Compartir a través de

Error "Se deniega el acceso" al intentar crear el objeto de configuración de NTDS

  • Artículo

En este artículo se proporciona una solución para corregir un error (acceso denegado) que se produce al promover nuevos controladores de dominio de Windows Server 2012 R2 en un dominio existente.

Número de KB original: 3207962

Síntomas

Al intentar promover nuevos controladores de dominio de Windows Server 2012 R2 en un dominio existente, se produce un error en la operación "Acceso denegado". Este problema se produce incluso cuando el usuario es miembro del grupo Administradores de dominio o Administradores de empresa.

En esta situación, el administrador ve el siguiente mensaje de error:

Título: Seguridad de Windows
Texto del mensaje: Credenciales de red

Error en la operación porque: Active Directory Domain Services no pudo configurar el nombre de host> de la cuenta <de equipo$ en el nombre completo de la cuenta <remota del controlador de dominio de Active Directory del controlador de dominio auxiliar>. "Acceso denegado"

El error se produce al agregar el objeto Configuración de NTDS para el nuevo controlador de dominio, devolviendo el siguiente mensaje de error:

Error en la operación porque:

Active Directory Domain Services no pudo crear el objeto de configuración de NTDS para este controlador de dominio de Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes.

"Se deniega el acceso".

Además, el archivo DCPromo.log muestra los errores siguientes:

2705DateTime[INFO]

Error: Active Directory Domain Services no pudo crear el objeto de configuración de NTDS para este controlador de dominio de Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes. (5)

DateTime[INFO] EVENTLOG (error): NTDS General /Internal Processing: 1168 Internal error: Se ha producido un error de Active Directory Domain Services.

Datos adicionales

Valor de error (decimal):

-1073741823

Valor de error (hexadecimal):

c0000001

Identificador interno: 30017c6

...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com el valor devuelto 5
DateTime [INFO] DsRolepInstallDs devolvió 5
DateTime [ERROR] No se pudo instalar en el servicio de directorio (5)
Error de DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) con 8001
DateTime[WARNING] No se pudo anular la instalación del volumen del sistema (8001)
DateTime[INFO] Inicio del servicio NETLOGON
DateTime[INFO] Configuración del servicio NETLOGON en 2 devuelto 0
DateTime[INFO] Se ha completado la operación de controlador de dominio que se ha intentado

Donde los errores se asignan a lo siguiente:

Asignaciones de errores que contienen código de error, nombre simbólico, descripción del error y encabezado.

Causa

Este problema se produce porque falta el permiso Agregar o quitar réplica en dominio para los grupos Administradores de dominio y Administradores de empresa en la partición de dominio del dominio.

Solución

Para resolver este problema, siga estos pasos:

  1. Compruebe que todos los pasos y condiciones de la sección "Resolución" del artículo de Knowledge Base 2002413 se cumplen para su entorno.

  2. Si la promoción del controlador de dominio sigue generando un error incluso después de asegurarse de que el usuario también tiene el permiso SeEnableDelegationPrivilege, compruebe ADSIEdit.msc para comprobar los permisos efectivos del usuario para la partición de dominio:

    1. Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.

    2. Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=dominio,DC=com y, a continuación, haga clic en Propiedades.

    3. En la pestaña Seguridad , haga clic en el botón Opciones avanzadas .

    4. En la pestaña Acceso efectivo, escriba el nombre de usuario o grupo del usuario que realiza la operación que produce un error en DCPromo.

    5. Confirme si se ha concedido el permiso de acceso Agregar o quitar réplica en el control de dominio.

      Agregar o quitar réplica en el permiso de acceso de control de dominio.

  3. Si falta el permiso Agregar o quitar réplica en el dominio para el usuario o grupo, agréguelo mediante ADSIEdit.msc:

    1. Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.

    2. Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=dominio,DC=com y, a continuación, haga clic en Propiedades.

    3. En la pestaña Seguridad , haga clic en el botón Opciones avanzadas .

    4. En la pestaña Permisos, agregue el permiso de acceso Agregar o quitar réplica en el control de dominio para el usuario o grupo deseado de la siguiente manera:

      Tipo: Permitir
      Se aplica a: solo este objeto

Más información

Nota:

puede haber razones adicionales por las que se produce un error de promoción o degradación del controlador de dominio con un error "Acceso denegado". Para obtener más información, vea KB 2002413.