プライマリDCとしてServer2008R2を実行しているサーバーがあります。現在、セカンダリDCはありませんが、追加しようとしています。使用しようとしているセカンダリDCは、Server 2012 R2Standardを実行しています。
問題:
2番目のサーバーをドメインコントローラーに昇格させようとすると、エラーが発生します。
_The Active Directory Domain Services Installation Wizard was unable to
convert the computer account SERVERNAME$ to an Active Directory
Domain Controller Account.
_
私たちが試したこと:
ドメイン管理者に委任権限を与えるために、デフォルトのドメインコントローラーポリシーを変更しようとしました。この部分は機能しますが、_whoami /all
_を実行すると表示されません。代わりに、次の結果が得られます:_SeEnableDelegationPrivilege Disabled
_
また、ADユーザーとコンピューター>コンピューター> SERVERTOBEPROMOEDに移動してみました。 [プロパティ]> [委任]に移動し、Trust this computer for delegation to any service (Kerberos Only)
を選択しました。
これらの両方を設定し、両方のサーバーで_gpupdate /force
_を実行し、90分間待機した後も、_whoami /all
_には_SeEnableDelegationPrivilege Disabled
_が表示されます。
注:_whoami /all
_は、ADと昇格するコンピューターを含む複数のコンピューターで実行され、同じ結果を示しました。
私たちはここで何が起こっているのか途方に暮れています。 AD全体を再構築することは問題外ですが、デフォルトのドメインコントローラーポリシーを再構築することはカード上にある可能性がありますが、そうすることは望まないでしょう。
解決しました!
ドメインコントローラーとして追加したいサーバーをドメインから削除し、再度追加する必要がありました。ドロップした後、再度追加する前に、ドメインコンピューターのリストからサーバーオブジェクトを削除する必要がありました。
うまくいけば、これはこれに遭遇した他の誰かを助けることができます。
ポリシーComputerConfiguration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Enable computer and users account to trust for delegationが、デフォルトのドメインコントローラーOUに設定されていることを確認します。コンピューターの宣伝に使用しているアカウントにこのポリシーが適用されていることを確認してください。 gpresult/hreport.htmlを使用して確認できます。