Поделиться через

Ошибка "Доступ запрещен" при попытке создать объект параметров NTDS

  • Статья

В этой статье представлено решение для устранения ошибки (доступ запрещен), которая возникает при повышении уровня новых контроллеров домена Windows Server 2012 R2 в существующем домене.

Исходный номер базы знаний: 3207962

Симптомы

При попытке повысить уровень новых контроллеров домена Windows Server 2012 R2 в существующем домене операция завершается ошибкой "Доступ запрещен". Эта проблема возникает, даже если пользователь является членом группы "Администраторы домена" или "Администраторы предприятия".

В этом случае администратор видит следующее сообщение об ошибке:

Заголовок: Безопасность Windows
Текст сообщения: учетные данные сети

Не удалось выполнить операцию, так как доменным службам Active Directory не удалось настроить имя> узла учетной записи <компьютера$ для учетной записи <удаленного контроллера домена Active Directory с полным именем вспомогательного контроллера домена>. "Доступ запрещен"

Сбой возникает при добавлении объекта NTDS Settings для нового контроллера домена, возвращая следующее сообщение об ошибке:

Операция завершилась сбоем, так как:

Доменным службам Active Directory не удалось создать объект NTDS Settings для этого контроллера домена Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com на удаленном DCName.ChildDomain.domain.com контроллера домена ACTIVE Directory. Убедитесь, что предоставленные сетевые учетные данные имеют достаточные разрешения.

"Доступ запрещен".

Кроме того, в файле DCPromo.log отображаются следующие ошибки:

2705DateTime[INFO]

Ошибка. Доменным службам Active Directory не удалось создать объект параметров NTDS для этого контроллера домена Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com на удаленном DCName.ChildDomain.domain.com контроллера домена ACTIVE Directory. Убедитесь, что предоставленные сетевые учетные данные имеют достаточные разрешения. (5)

DateTime[INFO] EVENTLOG (Error): NTDS General / Internal Processing: 1168 Internal error: Произошла ошибка доменных служб Active Directory.

Дополнительные данные

Значение ошибки (десятичное значение):

-1073741823

Значение ошибки (шестнадцатеричное):

c0000001

Внутренний идентификатор: 30017c6

...
DateTime[INFO] NtdsInstall для ChildDomain.domain.com возвращенных 5
DateTime [INFO] DsRolepInstallDs возвращено 5
DateTime [ERROR] Не удалось установить в службу каталогов (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) завершился сбоем с 8001
DateTime[WARNING] Не удалось прервать установку системного тома (8001)
DateTime[INFO] Запуск службы NETLOGON
DateTime[INFO] Настройка службы NETLOGON до 2 возвращается 0
DateTime[INFO] Попытка выполнения операции контроллера домена завершена

Где ошибки сопоставляется со следующими:

Сопоставления ошибок, содержащие код ошибки, символическое имя, описание ошибки и заголовок.

Причина

Эта проблема возникает из-за отсутствия разрешения на добавление и удаление реплики в домене для групп администраторов домена и администраторов предприятия в разделе домена.

Решение

Чтобы устранить эту проблему, выполните следующие действия.

  1. Убедитесь, что все действия и условия в разделе "Разрешение" статьи базы знаний 2002413 выполняются для вашей среды.

  2. Если повышение уровня контроллера домена по-прежнему не удается, даже если вы убедитесь, что у пользователя есть разрешение SeEnableDelegationPrivilege, проверьте ADSIEdit.msc, чтобы проверить действующие разрешения пользователя для раздела домена:

    1. Нажмите кнопку Пуск, выберите команду Выполнить и введите adsiedit.msc.

    2. Разверните узел Контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и выберите пункт Свойства.

    3. На вкладке Безопасность нажмите кнопку Дополнительно .

    4. На вкладке Действующий доступ введите имя пользователя или группы пользователя, выполняющего операцию, которая завершается сбоем в DCPromo.

    5. Подтвердите, предоставлено ли разрешение на доступ к реплике в управлении доменом.

      Добавление и удаление реплики в разрешении на доступ к управлению доменом.

  3. Если для пользователя или группы отсутствует разрешение на добавление и удаление реплики в домене, добавьте его с помощью ADSIEdit.msc:

    1. Нажмите кнопку Пуск, выберите команду Выполнить и введите adsiedit.msc.

    2. Разверните узел Контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и выберите пункт Свойства.

    3. На вкладке Безопасность нажмите кнопку Дополнительно .

    4. На вкладке Разрешения добавьте разрешение На добавление и удаление реплики в управлении доменом для нужного пользователя или группы следующим образом:

      Тип: Разрешить
      Область применения: только этот объект

Дополнительная информация

Примечание.

Могут возникнуть дополнительные причины, по которым повышение или понижение уровня контроллера домена завершается ошибкой "Доступ запрещен". Дополнительные сведения см. в статье Базы знаний 2002413.