この記事では、DCPROMO (ドメイン コントローラー プロモーター) で発生する Access の拒否エラーに対する解決策を示します。
元の KB 番号: 2002413
現象
Windows Server 2008 以降のバージョンのメンバー コンピューターをレプリカ ドメイン コントローラー (DC) に DCPROMO 昇格すると、次のエラーが発生して失敗します。
タイトル: Windows セキュリティ
メッセージ テキスト: ネットワーク資格情報
操作が失敗しました:Active Directory ドメイン サービス インストール ウィザードで、コンピューター アカウント<hostname>$ を Active Directory ドメイン コントローラー アカウントに変換できませんでした。 "アクセスが拒否されました"
DCPROMO 降格は、同じエラーで失敗する可能性があります。
タイトル: Windows セキュリティ
メッセージ テキスト: ネットワーク資格情報
操作が失敗しました:Active Directory ドメイン Services は、リモート Active Directory ドメイン コントローラー アカウントに対してコンピューター アカウント <hostname>$ <ヘルパー DC の完全修飾名を構成できませんでした>。 "アクセスが拒否されました"
原因
DCPROMO の実行に使用されるユーザー アカウントには、"委任に対して信頼されるコンピューターとユーザー アカウントを有効にする" ユーザー権限が付与されていません。
解決方法
Active Directory に既定のドメイン コントローラー ポリシーが存在することを確認します。
ドメイン コントローラー ポリシーが存在しない場合は、その条件が単純なレプリケーション待機時間、Active Directory レプリケーションエラー、またはポリシーが Active Directory から削除されたかどうかを評価します。 ポリシーが削除されている場合は、Microsoft サポートに連絡して、既定のポリシー GUID (グローバル一意識別子) で不足しているポリシーを再作成してください。 既定と同じ名前と設定でポリシーを手動で再作成しないでください。
既定のドメイン コントローラー ポリシーが一部のドメイン コントローラー上の Active Directory に存在するが、他のドメイン コントローラーには存在しない場合は、その不整合が単純なレプリケーション待機時間またはレプリケーションエラーの原因であるかどうかを評価します。 必要に応じて解決します。
サーバー アカウントが誤って削除されないように保護されていないことを確認します。
これを行うには、 Active Directory 管理センターに移動、ドメイン内の Computers 一覧でサーバーを見つけて、プロパティを開きます。 最初のセクションのオペレーティング システム情報のすぐ下で、 [誤削除から保護する ] チェック ボックスがオフになっていることを確認します。
ドメイン コントローラーへの昇格プロセスでは、サーバーのコンピューター アカウントが削除され、ドメイン コントローラーとして再追加されます。 このチェック ボックスをオンにした場合、この問題は発生しません。
DCPROMO 操作を実行するユーザー アカウントに、既定のドメイン コントローラー ポリシーの "委任に対して信頼されるコンピューターアカウントとユーザー アカウントを有効にする" ユーザー権限が付与されていることを確認します。
whoami /allを実行して、ユーザー セキュリティ トークンに "委任に対して信頼されるコンピューターアカウントとユーザー アカウントを有効にする" ユーザー権限が存在することを確認します。Note
既定では、この権限はターゲット ドメインの Administrators セキュリティ グループのメンバーに付与されます。 組み込みの Administrator アカウントは、このセキュリティ グループのメンバーですが、削除されている可能性があります。
- 組み込みの管理者グループ以外のユーザーが DCPROMO プロモーションを実行している場合は、そのユーザー アカウントを Administrators セキュリティ グループに追加するか、既定のドメイン コントローラー ポリシーでユーザー アカウントを "委任に対して信頼できるようにする" ユーザー アカウントを追加します。
- "コンピューターとユーザー アカウントを委任に対して信頼できるようにする" が最近変更されたか、DCPROMO ユーザー アカウントを許可するポリシーがドメイン内の一部のドメイン コントローラーに存在しますが、他のドメイン コントローラーには存在しません。Active Directory とファイル システム レプリケーション (FSR) / 分散ファイル システム レプリケーション (DFSR) の両方で、単純なレプリケーションの待機時間またはレプリケーションエラーを確認します。
- ポリシーが最近変更された場合は、DCPROMO ユーザー アカウントにサインアウトしてサインインさせます。
既定のドメイン コントローラー ポリシーがドメイン コントローラー OU にリンクされていること、およびすべての DC マシン アカウントがその OU に残っていることを確認します。
DC マシン アカウントが代替 OU コンテナーに残る場合は、すべての DC マシン アカウントをドメイン コントローラー OU に移動するか、既定のドメイン コントローラー ポリシーを代替 OU コンテナーにリンクします。
既定のドメイン コントローラー ポリシーのファイル システム部分が、昇格または降格されるコンピューターにポリシーを適用するために使用されている DC の SYSVOL 共有に存在することを確認します。
存在しない場合は、次の 1 つ以上の理由が考えられます。
- FRS/DFSR でのレプリケーション待機時間
- FRS/DFSR でのレプリケーションエラー
- ポリシーが SYSVOL から削除されました。 ポリシーが削除されている場合は、Microsoft サポートに連絡して、不足しているポリシーを既定のポリシー GUID で再作成してください。 既定と同じ名前と設定でポリシーを手動で再作成しないでください。
既定のドメイン ポリシーまたは一般的なポリシーがログオン ユーザーに適用されていない
ポリシーの継承、Windows Management Instrumentation (WMI) フィルター処理、またはポリシーの適用を妨げている可能性があるセキュリティ記述子の問題を確認するには、次のコマンドを実行します。
gpresult /h result.html
詳細
表 1. 昇格からのログ (例)
DCPROMO。丸太 DCPROMOUI。丸太 [INFO]リモート AD DC <helperDC>.contoso.com.. で、このActive Directory ドメイン コントローラーの NTDS 設定オブジェクトを作成します。
[INFO]スキーマ ディレクトリ パーティションのレプリケート
...
[INFO]スキーマ コンテナーをレプリケートしました。
[INFO]Active Directory ドメイン Services によってスキーマ キャッシュが更新されました。
[INFO]構成ディレクトリ パーティションのレプリケート
...
[INFO]構成コンテナーをレプリケートしました。
[INFO]エラー - Active Directory ドメイン サービス インストール ウィザードで、昇格中のコンピューター アカウント <DC>$ を Active Directory ドメイン コントローラー アカウントに変換できませんでした。 (5)
[INFO]EVENTLOG (エラー): NTDS 全般/内部処理: 1168
内部エラー: An Active Directory ドメイン サービスのエラーが発生しました。
追加データ
エラー値 (10 進数):
-1073741823
エラー値 (16 進数):
c0000001
内部 ID:
300162a
[INFO]EVENTLOG (情報): NTDS General/Service Control: 1004
Active Directory Domain Services を正常にシャットダウンしました。
[INFO]ntdsInstall for a.com 戻り値 5
[INFO]DsRolepInstallDs が 5 を返しました
[ERROR]ディレクトリ サービスへのインストールに失敗しました (5)
[INFO]サービス NETLOGON の開始
[INFO]サービス NETLOGON を 2 に構成すると 0 が返される
[INFO]試行されたドメイン コントローラー操作が完了しました
[INFO]DsRolepSetOperationDone が 0 を返しましたDsRoleGetDcOperationResults の呼び出し
エラー 0x0 (!0 => エラー)
操作の結果:
OperationStatus: !0 => エラー 0x5
DisplayString: Active Directory ドメイン サービス インストール ウィザードで、昇格中のコンピューター アカウント <DC>$ を Active Directory ドメイン コントローラー アカウントに変換できませんでした。
ServerInstalledSite: (null)
OperationResultsFlags: 0x0
「ProgressDialog::UpdateText」と入力します。Active Directory ドメイン サービス インストール ウィザードで、昇格中のコンピューター アカウント<dc>$ を Active Directory ドメイン コントローラー アカウントに変換できませんでした。
Enter State::SetOperationResultsMessage Active Directory ドメイン Services インストール ウィザードで、昇格中のコンピューター アカウント<dc>$ を Active Directory ドメイン コントローラー アカウントに変換できませんでした。
Enter State::SetOperationResultsFlags 0x0
例外がキャッチされました
catch completed
例外の処理
Enter State::ClearHiddenWhileUnattended
「EnableConsoleLocking」と入力します
Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Enter RegistryKey::SetValue-DWORD DisableLockWorkstation
Enter State::SetOperationResults result FAILURE
Enter ProgressDialog::UpdateText
Enter State::IsOperationRetryAllowed
true
資格情報が無効でした。hr=0x80070005
GetErrorMessage 80070005を入力します
Enter State::GetOperationResultsMessage Active Directory ドメイン Services インストール ウィザードは、昇格中のコンピューター アカウント<dc>$ をActive Directory ドメインコントローラー アカウントに変換できませんでした。
Enter State::GetOperation REPLICA
Enter State::GetReplicaDomainDNSName <target dns domain name>表 2 降格からのログ (例)
DCPROMO。丸太 DCPROMOUI。丸太 [INFO]ディレクトリ サービスのアンインストール
[INFO]NtdsDemote の呼び出し
...
[INFO]リモート Active Directory ドメイン コントローラー <DNS ドメインからローカル Active Directory ドメイン コントローラーを参照する Active Directory ドメイン Services オブジェクト>...
[INFO]エラー - Active Directory ドメイン Services がリモート Active Directory ドメイン コントローラー <helper DC>.< で降格するコンピューター アカウント <dc を構成できませんでした>$DNS ドメイン>。 (5)
[INFO]NtdsDemote が 5 を返しました
[INFO]DsRolepDemoteDs が 5 を返しました
[ERROR]ディレクトリ サービスを降格できませんでした (5)
........
OperationStatus: !0 => エラー 0x5
DisplayString: Active Directory ドメイン Services は、リモート Active Directory ドメイン コントローラー <helper DC>.< でコンピューター アカウント <dc name>$ を構成できませんでしたdns ドメイン>。
ServerInstalledSite: (null)
OperationResultsFlags: 0x0
「ProgressDialog::UpdateText Active Directory ドメイン Services では、リモート Active Directory ドメイン コントローラー VM1-W7.a.com でコンピューター アカウント <dc name>$ を構成できませんでした」と入力します。
Enter State::SetOperationResultsMessage Active Directory ドメイン Services は、リモート Active Directory ドメイン コントローラー <helper DC>.< でコンピューター アカウント <dc name>$ を構成できませんでしたDNS ドメイン>。
Enter State::SetOperationResultsFlags 0x0
...
資格情報が無効でした。hr=0x80070005
GetErrorMessage 80070005を入力します
Enter State::GetOperationResultsMessage Active Directory ドメイン Services は、リモート Active Directory ドメイン コントローラー <helper DC>.< でコンピューター アカウント <dc name>$ を構成できませんでしたDNS ドメイン>。
Enter State::GetOperation DEMOTE
Enter State::GetParentDomainDnsName