Temos um servidor executando o Server 2008 R2 como nosso principal DC. Atualmente, não temos um DC secundário, mas estamos tentando adicionar um. O DC secundário que estamos tentando usar está executando o Server 2012 R2 Standard.
O problema:
Quando tentamos promover o segundo servidor para um controlador de domínio, encontramos um erro:
The Active Directory Domain Services Installation Wizard was unable to
convert the computer account SERVERNAME$ to an Active Directory
Domain Controller Account.
Você pode ver um screencap aqui:
O que tentamos:
Nós tentamos modificar a Diretiva de Controlador de Domínio Padrão para conceder direitos de delegação aos administradores de domínio. Esta parte funciona, mas não aparece quando executamos whoami /all . Em vez disso, obtemos este resultado: SeEnableDelegationPrivilege Disabled
Também tentamos acessar os usuários e computadores do AD > Computadores > SERVERTOBEPROMOED. Fomos para Propriedades > Delegação e selecionamos Trust this computer for delegation to any service (Kerberos Only) .
Depois de definir ambos, executando gpupdate /force nos dois servidores e aguardando 90 minutos, o whoami /all ainda mostrará SeEnableDelegationPrivilege Disabled
Observação: o whoami /all foi executado em vários computadores, incluindo o AD e o computador a ser promovido, e mostrou o mesmo resultado.
Estamos perdidos pelo que está acontecendo aqui. A reconstrução de todo o AD está fora de questão, mas a reconstrução da Diretiva de controlador de domínio padrão pode estar nas placas, embora prefiramos não fazer isso.
Nós resolvemos isso!
Tivemos que eliminar o servidor que queríamos adicionar como um controlador de domínio do domínio e adicioná-lo novamente. Depois de soltá-lo, antes de adicioná-lo novamente, tivemos que excluir o objeto servidor da lista de computadores do domínio.
Espero que isso ajude alguém que se depara com isso.
Verifique se a política Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Diretivas Locais \ Atribuição de Direitos do Usuário \ Habilitar contas de computador e usuários confiáveis para delegação é definida na UO de controladores de domínio padrão. Verifique se a conta que você está usando para promover o computador tem essa política aplicada. Você pode usar gpresult / h report.html para verificar.