無法將伺服器提升為輔助域控制器
我們有一台執行 Server 2008 R2 的伺服器作為我們的主要 DC。我們目前沒有輔助 DC,但正在嘗試添加一個。我們嘗試使用的輔助 DC 正在執行 Server 2012 R2 Standard。
問題:
當我們嘗試將第二台伺服器提升為域控制器時,我們遇到了一個錯誤:
The Active Directory Domain Services Installation Wizard was unable to convert the computer account SERVERNAME$ to an Active Directory Domain Controller Account.你可以在這裡看到一個螢幕截圖:
我們嘗試過的:
我們已嘗試修改預設域控制器策略以將委派權限授予域管理員。這部分有效,但在我們執行時不會出現
whoami /all。相反,我們得到了這個結果:SeEnableDelegationPrivilege Disabled我們還嘗試進入 AD 使用者和電腦 > 電腦 > SERVERTOBEPROMOED。我們去了 Properties>Delegation 並選擇了
Trust this computer for delegation to any service (Kerberos Only).在設置這兩個之後,
gpupdate /force在兩台伺服器上執行,並等待 90 分鐘,whoami /all仍然顯示SeEnableDelegationPrivilege Disabled注意:
whoami /all在包括AD和要提升的電腦在內的多台電腦上執行,顯示相同的結果。我們對這裡發生的事情不知所措。重建整個 AD 是不可能的,但重建預設域控制器策略可能是可行的,儘管我們不希望這樣做。
我們解決了!
我們不得不從域中刪除我們想要添加為域控制器的伺服器並重新添加它。刪除它之後,在重新添加它之前,我們必須從域電腦列表中刪除伺服器對象。
希望這可以幫助遇到此問題的其他人。
驗證是否在預設域控制器 OU 上設置了策略電腦配置\Windows 設置\安全設置\本地策略\使用者權限分配\啟用受信任的電腦和使用者帳戶以進行委派。驗證您用於提升電腦的帳戶是否應用了此策略。您可以使用 gpresult /h report.html 進行驗證。