Erro "Acesso é negado" ao tentar criar o objeto Configurações do NTDS
Este artigo fornece uma solução para corrigir um erro (o Access é negado) que ocorre quando você promove novos controladores de domínio Windows Server 2012 R2 em um domínio existente.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 3207962
Sintomas
Quando você tenta promover novos controladores de domínio Windows Server 2012 R2 em um domínio existente, a operação falha com um erro "O acesso é negado". Esse problema ocorre mesmo quando o usuário é membro do grupo administradores de domínio ou administradores corporativos.
Nessa situação, o administrador vê a seguinte mensagem de erro:
Título: Segurança do Windows
Texto da Mensagem: Credenciais de Rede
A operação falhou porque: Active Directory Domain Services não pôde configurar o nome de host da conta <de computador$ para a conta <de controlador de Domínio do Active Directory remota totalmente qualificada nome do auxiliar DC>.> "O acesso é negado"
A falha ocorre ao adicionar o objeto Configurações do NTDS para o novo Controlador de Domínio, retornando a seguinte mensagem de erro:
A operação falhou porque:
Active Directory Domain Services não pôde criar o objeto Configurações do NTDS para este Domínio do Active Directory Controlador CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com no DCName.ChildDomain.domain.com remoto do AD DC. Verifique se as credenciais de rede fornecidas têm permissões suficientes.
"O acesso foi negado."
Além disso, o arquivo DCPromo.log mostra os seguintes erros:
2705DateTime[INFO]
Erro – Active Directory Domain Services não pôde criar o objeto Configurações do NTDS para este Domínio do Active Directory Controlador CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com no DCName.ChildDomain.domain.com remoto do AD DC. Verifique se as credenciais de rede fornecidas têm permissões suficientes. (5)
DateTime[INFO] EVENTLOG (Erro): Processamento Geral/Interno do NTDS: 1168 Erro interno: ocorreu um erro Active Directory Domain Services.
Dados adicionais
Valor de erro (decimal):
-1073741823
Valor de erro (hex):
c0000001
ID interna: 30017c6
...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com
retornado 5
DateTime [INFO] DsRolepInstallDs retornados 5
DateTime [ERROR] Falha ao instalar no Serviço de Diretório (5)
Falha no DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) com 8001
DateTime[WARNING] Falha ao abortar a instalação do volume do sistema (8001)
DateTime[INFO] Serviço inicial NETLOGON
DateTime[INFO] Configurando o serviço NETLOGON para 2 retornado 0
DateTime[INFO] A operação do controlador de domínio tentativa foi concluída
Onde os erros são mapeados para o seguinte:
Motivo
Esse problema ocorre porque a permissão Adicionar/Remover Réplica no Domínio está ausente para os grupos administradores de domínio e administradores corporativos na partição de domínio do domínio.
Solução
Para resolver esse problema, siga estas etapas:
Verifique se todas as etapas e condições na seção "Resolução" do artigo base de dados de conhecimento 2002413 são verdadeiras para seu ambiente.
Se a promoção do controlador de domínio ainda falhar mesmo depois de verificar se o usuário também tem a permissão SeEnableDelegationPrivilege, marcar ADSIEdit.msc para verificar as permissões efetivas do usuário para a partição de domínio:
Clique em Iniciar, Executar e digite adsiedit.msc.
Expanda o contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain, DC=com e clique em Propriedades.
Na guia Segurança , clique no botão Avançado .
Na guia Acesso Efetivo, insira o usuário ou o nome do grupo do usuário que está executando a operação que está falhando no DCPromo.
Confirme se a permissão Adicionar/remover réplica no controle de domínio foi concedida.
Se a permissão Adicionar/Remover Réplica no Domínio estiver ausente para o usuário ou grupo, adicione-a usando ADSIEdit.msc:
Clique em Iniciar, Executar e digite adsiedit.msc.
Expanda o contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain, DC=com e clique em Propriedades.
Na guia Segurança , clique no botão Avançado .
Na guia Permissões, adicione a permissão Adicionar/remover réplica no controle de domínio para o usuário ou grupo desejado da seguinte maneira:
Tipo: Permitir
Aplica-se a: somente este objeto
Mais informações
Observação
Pode haver razões adicionais pelas quais uma promoção ou rebaixamento do controlador de domínio falha com um erro "O acesso é negado". Para obter mais informações, consulte KB 2002413.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de