NTDS Settings オブジェクトを作成しようとすると"アクセスが拒否されました" エラー

  • [アーティクル]

この記事では、既存のドメインで新しい Windows Server 2012 R2 ドメイン コントローラーを昇格するときに発生するエラー (Access が拒否される) を修正するソリューションを提供します。

適用対象: Windows Server 2012 R2
元の KB 番号: 3207962

現象

既存のドメイン内の新しい Windows Server 2012 R2 ドメイン コントローラーを昇格しようとすると、"アクセスが拒否されました" エラーで操作が失敗します。 この問題は、ユーザーが Domain Admins または Enterprise Admins グループのメンバーである場合でも発生します。

この状況では、管理者に次のエラー メッセージが表示されます。

タイトル: Windows セキュリティ
メッセージ テキスト: ネットワーク資格情報

操作が失敗しました。Active Directory Domain Servicesは、リモート Active Directory ドメイン コントローラー アカウント<のヘルパー DC> の完全修飾名に対してコンピューター アカウント<の hostname>$ を構成できませんでした。 "アクセスが拒否されました"

このエラーは、新しいドメイン コントローラーの NTDS Settings オブジェクトを追加するときに発生し、次のエラー メッセージが返されます。

操作は次の理由で失敗しました。

Active Directory Domain Services、リモート AD DC DCName.ChildDomain.domain.com で、このActive Directory ドメイン コントローラー CN=NTDS 設定、CN=TEST-DC、CN=Servers、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com の NTDS Settings オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。

"アクセスが拒否されました。

さらに、DCPromo.log ファイルには次のエラーが表示されます。

2705DateTime[INFO]

エラー - Active Directory Domain Servicesリモート AD DC DCName.ChildDomain.domain.com で、このActive Directory ドメイン コントローラー CN=NTDS 設定、CN=TEST-DC、CN=Servers、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com の NTDS Settings オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。 (5)

DateTime[INFO] EVENTLOG (Error): NTDS General/Internal Processing: 1168 内部エラー: Active Directory Domain Services エラーが発生しました。

追加データ

エラー値 (10 進数):

-1073741823

エラー値 (16 進数):

c0000001

内部 ID: 30017c6

...
DateTime[INFO] NtdsInstall for ChildDomain.domain.com returned 5
DateTime [INFO] DsRolepInstallDs が返されました 5
DateTime [ERROR] Directory Service へのインストールに失敗しました (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) が 8001 で失敗しました
DateTime[WARNING] システム ボリュームのインストールを中止できませんでした (8001)
DateTime[INFO] Starting service NETLOGON
DateTime[INFO] サービス NETLOGON を 2 に構成すると 0 が返される
DateTime[INFO] 試行されたドメイン コントローラー操作が完了しました

ここで、エラーは次のようにマップされます。

エラー コード、シンボリック名、エラーの説明、およびヘッダーを含むエラー マッピング。

原因

この問題は、ドメインのドメイン パーティション上の Domain Admins グループと Enterprise Admins グループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がないために発生します。

解決方法

この問題を解決するには、次の手順を実行します。

  1. ナレッジ ベース記事の 「解決策」セクションのすべての手順と条件が、環境に対 して 当てはまることを確認2002413。

  2. ユーザーにも SeEnableDelegationPrivilege アクセス許可があることを確認してもドメイン コントローラーの昇格が失敗する場合は、ADSIEdit.msc をチェックして、ドメイン パーティションに対するユーザーの有効なアクセス許可を確認します。

    1. [スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。

    2. [既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ プロパティ] をクリックします。

    3. [ セキュリティ ] タブで、[ 詳細設定 ] ボタンをクリックします。

    4. [有効なアクセス] タブで、DCPromo で失敗している操作を実行しているユーザーのユーザーまたはグループ名を入力します。

    5. ドメイン制御アクセス許可のレプリカの追加/削除が許可されているかどうかを確認します。

      ドメイン制御アクセス許可でレプリカを追加/削除します。

  3. ユーザーまたはグループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がない場合は、ADSIEdit.msc を使用して追加します。

    1. [スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。

    2. [既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ プロパティ] をクリックします。

    3. [ セキュリティ ] タブで、[ 詳細設定 ] ボタンをクリックします。

    4. [アクセス許可] タブで、次のように目的のユーザーまたはグループのドメイン制御アクセス許可にレプリカの追加/削除を追加します。

      型: 許可
      適用対象: このオブジェクトのみ

詳細

注:

ドメイン コントローラーの昇格または降格が "アクセスが拒否されました" エラーで失敗する理由が他にもあります。 詳細については、「 KB 2002413」を参照してください。