Freigeben über

Fehler "Zugriff verweigert", wenn Sie versuchen, NTDS Settings-Objekt zu erstellen

  • Artikel

Dieser Artikel enthält eine Lösung zum Beheben eines Fehlers (Zugriff verweigert), der auftritt, wenn Sie Windows Server 2012 R2 oder höher-Domänencontroller in einer vorhandenen Domäne höher stufen.

Ursprüngliche KB-Nummer: 3207962

Symptome

Wenn Sie versuchen, Windows Server 2012 R2 oder höher-Domänencontroller in einer vorhandenen Domäne höher zu stufen, schlägt der Vorgang mit einem Fehler "Zugriff verweigert" fehl. Dieses Problem tritt auch dann auf, wenn der Benutzer Mitglied der Gruppe "Domänenadministratoren" oder "Unternehmensadministratoren" ist.

In dieser Situation sieht der Administrator die folgende Fehlermeldung:

Titel: Windows-Sicherheit
Nachrichtentext: Netzwerkanmeldeinformationen

Fehler beim Vorgang: Active Directory-Domäne Dienste konnten den Computerkonto hostnamen<>$ nicht auf den vollqualifizierten Namen des Hilfs-DC> des Remote-Active Directory-Domäne Controllerkontos <konfigurieren. "Zugriff verweigert"

Der Fehler tritt auf, wenn das NTDS Settings-Objekt für den neuen Domänencontroller hinzugefügt wird und die folgende Fehlermeldung zurückgegeben wird:

Fehler beim Vorgang, da:

Active Directory-Domäne Dienste konnten das NTDS-Einstellungsobjekt für diesen Active Directory-Domäne Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com auf dem REMOTE AD DC DCName.ChildDomain.domain.com erstellen. Stellen Sie sicher, dass die bereitgestellten Netzwerkanmeldeinformationen über ausreichende Berechtigungen verfügen.

"Der Zugriff wurde verweigert."

Darüber hinaus werden in der datei DCPromo.log die folgenden Fehler angezeigt:

2705DateTime[INFO]

Fehler : Active Directory-Domäne Services konnte das NTDS-Einstellungsobjekt für diesen Active Directory-Domäne Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com auf dem REMOTE AD DC DCName.ChildDomain.domain.com erstellen. Stellen Sie sicher, dass die bereitgestellten Netzwerkanmeldeinformationen über ausreichende Berechtigungen verfügen. (5)

DateTime[INFO] EVENTLOG (Fehler): NTDS General / Internal Processing: 1168 Interner Fehler: Ein Active Directory-Domäne Dienstfehler ist aufgetreten.

Zusätzliche Daten

Fehlerwert (dezimal):

-1073741823

Fehlerwert (Hex):

c00000001

Interne ID: 30017c6

...
DateTime[INFO] NtdsInstall für ChildDomain.domain.com zurückgegebene 5
DateTime [INFO] DsRolepInstallDs zurückgegeben 5
DateTime [ERROR] Fehler beim Installieren im Verzeichnisdienst (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) fehlgeschlagen mit 8001
DateTime[WARNING] Fehler beim Abbrechen der Systemvolumeinstallation (8001)
DateTime[INFO] Startdienst NETLOGON
DateTime[INFO] Configuring service NETLOGON to 2 returned 0
DateTime[INFO] Der vorgang des versuchten Domänencontrollers wurde abgeschlossen.

Dabei werden die Fehler wie folgt zugeordnet:

Fehlercode: 0xc0000001
Symbolischer Name: STATUS_UNSUCCESSFUL
Fehlerbeschreibung: {Operation Failed} Der angeforderte Vorgang war nicht erfolgreich.

Fehlercode: 0x5
Symbolischer Name: ERROR_ACCESS_DENIED
Fehlerbeschreibung: Der Zugriff wurde verweigert.

Fehlerzuordnungen, die Fehlercode, symbolischer Name, Fehlerbeschreibung und Header enthalten.

Ursache

Dieses Problem tritt auf, da die Berechtigung "Replikat in Domäne hinzufügen/entfernen" für die Gruppen "Domänenadministratoren" und "Unternehmensadministratoren" in der Domänenpartition der Domäne fehlt.

Lösung

Gehen Sie folgendermaßen vor, um das Problem zu beheben:

  1. Überprüfen Sie, ob alle Schritte und Bedingungen im Abschnitt "Lösung" des Knowledge Base-Artikels 2002413 für Ihre Umgebung gelten.

  2. Wenn die Domänencontrollerheraufstufung auch dann fehlschlägt, wenn Sie sicherstellen, dass der Benutzer auch über die Berechtigung "SeEnableDelegationPrivilege" verfügt, überprüfen Sie ADSIEdit.msc, um die effektiven Berechtigungen des Benutzers für die Domänenpartition zu überprüfen:

    1. Klicken Sie auf Start und dann auf Ausführen, und geben Sie adsiedit.msc ein.

    2. Erweitern Sie den Standardbenennungskontext, klicken Sie mit der rechten Maustaste auf DC=Domäne,DC=com, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf der Registerkarte "Sicherheit " auf die Schaltfläche "Erweitert ".

    4. Geben Sie auf der Registerkarte "Effektiver Zugriff" den Benutzer- oder Gruppennamen des Benutzers ein, der den Vorgang ausführt, der in DCPromo fehlschlägt.

    5. Vergewissern Sie sich, ob das Replikat "Hinzufügen/Entfernen" in der Zugriffsberechtigung für die Domänensteuerung erteilt wurde.

      Replikat in der Zugriffsberechtigung für domänensteuerung hinzufügen/entfernen.

  3. Wenn die Berechtigung "Replikat in Domäne hinzufügen/entfernen" für den Benutzer oder die Gruppe fehlt, fügen Sie sie mithilfe von ADSIEdit.msc hinzu:

    1. Klicken Sie auf Start und dann auf Ausführen, und geben Sie adsiedit.msc ein.

    2. Erweitern Sie den Standardbenennungskontext, klicken Sie mit der rechten Maustaste auf DC=Domäne,DC=com, und klicken Sie dann auf Eigenschaften.

    3. Klicken Sie auf der Registerkarte "Sicherheit " auf die Schaltfläche "Erweitert ".

    4. Fügen Sie auf der Registerkarte "Berechtigungen" das Replikat "Hinzufügen/Entfernen" in der Zugriffsberechtigung für den gewünschten Benutzer oder die gewünschte Gruppe wie folgt hinzu:

      Typ: Zulassen
      Gilt nur für: Dieses Objekt

Weitere Informationen

Notiz

es kann zusätzliche Gründe geben, warum eine Domänencontroller-Heraufstufung oder -herabstufung mit einem Fehler "Zugriff verweigert" fehlschlägt. Weitere Informationen finden Sie unter KB 2002413.