Udostępnij za pośrednictwem

Błąd "Odmowa dostępu" podczas próby utworzenia obiektu ustawień NTDS

Ten artykuł zawiera rozwiązanie umożliwiające naprawienie błędu (odmowa dostępu) występującego podczas podwyższania poziomu kontrolerów domeny systemu Windows Server 2012 R2 lub nowszych w istniejącej domenie.

Oryginalny numer KB: 3207962

Symptomy

Podczas próby podwyższenia poziomu kontrolerów domeny systemu Windows Server 2012 R2 lub nowszego w istniejącej domenie operacja kończy się niepowodzeniem z powodu błędu "Odmowa dostępu". Ten problem występuje nawet wtedy, gdy użytkownik jest członkiem grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa.

W takiej sytuacji administrator widzi następujący komunikat o błędzie:

Tytuł: Zabezpieczenia Windows
Tekst komunikatu: poświadczenia sieciowe

Operacja nie powiodła się, ponieważ: usługi domena usługi Active Directory Nie można skonfigurować nazwy> hosta konta komputera$ do konta <<zdalnego kontrolera domena usługi Active Directory w pełni kwalifikowaną nazwę kontrolera domeny pomocnika>. "Odmowa dostępu"

Błąd występuje podczas dodawania obiektu USTAWIEŃ NTDS dla nowego kontrolera domeny, zwracając następujący komunikat o błędzie:

Operacja nie powiodła się, ponieważ:

domena usługi Active Directory Services nie można utworzyć obiektu ustawień NTDS dla tego kontrolera domena usługi Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com na zdalnym kontrolerze domeny usługi AD DCName.ChildDomain.domain.com. Upewnij się, że podane poświadczenia sieciowe mają wystarczające uprawnienia.

"Odmowa dostępu".

Ponadto plik DCPromo.log pokazuje następujące błędy:

2705DateTime[INFO]

Błąd — usługi domena usługi Active Directory nie mogły utworzyć obiektu ustawień NTDS dla tego kontrolera domena usługi Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com na zdalnym kontrolerze domeny usługi AD DCName.ChildDomain.domain.com. Upewnij się, że podane poświadczenia sieciowe mają wystarczające uprawnienia. (5)

DateTime[INFO] EVENTLOG (Błąd): NTDS Ogólne/ Wewnętrzne przetwarzanie: 1168 Wewnętrzny błąd: wystąpił błąd usługi domena usługi Active Directory.

Dodatkowe dane

Wartość błędu (dziesiętna):

-1073741823

Wartość błędu (szesnastkowy):

c0000001

Wewnętrzny identyfikator: 30017c6

...
DateTime[INFO] NtdsInstall dla ChildDomain.domain.com zwróconych 5
DateTime [INFO] DsRolepInstallDs zwrócił 5
Nie można zainstalować daty/godziny [ERROR] w usłudze katalogowej (5)
DateTime[ERROR] Niepowodzenie rozszerzenia DsRolepFinishSysVolPropagation (przerwanie podwyższania poziomu) z błędem 8001
DateTime[WARNING] Nie można przerwać instalacji woluminu systemowego (8001)
DateTime[INFO] Uruchamianie usługi NETLOGON
DateTime[INFO] Konfigurowanie usługi NETLOGON na 2 zwrócone 0
DateTime[INFO] Podjęto próbę wykonania operacji kontrolera domeny

Gdzie błędy są mapowania na następujące elementy:

Kod błędu: 0xc0000001
Nazwa symboliczna: STATUS_UNSUCCESSFUL
Opis błędu: {Operacja nie powiodła się} Żądana operacja zakończyła się niepowodzeniem.

Kod błędu: 0x5
Nazwa symboliczna: ERROR_ACCESS_DENIED
Opis błędu: Odmowa dostępu.

Mapowania błędów zawierające kod błędu, nazwa symboliczna, opis błędu i nagłówek.

Przyczyna

Ten problem występuje, ponieważ brakuje uprawnienia Dodaj/Usuń replikę w domenie dla grup Administratorzy domeny i Administratorzy przedsiębiorstwa na partycji domeny domeny.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj poniższe czynności:

  1. Sprawdź, czy wszystkie kroki i warunki w sekcji "Rozwiązanie" artykułu bazy wiedzy 2002413 są prawdziwe dla danego środowiska.

  2. Jeśli podwyższenie poziomu kontrolera domeny nadal kończy się niepowodzeniem nawet po upewnieniu się, że użytkownik ma również uprawnienie SeEnableDelegationPrivilege, sprawdź ADSIEdit.msc, aby zweryfikować obowiązujące uprawnienia użytkownika dla partycji domeny:

    1. Kliknij przycisk Start, kliknij pozycję Uruchom, a następnie wpisz adsiedit.msc.

    2. Rozwiń węzeł Domyślny kontekst nazewnictwa, kliknij prawym przyciskiem myszy pozycję DC=domena,DC=com, a następnie kliknij polecenie Właściwości.

    3. Na karcie Zabezpieczenia kliknij przycisk Zaawansowane.

    4. Na karcie Skuteczny dostęp wprowadź nazwę użytkownika lub grupy użytkownika, który wykonuje operację, która kończy się niepowodzeniem w trybie DCPromo.

    5. Upewnij się, że udzielono uprawnień dostępu do dodawania/usuwania repliki w kontroli domeny.

      Dodawanie/usuwanie repliki w uprawnieniach dostępu kontroli domeny.

  3. Jeśli brakuje uprawnienia Dodaj/Usuń replikę w domenie dla użytkownika lub grupy, dodaj ją przy użyciu narzędzia ADSIEdit.msc:

    1. Kliknij przycisk Start, kliknij pozycję Uruchom, a następnie wpisz adsiedit.msc.

    2. Rozwiń węzeł Domyślny kontekst nazewnictwa, kliknij prawym przyciskiem myszy pozycję DC=domena,DC=com, a następnie kliknij polecenie Właściwości.

    3. Na karcie Zabezpieczenia kliknij przycisk Zaawansowane.

    4. Na karcie Uprawnienia dodaj/usuń replikę w uprawnieniach dostępu kontroli domeny dla żądanego użytkownika lub grupy w następujący sposób:

      Typ: Zezwalaj
      Dotyczy: tylko ten obiekt

Więcej informacji

Uwaga 16.

Może istnieć dodatkowa przyczyna niepowodzenia podwyższania poziomu lub obniżania poziomu kontrolera domeny z powodu błędu "Odmowa dostępu". Aby uzyskać więcej informacji, zobacz kb 2002413.