доверять этому компьютеру для делегирования любой службе (только Kerberos)
.
После установки обоих параметров, запустив gpupdate / force
на обоих серверах, и ожидая 90 минут, whoami / all
по-прежнему показывает SeEnableDelegationPrivilege Disabled
Примечание. whoami / all
был запущен на нескольких компьютерах, включая AD и компьютер, который нужно продвигать, и показал тот же результат.
Мы не понимаем, что здесь происходит. Перестройка всей AD не может быть и речи, но восстановление политики контроллера домена по умолчанию может быть на картах, хотя мы бы предпочли этого не делать.
Мы решили это!
Нам пришлось удалить сервер, который мы хотели добавить в качестве контроллера домена, из домена и снова добавить его. После удаления, перед повторным добавлением, нам пришлось удалить объект сервера из списка компьютеров домена.
Надеюсь, это поможет кому-то еще, кто столкнется с этим.
Убедитесь, что политика Компьютер Configuration\Windows Settings\Security Settings\Local Policies\User Права Assignment\Enable Учетные записи компьютеров и пользователей, которым можно доверять для делегирования, установлены в OU контроллеров домена по умолчанию. Убедитесь, что учетная запись, которую вы используете для продвижения компьютера, имеет примененную политику. Вы можете использовать gpresult /h report.html для проверки.
.