Dieser Fehler kann passieren, wenn man eine CA (Certificate Authority) aus der Domäne entfernt. Um den Fehler zu beseitigen, muss man auf dem betreffenden Domaincontroller folgenden Befehl ausführen (in der Shell!):

Certutil -dcinfo deleteBad

Daraufhin werden alle ungültigen Zertificate von allen Domaincontrollern, die verfügbar sind, entfernt.

Ich hatte die Aufgabe, die bestehende Windows 2000 Domäne um einen Windows 2003 R2 Server zu erweitern. Da dieser auch noch als Domänencontroller eingesetzt werden sollte, muss natürlich das Schema upgedatet werden.

Die Vorgehensweise wäre wie folgt:
Zuerst also mal auf SP4 updaten, den Server so aktuell wie möglich halten. Dann, falls der neue 2003er ein R2 ist, via adprep.exe von der 2. (!!!) CD aus auf Schema Version 31 updaten (die erweiterungen der Schemen können in den entsprechenden schXX.ldf-Dateien eingesehen werden, wobei XX ddie Schemaversion angibt. Aktuell ist auf 2003er Ebene meines Wissens nach Schema 31. Bei Windows Server 2000 SP4 ist es 14). Bei einem nicht-R2 tut es adprep.exe von der ersten CD auch (Schemaversion ist hier 30).

adprep /forestprep updatet die Forestpartition des Active Directory auf den jeweiligen Level. Dies geht eigentlich kurz und schmerzlos. Es folgt ein beherztes adprep /domainprep /gpprep. Dies hievt den Domain Function Level auch auf 2003 und updatet wie Group Policy Objects. Aus dem Bauch heraus gönne ich dem Server danach einen Neustart (habe ich schon erwähnt, dass ich Reboots hasse?).

Wenn das Eventlog danach sauber ist, ist alles gut gegangen. Falls wider erwarten größere Probleme auftreten, könnte an dieser Stelle gleich das Systemstatebackup zurückgespielt werden (du hast doch ein Backup, oder???).
Anschließend lässt sich der 2003er auch problemlos vom Memberserver zum Domänencontroller hochstufen.

Ich habe heute allerdings folgende Fehlermeldung erhalten:

Nach kurzer Recherche habe ich dann herausgefunden, dass dies ein Berechtigungsproblem war. Dem User, der für die AD-Installation verwendet wird, muss für Delegationszwecke vertraut werden. Dies muss auf dem bestehenden Windows 2000 Domänencontroller konfiguriert werden.
Aaaalso: bestehnder DC – gpedit.msc – Computerconfiguration – Administrative Templates – ….. – Benutzer oder Computer zu Delegationszwecken vertrauen deaktiviert – auf deaktiviert setzen und den entsprechenden User/die Entsprechende Gruppe hinzufügen.
In der Konsole dann noch secedit /refreshpolicy absetzen, und gut ist. Dann kann ein paar Momente später auch der quengelnde Assisten auf der 2003er Maschine mit einem Klick auf “Weiter” fortgesetzt werden.

Reboot und man hat nun einen funktionstüchtigen Windows Server 2003 Domänencontroller.