Share via

Errore "Accesso negato" quando si tenta di creare l'oggetto Impostazioni NTDS

  • Articolo

Questo articolo fornisce una soluzione per correggere un errore (Accesso negato) che si verifica quando si alza di livello nuovi controller di dominio Windows Server 2012 R2 in un dominio esistente.

Si applica a: Windows Server 2012 R2
Numero KB originale: 3207962

Sintomi

Quando si tenta di alzare di livello nuovi controller di dominio Windows Server 2012 R2 in un dominio esistente, l'operazione ha esito negativo con un errore "Accesso negato". Questo problema si verifica anche quando l'utente è membro del gruppo Domain Admins o Enterprise Admins.

In questo caso, l'amministratore visualizza il messaggio di errore seguente:

Titolo: Sicurezza di Windows
Testo del messaggio: Credenziali di rete

L'operazione non è riuscita perché: Active Directory Domain Services non è stato possibile configurare il nome host dell'account <computer$ per l'account <del controller di Dominio di Active Directory remoto nome completo del controller di dominio helper>.> "Accesso negato"

L'errore si verifica quando si aggiunge l'oggetto Impostazioni NTDS per il nuovo controller di dominio, restituendo il messaggio di errore seguente:

L'operazione non è riuscita perché:

Active Directory Domain Services non è stato possibile creare l'oggetto Impostazioni NTDS per questo Dominio di Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com nella DCName.ChildDomain.domain.com remota del controller di dominio di Active Directory. Verificare che le credenziali di rete specificate dispongano di autorizzazioni sufficienti.

"L'accesso è negato".

Inoltre, il file DCPromo.log mostra gli errori seguenti:

2705DateTime[INFO]

Errore: Active Directory Domain Services impossibile creare l'oggetto Impostazioni NTDS per questo Dominio di Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com nella DCName.ChildDomain.domain.com remota del controller di dominio di Active Directory. Verificare che le credenziali di rete specificate dispongano di autorizzazioni sufficienti. (5)

DateTime[INFO] EVENTLOG (Errore): Elaborazione generale/interna NTDS: 1168 Errore interno: si è verificato un errore di Active Directory Domain Services.

Dati aggiuntivi

Valore di errore (decimale):

-1073741823

Valore di errore (esadecimale):

c0000001

ID interno: 30017c6

...
DateTime[INFO] NtdsInstall for ChildDomain.domain.com returned 5
DateTime [INFO] DsRolepInstallDs ha restituito 5
DateTime [ERRORE] Impossibile installare nel servizio directory (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) failed with 8001
DateTime[WARNING] Impossibile interrompere l'installazione del volume di sistema (8001)
DateTime[INFO] Avvio del servizio NETLOGON
DateTime[INFO] Configurazione del servizio NETLOGON su 2 restituito 0
DateTime[INFO] L'operazione del controller di dominio tentata è stata completata

Dove gli errori sono mappati al seguente:

Mapping degli errori che contengono codice di errore, nome simbolico, descrizione dell'errore e intestazione.

Causa

Questo problema si verifica perché l'autorizzazione Aggiungi/Rimuovi replica nel dominio non è presente per i gruppi Domain Admins ed Enterprise Admins nella partizione di dominio del dominio.

Risoluzione

Per risolvere il problema, seguire la procedura seguente:

  1. Verificare che tutti i passaggi e le condizioni nella sezione "Risoluzione" dell'articolo della Knowledge Base 2002413 siano validi per l'ambiente.

  2. Se l'innalzamento di livello del controller di dominio continua a non riuscire anche dopo aver verificato che l'utente disponga anche dell'autorizzazione SeEnableDelegationPrivilege, controllare ADSIEdit.msc per verificare le autorizzazioni valide dell'utente per la partizione di dominio:

    1. Fare clic su Start, fare clic su Esegui e digitare adsiedit.msc.

    2. Espandere Contesto di denominazione predefinito, fare clic con il pulsante destro del mouse su DC=domain,DC=com e quindi scegliere Proprietà.

    3. Nella scheda Sicurezza fare clic sul pulsante Avanzate .

    4. Nella scheda Accesso effettivo immettere il nome dell'utente o del gruppo che esegue l'operazione che ha esito negativo in DCPromo.

    5. Verificare se è stata concessa l'autorizzazione di accesso aggiungi/rimuovi replica nel controllo di dominio.

      Aggiungere/rimuovere una replica nell'autorizzazione di accesso del controllo di dominio.

  3. Se l'autorizzazione Aggiungi/Rimuovi replica nel dominio è mancante per l'utente o il gruppo, aggiungerla usando ADSIEdit.msc:

    1. Fare clic su Start, fare clic su Esegui e digitare adsiedit.msc.

    2. Espandere Contesto di denominazione predefinito, fare clic con il pulsante destro del mouse su DC=domain,DC=com e quindi scegliere Proprietà.

    3. Nella scheda Sicurezza fare clic sul pulsante Avanzate .

    4. Nella scheda Autorizzazioni aggiungere l'autorizzazione di accesso aggiungi/rimuovi replica nel controllo di dominio per l'utente o il gruppo desiderato come indicato di seguito:

      Tipo: Consenti
      Si applica a: Solo questo oggetto

Ulteriori informazioni

Nota

potrebbero esserci altri motivi per cui l'innalzamento o l'abbassamento di livello di un controller di dominio non riesce con un errore "Accesso negato". Per altre informazioni, vedere KB 2002413.