Error "Se deniega el acceso" al intentar crear el objeto de configuración de NTDS
En este artículo se proporciona una solución para corregir un error (acceso denegado) que se produce al promover nuevos controladores de dominio de Windows Server 2012 R2 en un dominio existente.
Número de KB original: 3207962
Síntomas
Al intentar promover nuevos controladores de dominio de Windows Server 2012 R2 en un dominio existente, se produce un error en la operación "Acceso denegado". Este problema se produce incluso cuando el usuario es miembro del grupo Administradores de dominio o Administradores de empresa.
En esta situación, el administrador ve el siguiente mensaje de error:
Título: Seguridad de Windows
Texto del mensaje: Credenciales de red
Error en la operación porque: Active Directory Domain Services no pudo configurar el nombre de host> de la cuenta <de equipo$ en el nombre completo de la cuenta <remota del controlador de dominio de Active Directory del controlador de dominio auxiliar>. "Acceso denegado"
El error se produce al agregar el objeto Configuración de NTDS para el nuevo controlador de dominio, devolviendo el siguiente mensaje de error:
Error en la operación porque:
Active Directory Domain Services no pudo crear el objeto de configuración de NTDS para este controlador de dominio de Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes.
"Se deniega el acceso".
Además, el archivo DCPromo.log muestra los errores siguientes:
2705DateTime[INFO]
Error: Active Directory Domain Services no pudo crear el objeto de configuración de NTDS para este controlador de dominio de Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes. (5)
DateTime[INFO] EVENTLOG (error): NTDS General /Internal Processing: 1168 Internal error: Se ha producido un error de Active Directory Domain Services.
Datos adicionales
Valor de error (decimal):
-1073741823
Valor de error (hexadecimal):
c0000001
Identificador interno: 30017c6
...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com
el valor devuelto 5
DateTime [INFO] DsRolepInstallDs devolvió 5
DateTime [ERROR] No se pudo instalar en el servicio de directorio (5)
Error de DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) con 8001
DateTime[WARNING] No se pudo anular la instalación del volumen del sistema (8001)
DateTime[INFO] Inicio del servicio NETLOGON
DateTime[INFO] Configuración del servicio NETLOGON en 2 devuelto 0
DateTime[INFO] Se ha completado la operación de controlador de dominio que se ha intentado
Donde los errores se asignan a lo siguiente:
Causa
Este problema se produce porque falta el permiso Agregar o quitar réplica en dominio para los grupos Administradores de dominio y Administradores de empresa en la partición de dominio del dominio.
Solución
Para resolver este problema, siga estos pasos:
Compruebe que todos los pasos y condiciones de la sección "Resolución" del artículo de Knowledge Base 2002413 se cumplen para su entorno.
Si la promoción del controlador de dominio sigue generando un error incluso después de asegurarse de que el usuario también tiene el permiso SeEnableDelegationPrivilege, compruebe ADSIEdit.msc para comprobar los permisos efectivos del usuario para la partición de dominio:
Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.
Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=dominio,DC=com y, a continuación, haga clic en Propiedades.
En la pestaña Seguridad , haga clic en el botón Opciones avanzadas .
En la pestaña Acceso efectivo, escriba el nombre de usuario o grupo del usuario que realiza la operación que produce un error en DCPromo.
Confirme si se ha concedido el permiso de acceso Agregar o quitar réplica en el control de dominio.
Si falta el permiso Agregar o quitar réplica en el dominio para el usuario o grupo, agréguelo mediante ADSIEdit.msc:
Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.
Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=dominio,DC=com y, a continuación, haga clic en Propiedades.
En la pestaña Seguridad , haga clic en el botón Opciones avanzadas .
En la pestaña Permisos, agregue el permiso de acceso Agregar o quitar réplica en el control de dominio para el usuario o grupo deseado de la siguiente manera:
Tipo: Permitir
Se aplica a: solo este objeto
Más información
Nota:
puede haber razones adicionales por las que se produce un error de promoción o degradación del controlador de dominio con un error "Acceso denegado". Para obtener más información, vea KB 2002413.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de