Problem: DC Machineaccount The account is not trusted for delegati

06/08/2008 - 08:18 von MSchueler | Report spam
Hallo Zusammen,
ich habe seit gestern ein Problem mit einem DC [Win2003 SP1] in einer Site!
Beim ausführen von DCDIAG erhalte ich folgenden output
dcdiag /test:machineaccount
Domain Controller Diagnosis
Performing initial setup:
Done gathering initial info.
Doing initial required tests
Testing server: Sitexxxx\DCxxxx
Starting test: Connectivity
. DCxxxx passed test Connectivity
Doing primary tests
Testing server: Sitexxxx\DCxxxx
Starting test: MachineAccount
The account DCxxxx is not trusted for delegation. It cannot
replicate.
The account DCxxxx is not a DC account. It cannot replicate.
Warning: Attribute userAccountControl of DCxxxx is: 0x11000 = (
UF_WORKSTATION_TRUST_ACCOUNT | UF_DONT_EXPIRE_PASSWD )
Typical setting for a DC is 0x82000 = ( UF_SERVER_TRUST_ACCOUNT |
UF_TRUSTED_FOR_DELEGATION )
This may be affecting replication?
. DCxxxx failed test MachineAccount
Running partition tests on : ForestDnsZones
Running partition tests on : DomainDnsZones
Running partition tests on : Schema
Running partition tests on : Configuration
Running partition tests on : DomainNameXXXX
Running enterprise tests on : DomainNameXXX

Das Problem deutet sich daran, dass das Computer Objekt auf einmal ein
Computer Objekt Role="Workstation or Server" ist.

Nun gibt es ja mit dem DCDIAG Tool die möglichkeit dies zu beheben:
dcdiag /s:localhost /fixmachineaccount
oder
dcdiag /s:localhost /RecreateMachineAccount

Der versucht scheitert jedoch!
Der Output ist wie ein ganz normaler DCDIAG Output!

Ist die Syntax falsch?
Ich kann mir nicht erklàren wie dieses Problem überhaupt zustande kommt!
Hatt jemand so etwas àhnliches?
Gibt es eine Alternative, ausser über DCPROMO herunterstufen?

Vielen Dank für euren Beitrag!

Gruß
Manfred Schüler
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
06/08/2008 - 08:35 | Warnen spam
Moin,

MSchueler wrote:
The account DCxxxx is not a DC account. It cannot replicate.
Warning: Attribute userAccountControl of DCxxxx is: 0x11000



das Attribut userAccountControl hat den den Wert 0x11000
und genau das ist das Problem denn:

= ( UF_WORKSTATION_TRUST_ACCOUNT | UF_DONT_EXPIRE_PASSWD )
Typical setting for a DC is 0x82000 = (



es müsste den Wert 0x82000 enthalten.


Gibt es eine Alternative, ausser über DCPROMO herunterstufen?



Ja, gibt es. Ändere das userAccountControl mit ADSIEdit:

[Yusuf`s Directory - Blog - Fehler im User-Account-Control Attribut des DC-Computerobjekts]
http://blog.dikmenoglu.de/PermaLink...72238.aspx

Regards from Mainz/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen