通过

尝试创建 NTDS 设置对象时出现“拒绝访问”错误

  • 项目

本文提供了一种解决方案,用于解决在现有域中升级新Windows Server 2012 R2 域控制器时发生 (访问被拒绝) 错误。

适用于: Windows Server 2012 R2
原始 KB 编号: 3207962

症状

尝试在现有域中升级新Windows Server 2012 R2 域控制器时,操作失败并出现“拒绝访问”错误。 即使用户是域管理员或企业管理员组的成员,也会发生此问题。

在这种情况下,管理员会看到以下错误消息:

标题:Windows 安全中心
消息文本:网络凭据

操作失败,因为:Active Directory 域服务无法将计算机帐户 <hostname>$ 配置为帮助程序 DC> 的远程Active Directory 域控制器帐户<完全限定的名称。 “访问被拒绝”

为新的域控制器添加 NTDS 设置对象时,将失败,并返回以下错误消息:

操作失败,原因如下:

Active Directory 域服务无法在远程 AD DC DCName.ChildDomain.domain.com 上为此Active Directory 域控制器 CN=NTDS 设置、CN=TEST-DC、CN=服务器、CN=mysite、CN=Site、CN=Configuration、DC=domain、DC=com 创建 NTDS 设置对象。 确保提供的网络凭据具有足够的权限。

“访问被拒绝。”

此外,DCPromo.log 文件显示以下错误:

2705DateTime[INFO]

错误 - Active Directory 域服务无法在远程 AD DC DCName.ChildDomain.domain.com 上为此Active Directory 域控制器 CN=NTDS 设置、CN=TEST-DC、CN=服务器、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com 创建 NTDS 设置对象。 确保提供的网络凭据具有足够的权限。 (5)

DateTime[INFO] EVENTLOG (错误) :NTDS 常规/内部处理:1168 内部错误:发生Active Directory 域服务错误。

其他数据

十进制) (错误值:

-1073741823

十六进制) (错误值:

c0000001

内部 ID:30017c6

...
DateTime[INFO] NtdsInstall for ChildDomain.domain.com returned 5
DateTime [INFO] DsRolepInstallD 返回 5
DateTime [错误] 无法安装到目录服务 (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (中止升级) 失败,8001
DateTime[WARNING] 无法中止系统卷安装 (8001)
DateTime[INFO] 启动服务 NETLOGON
DateTime[INFO] 将服务 NETLOGON 配置为 2 返回 0
DateTime[INFO] 尝试的域控制器操作已完成

其中,错误映射到以下内容:

包含错误代码、符号名称、错误说明和标头的错误映射。

原因

出现此问题的原因是,域的域分区上的域管理员和企业管理员组缺少“在域中添加/删除副本”权限。

解决方案

若要解决此问题,请按照下列步骤操作:

  1. 验证知识库文章2002413“解决方法”部分中的所有步骤和 条件是否适用于 你的环境。

  2. 如果在确保用户还具有 SeEnableDelegationPrivilege 权限后域控制器升级仍然失败,检查 ADSIEdit.msc 验证用户对域分区的有效权限:

    1. 依次单击“开始”和“运行”,然后键入“adsiedit.msc”。

    2. 展开“默认命名上下文”,右键单击“ DC=域,DC=com”,然后单击“ 属性”。

    3. 在“ 安全性 ”选项卡上,单击“ 高级 ”按钮。

    4. 在“有效访问”选项卡上,输入正在 DCPromo 中执行失败操作的用户的用户或组名称。

    5. 确认是否已授予域控制中的添加/删除副本 (replica) 访问权限。

      在域控制访问权限中添加/删除副本 (replica) 。

  3. 如果用户或组缺少“在域中添加/删除副本”权限,请使用 ADSIEdit.msc 添加它:

    1. 依次单击“开始”和“运行”,然后键入“adsiedit.msc”。

    2. 展开“默认命名上下文”,右键单击“ DC=域,DC=com”,然后单击“ 属性”。

    3. 在“ 安全性 ”选项卡上,单击“ 高级 ”按钮。

    4. 在“权限”选项卡上,为所需用户或组添加域控制访问权限中的添加/删除副本 (replica) ,如下所示:

      类型:允许
      适用于:此对象仅适用于

更多信息

注意

域控制器升级或降级失败并出现“拒绝访问”错误可能还有其他原因。 有关详细信息,请参阅 知识库2002413