Udostępnij za pośrednictwem

Błąd DCPROMO kończy się niepowodzeniem z powodu błędu "Odmowa dostępu", jeśli użytkownik nie otrzymuje prawa użytkownika "zaufane dla delegowania"

Ten artykuł zawiera rozwiązanie błędu odmowy dostępu, który występuje z DCPROMO (Promotor kontrolera domeny).

Oryginalny numer KB: 2002413

Symptomy

Podwyższenie poziomu DCPROMO komputera członkowskiego systemu Windows Server 2008 lub nowszej wersji do repliki kontrolera domeny (DC) kończy się niepowodzeniem z powodu następującego błędu:

Tytuł: Zabezpieczenia Windows
Tekst komunikatu: poświadczenia sieciowe
Operacja nie powiodła się, ponieważ: Kreator instalacji usług domena usługi Active Directory nie może przekonwertować nazwy> hosta konta <komputera$ na konto kontrolera domena usługi Active Directory. "Odmowa dostępu"

Degradacja DCPROMO może zakończyć się niepowodzeniem z powodu tego samego błędu:

Tytuł: Zabezpieczenia Windows
Tekst komunikatu: poświadczenia sieciowe
Operacja nie powiodła się, ponieważ: usługi domena usługi Active Directory Nie można skonfigurować nazwy> hosta konta komputera$ do konta <<zdalnego kontrolera domena usługi Active Directory w pełni kwalifikowaną nazwę kontrolera domeny pomocnika>. "Odmowa dostępu"

Przyczyna

Konto użytkownika używane do wykonywania dcPROMO nie otrzymało prawa użytkownika "Włącz konta komputerów i użytkowników, aby były zaufane dla delegowania".

Rozwiązanie

  1. Sprawdź, czy w usłudze Active Directory istnieją domyślne zasady kontrolerów domeny.

    Jeśli zasady kontrolera domeny nie istnieją, sprawdź, czy ten warunek jest spowodowany prostym opóźnieniem replikacji, niepowodzeniem replikacji usługi Active Directory lub czy zasady zostały usunięte z usługi Active Directory. Jeśli zasady zostały usunięte, skontaktuj się z pomoc techniczna firmy Microsoft, aby ponownie utworzyć brakujące zasady przy użyciu domyślnego identyfikatora GUID zasad (globalnie unikatowy identyfikator). Nie należy ręcznie ponownie utworzyć zasad o tej samej nazwie i ustawieniach co domyślne.

    Jeśli domyślne zasady kontrolerów domeny istnieją w usłudze Active Directory na niektórych kontrolerach domeny, ale nie innych, należy ocenić, czy niespójność jest spowodowana prostym opóźnieniem replikacji, czy niepowodzeniem replikacji. Rozwiąż problem zgodnie z wymaganiami.

  2. Sprawdź, czy konto serwera nie jest chronione przed przypadkowym usunięciem.

    Aby to zrobić, przejdź do Centrum administracyjnego usługi Active Directory, znajdź serwer w obszarze Komputery znajdujące się na liście w domenie, otwórz właściwości. W pierwszej sekcji, bezpośrednio w obszarze informacji o systemie operacyjnym, upewnij się, że pole wyboru Chroń przed przypadkowym usunięciem jest niezaznaczone.

    W procesie podniesienia uprawnień do kontrolera domeny konto komputera dla serwera zostanie usunięte i ponownie dodane jako kontroler domeny. Jeśli to pole wyboru zostanie kliknięte, nie można tego zrobić.

  3. Sprawdź, czy konto użytkownika wykonuje operację DCPROMO, zostało przyznane uprawnienie użytkownika "Włącz konta komputerów i użytkowników, aby były zaufane dla delegowania" w domyślnych zasadach kontrolerów domeny.

    Uruchom polecenie whoami /all , aby sprawdzić, czy w tokenie zabezpieczającym użytkowników istnieje prawo użytkownika "Włącz konta komputerów i użytkowników, które mają być zaufane dla delegowania".

    Uwaga 16.

    Domyślnie to prawo jest przyznawane członkom grupy zabezpieczeń Administratorzy w domenie docelowej. Wbudowane konto administratora jest członkiem tej grupy zabezpieczeń, ale mogło zostać usunięte.

    • Jeśli użytkownik inny niż wbudowana grupa administratorów wykonuje promocje DCPROMO, dodaj to konto użytkownika do grupy zabezpieczeń Administratorzy LUB dodaj konto użytkownika "Włącz konta komputerów i użytkowników, aby być zaufane dla delegowania" prawo użytkownika w domyślnych zasadach kontrolerów domeny.
    • Opcja "Włącz konta komputerów i użytkowników, które mają być zaufane dla delegowania", została ostatnio zmodyfikowana lub zasady udzielające konta użytkownika DCPROMO na niektórych kontrolerach domeny w domenie, ale nie innych, sprawdź, czy nie ma prostego opóźnienia replikacji lub niepowodzenia replikacji zarówno w usłudze Active Directory, jak i replikacji systemu plików (FSR) / replikacji rozproszonego systemu plików (DFSR).
    • Jeśli zasady zostały ostatnio zmodyfikowane, wyloguj się i zaloguj się na koncie użytkownika DCPROMO.

  4. Sprawdź, czy domyślne zasady kontrolerów domeny są połączone z jednostki organizacyjnej kontrolerów domeny i że wszystkie konta maszyny kontrolera domeny pozostają w tej jednostki organizacyjnej.

    Jeśli konta maszyny kontrolera domeny pozostają w alternatywnym kontenerze jednostki organizacyjnej, przenieś wszystkie konta maszyny kontrolera domeny do jednostki organizacyjnej kontrolerów domeny lub połącz domyślne zasady kontrolerów domeny z alternatywnym kontenerem jednostki organizacyjnej.

  5. Sprawdź, czy część domyślnych zasad kontrolerów domeny systemu plików istnieje w udziale SYSVOL kontrolera domeny używanego do stosowania zasad na komputerze, który jest promowany lub obniżany.

    Jeśli nie istnieje, może to być spowodowane co najmniej jednym z następujących powodów:

    • Opóźnienie replikacji w usłudze FRS/DFSR
    • Błąd replikacji w usłudze FRS/DFSR
    • Zasady zostały usunięte z folderu SYSVOL. Jeśli zasady zostały usunięte, skontaktuj się z pomoc techniczna firmy Microsoft, aby ponownie utworzyć brakujące zasady przy użyciu domyślnego identyfikatora GUID zasad. Nie należy ręcznie ponownie utworzyć zasad o tej samej nazwie i ustawieniach co domyślne.

  6. Domyślne zasady domeny lub zasady ogólne nie są stosowane do zalogowanego użytkownika

    Aby sprawdzić dziedziczenie zasad, filtrowanie instrumentacji zarządzania Windows (WMI) lub problem deskryptora zabezpieczeń, który może uniemożliwiać stosowanie zasad, uruchom następujące polecenie:

    gpresult /h result.html

Więcej informacji

  • Tabela1. Dzienniki z promocji (przykład)

    DCPROMO. DZIENNIK DCPROMOUI. DZIENNIK
    [INFO] Trwa tworzenie obiektu Ustawień NTDS dla tego kontrolera domena usługi Active Directory na zdalnym pomocniku kontrolera domeny usługi ADDC.contoso.com<>...
    [INFO] Replikowanie partycji katalogu schematu
    ...
    [INFO] Zreplikował kontener schematu.
    [INFO] domena usługi Active Directory Services zaktualizowały pamięć podręczną schematu.
    [INFO] Replikowanie partycji katalogu konfiguracji
    ...
    [INFO] Zreplikowany kontener konfiguracji.
    [INFO] Błąd — Kreator instalacji usług domena usługi Active Directory nie może przekonwertować kontrolera domeny konta <komputera, który jest promowany>$ na konto kontrolera domena usługi Active Directory. (5)
    [INFO] EVENTLOG (błąd): NTDS — ogólne/wewnętrzne przetwarzanie: 1168
    Błąd wewnętrzny: Wystąpił błąd w usługach domenowych Active Directory.

    Dodatkowe dane

    Wartość błędu (dziesiętna):
    -1073741823

    Wartość błędu (szesnastkowy):
    c0000001

    Identyfikator wewnętrzny:
    300162a

    [INFO] EVENTLOG (Informational): NTDS General / Service Control: 1004
    Usługi Active Directory Domain Services zostały pomyślnie zamknięte.

    [INFO] NtdsInstall dla a.com zwrócił 5
    [INFO] Identyfikatory DsRolepInstallD zwróciły 5
    [BŁĄD] Nie można zainstalować w usłudze katalogowej (5)
    [INFO] Uruchamianie usługi NETLOGON
    [INFO] Konfigurowanie usługi NETLOGON na 2 zwrócone 0
    [INFO] Podjęto próbę wykonania operacji kontrolera domeny
    [INFO] Funkcja DsRolepSetOperationDone zwróciła wartość 0    		 Wywoływanie elementu DsRoleGetDcOperationResults
    Błąd 0x0 (!0 => błąd)
    Wyniki operacji:
    OperationStatus: 0x5 !0 => błąd
    DisplayString: Kreator instalacji usług domena usługi Active Directory nie może przekonwertować kontrolera domeny konta <komputera, który jest promowany>$ na konto kontrolera domena usługi Active Directory.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Wprowadź ProgressDialog::UpdateText Kreator instalacji usług domena usługi Active Directory nie może przekonwertować kontrolera domeny konta <komputera, który jest promowany>$ na konto kontrolera domena usługi Active Directory.
    Wprowadź state::SetOperationResultsMessage Kreator instalacji usług domena usługi Active Directory nie może przekonwertować kontrolera domeny konta <komputera na> konto kontrolera domena usługi Active Directory.
    Wprowadź state::SetOperationResultsFlags 0x0
    Przechwycony wyjątek
    catch completed (ukończone przechwytywanie)
    obsługa wyjątku
    Wprowadź stan::ClearHiddenWhileUnattended
    Wprowadź wartość EnableConsoleLocking
    Wprowadź Ciąg RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Wprowadź ciąg RegistryKey::SetValue-DWORD DisableLockWorkstation
    Wprowadź state::SetOperationResults result FAILURE (Błąd wyniku State::SetOperationResults)
    Wprowadź ciąg ProgressDialog::UpdateText
    Wprowadź state::IsOperationRetryAllowed
    prawda
    poświadczenia były nieprawidłowe, hr=0x80070005
    Wprowadź 80070005 GetErrorMessage
    Wprowadź state::GetOperationResultsMessage Kreator instalacji usług domena usługi Active Directory nie mógł przekonwertować kontrolera domeny konta <komputera na> konto kontrolera domena usługi Active Directory.
    Wprowadź state::GetOperation REPLICA
    Wprowadź state::GetReplicaDomainDNSName <docelową nazwę domeny DNS>

  • Tabela 2. Dzienniki z degradacji (przykład)

    DCPROMO. DZIENNIK DCPROMOUI. DZIENNIK
    [INFO] Odinstalowywanie usługi katalogowej
    [INFO] Wywoływanie NtdsDemote
    ...
    [INFO] Trwa usuwanie obiektów usług domena usługi Active Directory odwołujących się do lokalnego kontrolera domena usługi Active Directory z domeny> DNS zdalnego kontrolera domena usługi Active Directory kontrolera<...
    [INFO] Błąd — usługi domena usługi Active Directory Nie można skonfigurować kontrolera domeny konta <komputera, który został zdegradowany>$ na zdalnym kontrolerze kontrolera domena usługi Active Directory kontrolera domeny<>.<Domena> DNS. (5)
    [INFO] NtdsDemote zwrócił 5
    [INFO] Identyfikatory DsRolepDemoteD zwróciły 5
    [BŁĄD] Nie można obniżyć poziomu usługi katalogowej (5)
    ....    		 ....
    OperationStatus: 0x5 !0 => błąd
    DisplayString: usługa domena usługi Active Directory Services nie mogła skonfigurować nazwy> kontrolera domeny konta <komputera$ na zdalnym kontrolerze domena usługi Active Directory kontroler <>domeny.<domena> dns.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Wprowadź progressDialog::UpdateText domena usługi Active Directory Services nie można skonfigurować konta <komputera dc name>$ na zdalnym kontrolerze domena usługi Active Directory VM1-W7.a.com.
    Wprowadź state::SetOperationResultsMessage domena usługi Active Directory Services nie można skonfigurować nazwy> kontrolera domeny konta <komputera$ na zdalnym kontrolerze domena usługi Active Directory Kontroler <kontrolera> domeny.<Domena> DNS.
    Wprowadź state::SetOperationResultsFlags 0x0
    ...
    poświadczenia były nieprawidłowe, hr=0x80070005
    Wprowadź 80070005 GetErrorMessage
    Wprowadź state::GetOperationResultsMessage domena usługi Active Directory Services nie można skonfigurować nazwy dc konta <komputera$ na zdalnym kontrolerze domena usługi Active Directory kontroler <domeny>.<>Domena> DNS.
    Wprowadź State::GetOperation DEMOTE
    Wprowadź state::GetParentDomainDnsName