Bonsoir,
 
voici mon problème:
 
j'ai actuellement un domaine avec un DC en 2000 et je souhaiterai ajouté un second DC mais en 2003. J'ai effectué un adprep sur mon DC 2000 et tout s'est bien passé.
Lorsque je lance le dcpromo sur le 2003, tout se passe bien jusqu'au moment de la réplication. Voici le message d'erreur : "L'opération a échoué car : L'Assistant Installation Active Directory n'a pas pu convertir le compte ordinateur DC2$ vers un compte de contrôleur de domaine. "Accès refusé."
Ensuite il me demande d'utiliser un compte qui a des droits pour ajouter un contrôleur au domaine.
Bien evidemment j'utilise le compte administrateur qui fait parti de tous les groupes admin possible.
 
Voici ce que j'obtient dans l'obs. d'événement :
 
Type de l'événement : Erreur
Source de l'événement : NTDS General
Catégorie de l'événement : Traitement interne
ID de l'événement : 1168
Date : 22/03/2005
Heure : 12:30:07
Utilisateur : AUTORITE NT\ANONYMOUS LOGON
Ordinateur : DC2
Description :
Erreur interne : Une erreur Active Directory s'est produite.
 
Données supplémentaires
Valeur de l'erreur (décimale) :
183
Valeur de l'erreur (hexadécimale) :
b7
ID interne :
300112d
 
Quelqu'un a déjà eu ce souci?
 
Merci d'avance

Pas de trace de cette erreur sur eventid.net
 
Pour ton DC2, tu réalises le DCpromo alors qu'il est déjà membre du domaine ?

oui, il est en serveur autonome pour le moment.

Tu as bien configuré comme DNS primaire le DNS de ton AD ?

oui tout est ok pour les DNS.

Et ton serveur remonte bien dans la mmc utilisateurs et ordinateurs active directory ?

oui il se place bien dans l'OU "computers". Je comprends vraiment pas d'ou peut venir ce problème!!

Et si tu le fais sans qu'il soit déjà membre du domaine ?!

c'est plutot "non" la réponse    
as tu essayé de faire le DC promo avec le serveur dans le domaine ?
ça me parait plus logique comme procédure.
 
quand tu dis que tu utilises le compte administrateur, tu veux dire :
- le compte "administrateur"
- un compte administrateur
??

J'utilise LE compte administrateur, et j'ai essayé dans les 2 cas , c'est à dire: en étant serveur membre, et en étant pas du tout intégré au domaine... Toujours la même choses... je désespère

l' acces refusé, c'est clairement un probleme de droits, soit sur ton controleur actuel, soit sur ton DC2 (je pense plutot au DC2).
Verifies dans les strategies machine si tu n'as pas une restriction.
 
à verifier mais Il me semble qu'il n'y a pas de compte "administrateur" dans l'AD, donc, je pense que ton compte "administrateur", c'est l'admin local du serveur DC2, qui n'as pas de droits dans le domaine.

A vérifier alors
 
Non, il y a bien un compte administrateur sur l'AD, et d'ailleurs la premiere chose à faire c'est de le renommer

j'y pense d'un coup    :
sur ton 2003, verifies dans les GPO machines, si tu n'as une ligne relative aux appels RPC anonymes.
si oui, actives là puis parametres sur "aucun" et refais un test.
 

 
je l'ai jamais utilisé, donc jamais remarqué  
edit : apres reflexion, ça parait logique qu'il y ait un compte admin par défaut !   , ... je fatigue  

 
tu veux dire sur mon DC 2000, car sur mon 2003 il n'y aucune GPO...
Après recherche de ce que tu évoques, je n'ai pas trouvé de traces d'appels RPC anonymes.

Résultat d'un DCDIAG pour ceux que ça intéressent...
 
 
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
 
C:\Documents and Settings\Administrateur>dcdiag
 
Domain Controller Diagnosis
 
Performing initial setup:
   Done gathering initial info.
 
Doing initial required tests
 
   Testing server: Premier-Site-par-defaut\DC1
      Starting test: Connectivity
         ......................... DC1 passed test Connectivity
 
Doing primary tests
 
   Testing server: Premier-Site-par-defaut\DC1
      Starting test: Replications
         ......................... DC1 passed test Replications
      Starting test: NCSecDesc
         ......................... DC1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... DC1 passed test NetLogons
      Starting test: Advertising
         ......................... DC1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... DC1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... DC1 passed test RidManager
      Starting test: MachineAccount
         ......................... DC1 passed test MachineAccount
      Starting test: Services
         ......................... DC1 passed test Services
      Starting test: ObjectsReplicated
         ......................... DC1 passed test ObjectsReplicated
      Starting test: frssysvol
         Error: No record of File Replication System, SYSVOL started.
         The Active Directory may be prevented from starting.
         There are errors after the SYSVOL has been shared.
         The SYSVOL can prevent the AD from starting.
         ......................... DC1 passed test frssysvol
      Starting test: kccevent
         ......................... DC1 passed test kccevent
      Starting test: systemlog
         ......................... DC1 passed test systemlog
 
   Running enterprise tests on : entreprise.local
      Starting test: Intersite
         ......................... entreprise.local passed test Intersite
      Starting test: FsmoCheck
         ......................... entreprise.local passed test FsmoCheck
[][/]

Je suis pas sûr, mais pour rajouter un contrôleur de domaine, ne faut-il pas des droits plus élevés qu'un simple Admin du domaine ? Genre Admin d'entreprise, ou Admin de schéma ou un truc dans le genre ? Vérifie alors que ton compte Administrateur fasse bien partie de ces groupes...on ne sait jamais.

 
si, il y en a, mais elles sont locales et je parlais bien de ton serveur 2003 et de ses GPO locales (je pars du principe que ton 2003 server est serveur autonome).
 
je te parlais des appels RPC anonymes car sur le SP2 d'XP, ces appels parfois necessaires ne sont plus par défaut acceptés.
alors , j'ai imaginé que peut etre , sur 2003 server, y'avait la même philosophie. Ce service RPC est utilisé pendant les replications AD.
 
ton probleme est surement lié à un probleme GPO quelque part, reste à trouver ou.

jetes un oeil ici ... http://www.fr.ixus.net/resume_messages.php?topic=8792
 
 

Je me permet de faire un GRAND UP de un an loool car j'ai exacetement le meme problème mise à part que moi  
j'ai 2 AD un sous 2003 l'autre 2000 et je rajoute un 3eme et apres j'enleverai le 2000

Hormis le ADPREP, il y a aussi le FORESTPREP à effectuer pour convertir le schéma de la forêt afin qu'il accepte des DC 2003
Dans l'ordre FORESTPREP puis ADPREP.
 
Le site microsoft comporte une procédure à suivre pour effectuer ces modifs mais je ne la trouve plus ...
 
Sidewinder

Mais peux t on pas dire que c'est l'autre active directory celui  qui est sur 2003 qui accepte le controleur de domaine?

Bonjour, J'ai eu le même problème... mais après 2 jours de recherche, j'ai trouvé la solution... C'est de la haute voltige en Adinistration. Je vais expliqué dans les grandes lignes la solution. Pour plus de détails, faites-le moi savoir.
 
La solution au problème, c'est KB250874... mais cette article de la KB nétait pas directement applicable dans mon cas. Bien qu'étant administrateur de la foret, je n'avais pas de droit sur certains paramètres de la "Stratégie de sécurité locale" , je ne pouvais pas ajouter des utilisateurs ou des groupes pour la déléguation! Il y avait donc une restriction dans la stratégie globale du domaine. Laquelle ? Je ne sais pas, je ne l'ai jamais trouvée mais j'ai trouvé une solution plus radicale! Dans mon cas (de nouveau), mon domaine a évolué de la façon suivant: NT4 ==> AD2000 mixte ==> AD2000 natif. J'ai donc cherché si il ne trainait d'anciennes GPO de NT4... et effectivement, il en restait une! J'ai installé GPMC.msi SP1 (Http://www.microsoft.com/downloads), ouvert la console gpmc.msc, désactivés toutes les GPO, même celles par défaut (locale et domaine) et forcé la synchro des DC (ou attendre une nuit).  
 
Grace à cela, j'ai pu activé la délégation dans la "Stratégie de sécurité locale" et faire mon dcpromo... C.Q.F.D.
 
Bonne chance à Vous,
 
PJD

EN fait, j'ai été tellement bloqué et j'étais super pressé que j'ai du faire appel à un ingenieur microsoft 300€  ca fait mal et c'est pour ca que je vous donne la réponse pour ne pas vous embeter....
 
Si le contrôleur de domaine est un contrôleur supplémentaire, il faut lui donner des droits à l’administrateur.(he oui, l'admin n'a pas tout les droits, c'est un comble)
 
Sur le serveur où se trouve déjà le contrôleur de domaine, Outils d’administration > Paramètres de Sécurité du Contrôleur de Domaine > Paramètres de Sécurité > Stratégies locales >  Attribution des droits utilisateurs > Autoriser que l’on fasse confiance aux comptes ordinateur et utilisateur pour la délégation > choisir administrateurs
 
Voilà j'espere que ca va aider  

C'est exactement ce qui est écrit dans le KB250874... mais il faut avoir accès au paramètre de déléguation... voir mon précédent post.

Remarque: ne pas oublier de réactiver les GPO après le dcpromo, sinon Aie pour la sécurité du domaine !!!
 
@+
 
PJD

J'ai eu ce problème hier, mais la cause et la résolution sont différentes.
En fait lorsque j'ai voulu joindre mon serveur 2003 au domaine 2000 en tant que serveur membre, j'ai fait l'erreur de l'avoir renommé juste avant et sans redémarrer.
Celà provoque un message d'erreur lorsque l'on joint le serveur au domaine, disant que le contrôleur n'est pas disponible (faux) et que l'ordinateur a été joint au domaine avec son ancien nom (vrai, sauf que le nouveau existe aussi, et qu'il est désactivé).
Donc arrivé au DCPROMO, l'assistant tente de mettre à jour un compte d'ordinateur désactivé, et peu importe les droits de l'admin, tant qu'on l'aura pas activé y'aura rien à faire.
Le mieux étant tout simplement de retirer le serveur du domaine, supprimer les 2 comptes foireux dans AD, et rejoindre proprement, en redémarrant à chaque fois.
Une fois l'ajout au domaine correctement effectué, le dcpromo passe comme une lettre à la poste.
Voilà pour l'info complémentaire