Share via

Erro "Acesso é negado" ao tentar criar o objeto Configurações do NTDS

  • Artigo

Este artigo fornece uma solução para corrigir um erro (o Access é negado) que ocorre quando você promove novos controladores de domínio Windows Server 2012 R2 em um domínio existente.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 3207962

Sintomas

Quando você tenta promover novos controladores de domínio Windows Server 2012 R2 em um domínio existente, a operação falha com um erro "O acesso é negado". Esse problema ocorre mesmo quando o usuário é membro do grupo administradores de domínio ou administradores corporativos.

Nessa situação, o administrador vê a seguinte mensagem de erro:

Título: Segurança do Windows
Texto da Mensagem: Credenciais de Rede

A operação falhou porque: Active Directory Domain Services não pôde configurar o nome de host da conta <de computador$ para a conta <de controlador de Domínio do Active Directory remota totalmente qualificada nome do auxiliar DC>.> "O acesso é negado"

A falha ocorre ao adicionar o objeto Configurações do NTDS para o novo Controlador de Domínio, retornando a seguinte mensagem de erro:

A operação falhou porque:

Active Directory Domain Services não pôde criar o objeto Configurações do NTDS para este Domínio do Active Directory Controlador CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com no DCName.ChildDomain.domain.com remoto do AD DC. Verifique se as credenciais de rede fornecidas têm permissões suficientes.

"O acesso foi negado."

Além disso, o arquivo DCPromo.log mostra os seguintes erros:

2705DateTime[INFO]

Erro – Active Directory Domain Services não pôde criar o objeto Configurações do NTDS para este Domínio do Active Directory Controlador CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com no DCName.ChildDomain.domain.com remoto do AD DC. Verifique se as credenciais de rede fornecidas têm permissões suficientes. (5)

DateTime[INFO] EVENTLOG (Erro): Processamento Geral/Interno do NTDS: 1168 Erro interno: ocorreu um erro Active Directory Domain Services.

Dados adicionais

Valor de erro (decimal):

-1073741823

Valor de erro (hex):

c0000001

ID interna: 30017c6

...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com retornado 5
DateTime [INFO] DsRolepInstallDs retornados 5
DateTime [ERROR] Falha ao instalar no Serviço de Diretório (5)
Falha no DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) com 8001
DateTime[WARNING] Falha ao abortar a instalação do volume do sistema (8001)
DateTime[INFO] Serviço inicial NETLOGON
DateTime[INFO] Configurando o serviço NETLOGON para 2 retornado 0
DateTime[INFO] A operação do controlador de domínio tentativa foi concluída

Onde os erros são mapeados para o seguinte:

Mapeamentos de erro que contêm código de erro, nome simbólico, descrição de erro e cabeçalho.

Motivo

Esse problema ocorre porque a permissão Adicionar/Remover Réplica no Domínio está ausente para os grupos administradores de domínio e administradores corporativos na partição de domínio do domínio.

Solução

Para resolver esse problema, siga estas etapas:

  1. Verifique se todas as etapas e condições na seção "Resolução" do artigo base de dados de conhecimento 2002413 são verdadeiras para seu ambiente.

  2. Se a promoção do controlador de domínio ainda falhar mesmo depois de verificar se o usuário também tem a permissão SeEnableDelegationPrivilege, marcar ADSIEdit.msc para verificar as permissões efetivas do usuário para a partição de domínio:

    1. Clique em Iniciar, Executar e digite adsiedit.msc.

    2. Expanda o contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain, DC=com e clique em Propriedades.

    3. Na guia Segurança , clique no botão Avançado .

    4. Na guia Acesso Efetivo, insira o usuário ou o nome do grupo do usuário que está executando a operação que está falhando no DCPromo.

    5. Confirme se a permissão Adicionar/remover réplica no controle de domínio foi concedida.

      Adicionar/remover réplica na permissão de acesso ao controle de domínio.

  3. Se a permissão Adicionar/Remover Réplica no Domínio estiver ausente para o usuário ou grupo, adicione-a usando ADSIEdit.msc:

    1. Clique em Iniciar, Executar e digite adsiedit.msc.

    2. Expanda o contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain, DC=com e clique em Propriedades.

    3. Na guia Segurança , clique no botão Avançado .

    4. Na guia Permissões, adicione a permissão Adicionar/remover réplica no controle de domínio para o usuário ou grupo desejado da seguinte maneira:

      Tipo: Permitir
      Aplica-se a: somente este objeto

Mais informações

Observação

Pode haver razões adicionais pelas quais uma promoção ou rebaixamento do controlador de domínio falha com um erro "O acesso é negado". Para obter mais informações, consulte KB 2002413.