seeseekey.net - Invictus Deus Ex Machina

In der Ereignisanzeige im Unterpunkt „Anwendung“ eines Domain Controllers fand sich folgende Warnung:

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Bei mir half in diesem Fall folgende Vorgangsweise. Auf der Konsole wird der Dienst mittels:

msdtc -uninstall

deinstalliert und anschließend der Rechner neu gestartet um den Dienst dann wieder mittels:

msdtc -install

wieder zu installieren. Danach wird der Dienst „Distributed Transaction Coordinator“ über die Eigenschaften konfiguriert. Dabei wird im Tab „Anmelden“ für den Punkt „Anmelden als“ das lokale Systemkonto ausgewählt.

Die Eigenschaften des Distributed Transaction Coordinator Dienstes

Anschließend wird das ganze bestätigt und der Dienst neu gestartet. Nachdem dies passiert ist geht man wieder in die Eigenschaften des Dienstes und stellt die „Anmelden als“ Eigenschaft auf den Nutzer „NT AUTHORITY\NetworkService“ und lässt das Passwortfeld leer. Nach einem weiteren Neustart des Dienstes sollte dieser wieder funktionieren.

Weitere Informationen gibt es unter:
http://www.eventid.net/display-eventid-53258-source-MSDTC-eventno-4493-phase-1.htm

Wenn ein Active Directory aufgesetzt ist, so kann ein Domain Controller bis zu 5 Rollen (FSMO oder auch Betriebsmasterrollen) auf sich vereinen:

  • Domainnamenmaster
  • Infrastrukturmaster
  • PDC Emulator
  • RID Master
  • Schemamaster

Möchte man sich diese Rollen nun anzeigen lassen, so geht das auf der Kommandozeile mittels des Befehles:

netdom query FMSO

Allerdings benötigt man für das „netdom“ Kommando unter „Windows Server 2003″ die „Windows Server 2003 Service Pack 2 32-bit Support Tools“ welche unter http://www.microsoft.com/en-us/download/details.aspx?id=15326 zu finden sind. Diese werden dabei auf einem 64 Bit System unter „C:\Programme (x86)\Support Tools“ installiert.

Manchmal ist es nötig einen Windows Domain Controller zwangsweise herunterzustufen. Dies geschieht auf dem entsprechenden Server in der Kommandozeile mittels:

dcpromo /forceremoval

Allerdings sollte man dabei beachten, das Metadaten auf den anderen Domain Controllern zurück bleiben, da der zwangsweise zurückgestufte Domain Controller den anderen Servern keine Informationen dazu sendet. Diese müssen dann manuell mittels „ntdsutil“ entfernt werden. Wie das funktioniert erklärt ein Technet Artikel bei Microsoft.

Weitere Informationen gibt es unter:
http://de.wikipedia.org/wiki/Domain_Controller