我们有一台运行 Server 2008 R2 的服务器作为主 DC。我们目前没有辅助 DC,但正在尝试添加一个。我们尝试使用的辅助 DC 正在运行 Server 2012 R2 Standard。
问题:
当我们尝试将第二台服务器提升为域控制器时,遇到错误:
The Active Directory Domain Services Installation Wizard was unable to
convert the computer account SERVERNAME$ to an Active Directory
Domain Controller Account.
您可以在此处看到屏幕截图:
我们尝试过的:
我们尝试修改默认域控制器策略,将委派权限授予域管理员。此部分有效,但在运行时未出现whoami /all。相反,我们得到以下结果:SeEnableDelegationPrivilege Disabled
我们还尝试进入 AD 用户和计算机 > 计算机 > SERVERTOBEPROMOED。我们转到属性 > 委派并选择Trust this computer for delegation to any service (Kerberos Only)。
在设置完上述两项、gpupdate /force在两台服务器上运行并等待 90 分钟后,whoami /all仍然显示SeEnableDelegationPrivilege Disabled
注意:whoami /all在包括 AD 和要升级的计算机在内的多台计算机上运行了该程序,并显示相同的结果。
我们不知道这里发生了什么。重建整个 AD 是不可能的,但重建默认域控制器策略是可行的,尽管我们不想这么做。
答案1
验证默认域控制器 OU 上是否设置了策略“计算机配置\Windows 设置\安全设置\本地策略\用户权限分配\启用计算机和用户帐户以进行委派信任”。验证您用于提升计算机的帐户是否应用了此策略。您可以使用 gpresult /h report.html 进行验证。
答案2
我们解决了!
我们必须从域中删除我们想要添加为域控制器的服务器,然后重新添加它。删除后,在重新添加它之前,我们必须从域计算机列表中删除服务器对象。
希望这可以帮助遇到此问题的其他人。
答案3
应用 KB5008102(2021 年 11 月)时,如果不属于“域管理员”全局组的用户尝试提升域控制器,也会出现此错误。更新会阻止 UAC 设置更新并显示一条消息(在您正在从中复制/尝试更新计算机对象的 DC 上):
The security account manager blocked a non-administrator from creating an Active Directory account in this domain with mismatched objectClass and userAccountControl account type flags.
Details:
Account name: NEWDCNAME$
Account objectClass: domainDNS
userAccountControl: 8448
Caller address: xx.xx.xx.xx:yyyy
Caller SID: S-1-5-21-YourAccountSID
微软似乎忘记了企业管理员应该被视为管理员。例如,如果您尝试使用父域中的企业管理员帐户在子域中提升新的 DC,则此更新现在将失败。您必须在子域中创建一个帐户,将其添加到域管理员全局组,然后进行提升。