Error "Access is denied" al despromover Domain Controller

  • Article

Hola a todos!

En esta oportunidad, me gustaria dejarles la solucion a un inconveniente al querer despromover un Domain Controller el cual este operativo y al querer despromoverlo, les aparezca el siguiente mensaje: The operation failed because: Active Directory Domain Services could not configure the computer account <hostname>$ to the remote Active Directory Domain Controller account <fully qualified name of helper DC>. "Access is denied"

Como primer medida, chequear el siguiente KB de Microsoft: DCPROMO fails with error "Access is denied" if the user performing the promotion is not granted the "trusted for delegation" user right

Si aun asi no encuentran la solucion, les dejo la siguiente opcion que en una oportunidad experimente y se presenta el mismo error que es cuando marcamos el objeto "Computer" del Domain Controller a despromover como proteccion de eliminacion (Protect Object from accidental deletion).

En ese caso, les paso dos formas de revertirlo si estamos en una estructura de Active Directory Windows Server 2008 o superior.

Opcion 1: Destildar dicha opcion de Site&Services:

Para esta opcion entramos a la consola de Site&Services:

En dicha consola, buscamos en el Sitio del Domain Controller a despromover y dentro del mismo, NTDS Settings, donde desplegaremos el menu y seleccionaremos la opcion Properties:

En la ventana que nos aparecera, vamos a la solapa Object, donde veremos la opcion "Protect Object from accidental deletion", de estar tildada, se tiene que destildar para habilitar que el objeto pueda ser eliminado al despromoverse.

Opcion 2: Destildar dicha opcion de Users and Computers:

Para esta opcion entramos a la consola de Users and Computers:

En dicha consola, vamos al contenedor de Domain Controllers donde nos aparecera el objeto Computer del Domain Controller que deseamos despromover, donde iremos a tildar la opcion que encontramos en View - Advanced Features

Luego seleccionamos el objeto Computer del Domain Controller a despromover y seleccionamos Properties.

En la ventana que nos aparecera, vamos a la solapa Object, donde veremos la opcion "Protect Object from accidental deletion", de estar tildada, se tiene que destildar para habilitar que el objeto pueda ser eliminado al despromoverse.

Aclaración 1: Estados dos opciones hay que chequearlas ya que se pueden haber habilitado en su momento y si no se destildan, no se podra despromover el Domain Controller en forma normal asi teniendo el mismo operativo, es importante chequear ambas opciones detalladas, ya que puede estar una o ambas con Protect Object from accidental deletion seleccionado.

Aclaración 2: Si estamos con versión de dominio con Windows Server 2000/2003, no tendremos las opciones como muestro, pero de la misma forma que les detallo, tienen que ver en la solapa Security (en lugar de la solapa object) que no este la cuenta que estamos utilizando para despromover el Domain Controller, un grupo en el cual este incluido dicho usuario o un Everyone, con un Denied aplicado, de encontrarlo, tendrán que quitarlo para continuar con la despromoción.-

Espero les sea de utilidad.-

Salu2

LeoPonti