Compartir a través de

Error "Access is denied" (Acceso denegado) al intentar crear el objeto NTDS Settings

  • Artículo

En este artículo se proporciona una solución para corregir un error (acceso denegado) que se produce cuando se promueve Windows Server 2012 R2 o controladores de dominio posteriores en un dominio existente.

Número de KB original: 3207962

Síntomas

Al intentar promover controladores de dominio de Windows Server 2012 R2 o posteriores en un dominio existente, se produce un error de "Acceso denegado". Este problema se produce incluso cuando el usuario es miembro del grupo Administradores de dominio o Administradores de empresa.

En esta situación, el administrador ve el siguiente mensaje de error:

Título: Seguridad de Windows
Texto del mensaje: Credenciales de red

Error en la operación porque: Servicios de dominio de Active Directory no pudo configurar el nombre> de host de la cuenta <de equipo$ en el nombre completo de la cuenta del controlador de Dominio de Active Directory remoto del controlador> de dominio <auxiliar. "Acceso denegado"

El error se produce al agregar el objeto NTDS Settings para el nuevo controlador de dominio, devolviendo el siguiente mensaje de error:

Error en la operación porque:

Servicios de dominio de Active Directory no se pudo crear el objeto CONFIGURACIÓN DE NTDS para este Dominio de Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes.

"Se deniega el acceso".

Además, el archivo DCPromo.log muestra los siguientes errores:

2705DateTime[INFO]

Error: Servicios de dominio de Active Directory no se pudo crear el objeto CONFIGURACIÓN DE NTDS para esta Dominio de Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com en el DCName.ChildDomain.domain.com remoto de AD DC. Asegúrese de que las credenciales de red proporcionadas tienen permisos suficientes. (5)

DateTime[INFO] EVENTLOG (Error): NTDS General /Procesamiento interno: 1168 Error interno: Error Servicios de dominio de Active Directory error.

Datos adicionales

Valor del error (decimal):

-1073741823

Valor de error (hexadecimal):

c0000001

Identificador interno: 30017c6

...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com devuelto 5
DateTime [INFO] DsRolepInstallDs devuelto 5
DateTime [ERROR] No se pudo instalar en el servicio de directorio (5)
DateTime[ERROR] Error de DsRolepFinishSysVolPropagation (Anular promoción) con 8001
DateTime[WARNING] Error al anular la instalación del volumen del sistema (8001)
DateTime[INFO] Inicio del servicio NETLOGON
DateTime[INFO] Configuración del servicio NETLOGON en 2 devuelto 0
DateTime[INFO] Se ha completado la operación del controlador de dominio intentado.

Donde los errores se asignan a lo siguiente:

Código de error: 0xc0000001
Nombre simbólico: STATUS_UNSUCCESSFUL
Descripción del error: {Operation Failed} La operación solicitada no se realizó correctamente.

Código de error: 0x5
Nombre simbólico: ERROR_ACCESS_DENIED
Descripción del error: se deniega el acceso.

Asignaciones de errores que contienen código de error, nombre simbólico, descripción del error y encabezado.

Causa

Este problema se produce porque falta el permiso Agregar o quitar réplica en dominio para los grupos Administradores de dominio y Administradores de empresa en la partición de dominio del dominio.

Solución

Para resolver el problema, siga estos pasos:

  1. Compruebe que todos los pasos y condiciones de la sección "Resolución" del artículo de Knowledge Base 2002413 son verdaderos para su entorno.

  2. Si todavía se produce un error en la promoción del controlador de dominio incluso después de asegurarse de que el usuario también tiene el permiso SeEnableDelegationPrivilege, compruebe ADSIEdit.msc para comprobar los permisos efectivos del usuario para la partición de dominio:

    1. Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.

    2. Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=domain,DC=com y, a continuación, haga clic en Propiedades.

    3. En la pestaña Seguridad , haga clic en el botón Avanzadas .

    4. En la pestaña Acceso efectivo, escriba el nombre de usuario o grupo del usuario que está realizando la operación que produce un error en DCPromo.

    5. Confirme si se ha concedido el permiso agregar o quitar réplica en el control de dominio.

      Agregue o quite la réplica en el permiso de acceso de control de dominio.

  3. Si falta el permiso Agregar o quitar réplica en dominio para el usuario o grupo, agréguelo mediante ADSIEdit.msc:

    1. Haga clic en Inicio y en Ejecutar y escriba adsiedit.msc.

    2. Expanda Contexto de nomenclatura predeterminado, haga clic con el botón derecho en DC=domain,DC=com y, a continuación, haga clic en Propiedades.

    3. En la pestaña Seguridad , haga clic en el botón Avanzadas .

    4. En la pestaña Permisos, agregue la réplica Agregar o quitar en el permiso de acceso de control de dominio para el usuario o grupo deseados de la siguiente manera:

      Tipo: Permitir
      Se aplica a: este objeto solo

Más información

Nota:

podría haber motivos adicionales por los que se produce un error en la promoción o degradación de un controlador de dominio con un error de "Acceso denegado". Para obtener más información, consulte KB 2002413.