Если тема поднималась - ткните носом. Я сам не нашел.
Итак домен предприятия работал много лет на двух DC WS2003SP2, но добавили еще один DC на WS2012R2.
Зашел без ошибок, но! теперь консоль DNS с рабочего стола 2003 не может подключиться к 2012. Ошибка - отказано в доступе. Наоборот - все работает.
ИМХО поэтому не могу корректно понизить роли старых DC до рядового сервера.
dcdiag ошибок не выдает. Куда копать?
ПыСы: на 2012 есть ошибка запуска службы политики диагностики. Завершена - отказано в доступе.

Смотри настройки файервола. И если dcdiag не выдаёт ошибок, то можно понижать старые сервера, так как консоль DNS вообще тут не нужна, особенно при подключении со старого на новый сервер.

Консоль может и не нужна, а вот понижение не проходит с ошибкой - "отказано в доступе"
При первом запуске dcpromo получаем ошибку, что службу netlogon не удалось остановить из-за таймаута.
А второй раз при запуске получаю ошибку - отказано в доступе

И потом вот такая ошибка

И потом ошибка
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER-PAMIR
Starting test: Connectivity
The host aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net could not
be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net) couldn't be
resolved, the server name (server-pamir.aso.net) resolved to the IP
address (192.168.1.4) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... SERVER-PAMIR failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER-PAMIR
Skipping all tests, because server SERVER-PAMIR is
not responding to directory service requests

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : aso
Starting test: CrossRefValidation
......................... aso passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... aso passed test CheckSDRefDom

Running enterprise tests on : aso.net
Starting test: Intersite
......................... aso.net passed test Intersite
Starting test: FsmoCheck
......................... aso.net passed test FsmoCheck

C:\Documents and Settings\Администратор.ASO>

На новом DC возникла вот такая ошибка
Запуск проверки: Replications
[Replications Check,DC-WS2012R2] Сбой при последней попытке
репликации:
Из SERVER-PAMIR в DC-WS2012R2
Контекст именования: DC=ForestDnsZones,DC=aso,DC=net
При репликации возникла ошибка (8439):
Для этой операции репликации указано недопустимое различающееся имя.


Сбой возник в 2021-07-12 08:55:34.
Последняя успешная операция была в 2021-07-12 07:55:34. После
последней успешной операции было
1 сбоев.
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
[Replications Check,DC-WS2012R2] Сбой при последней попытке
репликации:
Из SERVER-PAMIR в DC-WS2012R2
Контекст именования: DC=DomainDnsZones,DC=aso,DC=net
При репликации возникла ошибка (8439):
Для этой операции репликации указано недопустимое различающееся имя.


Сбой возник в 2021-07-12 08:55:34.
Последняя успешная операция была в 2021-07-12 08:06:29. После
последней успешной операции было
3 сбоев.
......................... DC-WS2012R2 - не пройдена проверка
Replications

Тогда надо начать с вывода ipconfig /all со всех трёх КД, запуска dcdiag /e /v и результатов работы repadmin /showrepl на всех трёх КД.

Тогда начнем!
три КД. один новый 2012 и два 2003.
ipconfig 2003-server.pamir
WS2021-r2

C:\Users\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : DC-WS2012R2
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : aso.net

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE
Физический адрес. . . . . . . . . : 3C-7C-3F-16-83-88
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.3(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.200
DNS-серверы. . . . . . . . . . . : 192.168.1.3
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

C:\Users\Администратор.ASO>
server-pamir
C:\Documents and Settings\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server-pamir
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : aso.net

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection w
ith I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-15-17-46-32-3D
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.200
DNS-серверы . . . . . . . . . . . : 192.168.1.4
192.168.1.3

C:\Documents and Settings\Администратор.ASO>
server-backup
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server-backup
Основной DNS-суффикс . . . . . . : aso.net
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : aso.net

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT двух портовое сетево
е подключение #2
Физический адрес. . . . . . . . . : 00-0D-61-10-C4-21
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.254
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.200
DNS-серверы . . . . . . . . . . . : 192.168.1.254
192.168.1.3

C:\Documents and Settings\Администратор.ASO>

C:\Documents and Settings\Администратор.ASO>

вот со всех.

Вот репликация

Я бы начал с того, что проверил, запущены ли службы AD на server-pamir.aso.net.

Если запущены, то прописал бы все DNS-сервера на всех КД. При этом указав другие dns первыми, и свой последним.
На следующий день попытался бы решить эту проблему: The host aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name

(aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net) couldn't be

resolved, the server name (server-pamir.aso.net) resolved to the IP

address (192.168.1.4) and was pingable. Check that the IP address is

registered correctly with the DNS server.

PS. Вообще есть подозрение, что понижение сервера прошло частично, оставив мусор в AD.

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: aso.net
DC-WS2012R2 PASS PASS PASS PASS PASS PASS n/a
server-pamir PASS FAIL PASS PASS PASS FAIL n/a
server-backup PASS PASS PASS PASS PASS PASS n/a
Я правильно понял, что как-то так....

результаты выполнения "dcdiag /s:server-pamir /fix" на server-pamir ( server-pamir_loc) и ws-dc2012r2 (server-pamir_Dcdiag)

PS C:\Users\Администратор.ASO> dcdiag /s:server-pamir /q
Узел aface639-9d36-4454-b850-ecdc0d8b24b6._msdcs.aso.net не удается разрешить в IP-адрес. Проверьте
DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры брандмауэра.
......................... SERVER-PAMIR - не пройдена проверка Connectivity
Внимание! Сбой при вызове функции DcGetDcName(GC_SERVER_REQUIRED), ошибка 1717
Не удается найти сервер глобального каталога - все глобальные каталоги отключены.
Внимание! Сбой при вызове функции DcGetDcName(PDC_REQUIRED), ошибка 1717
Не удается найти основной контроллер домена.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(TIME_SERVER), ошибка 1717
Не удается найти сервер времени.
Сервер, которому принадлежит роль PDC, отключен.
Внимание! Сбой при вызове функции DcGetDcName(GOOD_TIME_SERVER_PREFERRED), ошибка 1717
Не удается найти сервер точного времени.
Внимание! Сбой при вызове функции DcGetDcName(KDC_REQUIRED), ошибка 1717
Не удается найти центр распространения ключей (KDC) - все KDC отключены.
......................... aso.net - не пройдена проверка LocatorCheck
PS C:\Users\Администратор.ASO> dcdiag /s:server-backup /q
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
......................... SERVER-BACKUP - не пройдена проверка Replications
Недопустимый тип службы: RpcSs на SERVER-BACKUP, текущее значение - WIN32_OWN_PROCESS, ожидаемое значение -
WIN32_SHARE_PROCESS
......................... SERVER-BACKUP - не пройдена проверка Services
PS C:\Users\Администратор.ASO> dcdiag /s:dc-ws2012r2 /q
[SERVER-PAMIR] Сбой функции DsBindWithSpnEx() с ошибкой 1722,
Сервер RPC недоступен..
......................... DC-WS2012R2 - не пройдена проверка Replications
Возникла ошибка. Код события (EventID): 0x0000272C
Время создания: 07/14/2021 08:24:30
Строка события:
Не удалось установить связь DCOM с компьютером 192.168.1.200 через какой-либо из настроенных протоколов; зап
рос от PID 114c (C:\Windows\system32\dcdiag.exe).
......................... DC-WS2012R2 - не пройдена проверка SystemLog
PS C:\Users\Администратор.ASO>

Что говорит команда netdom query fsmo запущенная на КД?

Это на server-pamir
Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\Documents and Settings\Администратор.ASO>netdom query fsmo
Schema owner DC-WS2012R2.aso.net

Domain role owner DC-WS2012R2.aso.net

PDC role DC-WS2012R2.aso.net

RID pool manager DC-WS2012R2.aso.net

Infrastructure owner DC-WS2012R2.aso.net

The command completed successfully.


C:\Documents and Settings\Администратор.ASO>

Это на DC-WS2012R2
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор.ASO>netdom query fsmo
Хозяин схемы DC-WS2012R2.aso.net
Хозяин именования доменов DC-WS2012R2.aso.net
PDC DC-WS2012R2.aso.net
Диспетчер пула RID DC-WS2012R2.aso.net
Хозяин инфраструктуры DC-WS2012R2.aso.net
Команда выполнена успешно.


C:\Users\Администратор.ASO>

Все, вроде, хорошо и правильно....

Я с понедельника в отпуске....не хочу оставлять сеть без присмотра в таком состоянии. Вроде ничего критичного, а неприятно.

В общем, если на проблемном сервере службы AD не запущены и удалены (прошло частичное понижение), то нужно ручками вычищать AD от остатков. Мануалов по этому делу полно в Интернете, и про бэкап AD не забываем.

нужно ручками вычищать AD от остатков »
Это на рабочем (новом) ДК, а что с неисправным делать?

Это на рабочем (новом) ДК, а что с неисправным делать? »
Удалить DNS-службу, если она там ещё есть. Убрать все ссылки на этот ДНС в сети. Затем просто удалить Винду.
Но это всё только после того, как будет 100% уверенность в том, что было частичное понижение КД до рядового сервера.