Condividi tramite

DCPROMO ha esito negativo e viene visualizzato l'errore "Accesso negato" se all'utente non viene concesso il diritto utente "attendibile per la delega"

Questo articolo fornisce una soluzione a un errore di accesso negato che si verifica con DCPROMO (Domain Controller Promotor).

Numero KB originale: 2002413

Sintomi

L'innalzamento di livello DCPROMO di un computer membro di Windows Server 2008 o versione successiva a un controller di dominio di replica ha esito negativo con l'errore seguente:

Titolo: Sicurezza di Windows
Testo del messaggio: Credenziali di rete
Operazione non riuscita perché l'installazione guidata Dominio di Active Directory Services non è riuscita a convertire il nome host dell'account <>computer$ in un account controller Dominio di Active Directory. "Accesso negato"

L'abbassamento di livello DCPROMO può avere esito negativo con lo stesso errore:

Titolo: Sicurezza di Windows
Testo del messaggio: Credenziali di rete
L'operazione non è riuscita perché: Dominio di Active Directory Services non è riuscito a configurare il nome host dell'account <computer$ al nome completo dell'account <controller di Dominio di Active Directory remoto del controller> di dominio helper.> "Accesso negato"

Causa

All'account utente usato per eseguire DCPROMO non è stato concesso il diritto utente "Abilita account utente e computer da considerare attendibili per la delega".

Risoluzione

  1. Verificare che i criteri dei controller di dominio predefiniti esistano in Active Directory.

    Se il criterio del controller di dominio non esiste, valutare se tale condizione è a causa di una latenza di replica semplice, un errore di replica di Active Directory o se i criteri sono stati eliminati da Active Directory. Se il criterio è stato eliminato, contattare supporto tecnico Microsoft per ricreare il criterio mancante con il GUID dei criteri predefinito (Identificatore univoco globale). Non ricreare manualmente i criteri con lo stesso nome e le stesse impostazioni del valore predefinito.

    Se i criteri dei controller di dominio predefiniti esistono in Active Directory in alcuni controller di dominio ma non in altri, valutare se tale incoerenza è dovuta a una latenza di replica semplice o a un errore di replica. Risolvere in base alle esigenze.

  2. Verificare che l'account server non sia protetto dall'eliminazione accidentale.

    A tale scopo, passare al Centro di amministrazione di Active Directory, individuare il server nell'elenco Computer all'interno del dominio, aprire le proprietà. Nella prima sezione, sotto le informazioni del sistema operativo, assicurarsi che la casella di controllo Proteggi dall'eliminazione accidentale sia deselezionata.

    Durante il processo di elevazione dei privilegi al controller di dominio, l'account computer per il server viene eliminato e aggiunto nuovamente come controller di dominio. Se si fa clic su questa casella di controllo, questa operazione non può verificarsi.

  3. Verificare che all'account utente venga concessa l'operazione DCPROMO il diritto utente "Enable computer and user accounts to be trusted for delegation" (Abilita account computer e utente per la delega) nei criteri dei controller di dominio predefiniti.

    Eseguire whoami /all per verificare che il diritto utente "Abilitare l'attendibilità degli account computer e utente per la delega" sia presente nel token di sicurezza degli utenti.

    Note

    Per impostazione predefinita, questo diritto viene concesso ai membri del gruppo di sicurezza Administrators nel dominio di destinazione. L'account amministratore predefinito è un membro di questo gruppo di sicurezza, ma potrebbe essere stato rimosso.

    • Se un utente diverso dal gruppo di amministratori predefinito esegue promozioni DCPROMO, aggiungere tale account utente al gruppo di sicurezza Administrators OPPURE aggiungere l'account utente "Abilita account computer e utente da considerare attendibili per la delega" nei criteri predefiniti dei controller di dominio.
    • L'opzione "Abilitare l'attendibilità degli account computer e utente per la delega" è stata modificata di recente oppure i criteri che concedono l'account utente DCPROMO esistono in alcuni controller di dominio nel dominio, ma non in altri, verificare la latenza di replica semplice o un errore di replica sia in Active Directory che in Replica file system (FSR) / Replica DFSR (Distributed File System Replication).
    • Se il criterio è stato modificato di recente, disconnettersi e accedere all'account utente DCPROMO.

  4. Verificare che i criteri dei controller di dominio predefiniti siano collegati all'unità organizzativa dei controller di dominio e che tutti gli account computer del controller di dominio rimangano in tale unità organizzativa.

    Se gli account del computer del controller di dominio rimangono in un contenitore di unità organizzative alternativo, spostare tutti gli account del computer del controller di dominio nell'unità organizzativa di dominio oppure collegare i criteri dei controller di dominio predefiniti al contenitore di unità organizzative alternative.

  5. Verificare che la parte del file system dei criteri dei controller di dominio predefiniti esista nella condivisione SYSVOL del controller di dominio in uso per applicare i criteri nel computer alzato di livello o abbassato di livello.

    Se non è presente, può essere dovuto a uno o più dei motivi seguenti:

    • Latenza di replica in FRS/DFSR
    • Errore di replica in FRS/DFSR
    • Il criterio è stato eliminato da SYSVOL. Se il criterio è stato eliminato, contattare supporto tecnico Microsoft per ricreare il criterio mancante con il GUID dei criteri predefinito. Non ricreare manualmente i criteri con lo stesso nome e le stesse impostazioni del valore predefinito.

  6. I criteri o i criteri di dominio predefiniti in generale non si applicano all'utente connesso

    Per verificare l'ereditarietà dei criteri, eseguire il comando seguente per il filtro di Strumentazione gestione Windows (WMI) o il problema del descrittore di sicurezza che potrebbe impedire l'applicazione dei criteri:

    gpresult /h result.html

Ulteriori informazioni

  • Tabella1. Log da Promozione (esempio)

    DCPROMO. REGISTRO DCPROMOUI. REGISTRO
    [INFO] Creazione dell'oggetto NTDS Settings per questo controller di Dominio di Active Directory nell'helperDC> di ACTIVE Directory <remoto.contoso.com...
    [INFO] Replica della partizione della directory dello schema
    ...
    [INFO] Replicato il contenitore dello schema.
    [INFO] Dominio di Active Directory Services ha aggiornato la cache dello schema.
    [INFO] Replica della partizione della directory di configurazione
    ...
    [INFO] Replicato il contenitore di configurazione.
    [INFO] Errore: l'installazione guidata di Dominio di Active Directory Services non è riuscita a convertire il controller di dominio dell'account <computer alzato> di livello$ in un account controller di Dominio di Active Directory. (5)
    [INFO] EVENTLOG (Errore): NTDS Generale/Elaborazione interna: 1168
    Errore interno: si è verificato un errore di Active Directory Domain Services.

    Dati aggiuntivi

    Valore errore (decimale):
    -1073741823

    Valore errore (esadecimale):
    c0000001

    ID interno:
    300162a

    [INFO] EVENTLOG (informativo): NTDS Generale/Controllo del servizio: 1004
    Arresto di Servizi di dominio Active Directory completato.

    [INFO] NtdsInstall per a.com restituito 5
    [INFO] DsRolepInstallDs restituito 5
    [ERRORE] Impossibile installare nel servizio directory (5)
    [INFO] Avvio del servizio NETLOGON
    [INFO] Configurazione del servizio NETLOGON su 2 restituito 0
    [INFO] Operazione del controller di dominio tentata completata
    [INFO] DsRolepSetOperationDone ha restituito 0    		 Chiamata di DsRoleGetDcOperationResults
    Errore 0x0 (!0 => errore)
    Risultati dell'operazione:
    OperationStatus: 0x5 !0 => errore
    DisplayString: l'installazione guidata Dominio di Active Directory Services non è riuscita a convertire il controller di dominio dell'account computer <alzato> di livello$ a un account controller di Dominio di Active Directory.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Immettere ProgressDialog::UpdateText L'installazione guidata Dominio di Active Directory Services non è riuscita a convertire il controller di dominio dell'account <computer alzato> di livello$ a un account controller di Dominio di Active Directory.
    Immettere State::SetOperationResultsMessage L'installazione guidata Dominio di Active Directory Services non è riuscito a convertire il controller di dominio dell'account <computer alzato> di livello$ in un account controller di Dominio di Active Directory.
    Immettere State::SetOperationResultsFlags 0x0
    Eccezione rilevata
    catch completato
    gestione delle eccezioni
    Immettere State::ClearHiddenWhileUnattended
    Immettere EnableConsoleLocking
    Immettere RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Immettere RegistryKey::SetValue-DWORD DisableLockWorkstation
    Immettere il risultato State::SetOperationResults FAILURE
    Immettere ProgressDialog::UpdateText
    Immettere State::IsOperationRetryAllowed
    true
    credenziali non valide, hr=0x80070005
    Immettere getErrorMessage 80070005
    Immettere State::GetOperationResultsMessage L'Installazione guidata Dominio di Active Directory Services non è riuscito a convertire il controller di dominio dell'account <computer alzato> di livello$ a un account controller di Dominio di Active Directory.
    Immettere State::GetOperation REPLICA
    Immettere State::GetReplicaDomainDNSName nome di dominio dns di <destinazione>

  • Tabella 2. Log dall'abbassamento di livello (esempio)

    DCPROMO. REGISTRO DCPROMOUI. REGISTRO
    [INFO] Disinstallazione del servizio directory
    [INFO] Richiamo di NtdsDemote
    ...
    [INFO] Rimozione di oggetti Dominio di Active Directory Services che fanno riferimento al controller Dominio di Active Directory locale dal dominio> DNS del controller <Dominio di Active Directory remoto...
    [INFO] Errore: Dominio di Active Directory Servizi non è riuscito a configurare il controller di dominio dell'account <computer abbassato> di livello$ nel controller di dominio del> controller <di Dominio di Active Directory remoto.<Dominio> DNS. (5)
    [INFO] NtdsDemote ha restituito 5
    [INFO] DsRolepDemoteDs restituito 5
    [ERRORE] Impossibile abbassare di livello il servizio directory (5)
    ....    		 ....
    OperationStatus: 0x5 !0 => errore
    DisplayString: Dominio di Active Directory Servizi non è riuscito a configurare il nome dc dell'account <>computer$ nel controller di dominio del> controller di Dominio di Active Directory <remoto.<dominio> dns.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Immettere ProgressDialog::UpdateText Dominio di Active Directory Services non è riuscito a configurare il nome> dc dell'account <computer$ nel VM1-W7.a.com controller Dominio di Active Directory remoto.
    Immettere State::SetOperationResultsMessage Dominio di Active Directory Services non è riuscito a configurare il nome dc dell'account <>computer$ nel controller di dominio del> controller di Dominio di Active Directory <remoto.<Dominio> DNS.
    Immettere State::SetOperationResultsFlags 0x0
    ...
    credenziali non valide, hr=0x80070005
    Immettere getErrorMessage 80070005
    Immettere State::GetOperationResultsMessage Dominio di Active Directory Services non è riuscito a configurare il nome dc dell'account <>computer$ nel controller di supporto> del controller di Dominio di Active Directory <remoto.<Dominio> DNS.
    Immettere State::GetOperation DEMOTE
    Immettere State::GetParentDomainDnsName