Partager via

Erreur « Accès refusé » lorsque vous essayez de créer un objet Paramètres NTDS

  • Article

Cet article fournit une solution pour corriger une erreur (Access est refusé) qui se produit lorsque vous promouvez les contrôleurs de domaine Windows Server 2012 R2 ou ultérieur dans un domaine existant.

Numéro de base de connaissances d’origine : 3207962

Symptômes

Lorsque vous essayez de promouvoir les contrôleurs de domaine Windows Server 2012 R2 ou ultérieur dans un domaine existant, l’opération échoue avec une erreur « Accès refusé ». Ce problème se produit même lorsque l’utilisateur est membre du groupe Administrateurs du domaine ou Administrateurs d’entreprise.

Dans ce cas, l’administrateur voit le message d’erreur suivant :

Titre : Sécurité Windows
Texte du message : Informations d’identification réseau

L’opération a échoué car : services de domaine Active Directory n’a pas pu configurer le nom> d’hôte du compte <d’ordinateur$ sur le nom d’hôte de compte de contrôleur de domaine Active Directory distant complet du contrôleur <de domaine d’assistance>. « L’accès est refusé »

L’échec se produit lors de l’ajout de l’objet Paramètres NTDS pour le nouveau contrôleur de domaine, en retournant le message d’erreur suivant :

L’opération a échoué car :

services de domaine Active Directory n’a pas pu créer l’objet Paramètres NTDS pour cet domaine Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le contrôleur de domaine AD distant DCName.ChildDomain.domain.com. Vérifiez que les informations d’identification réseau fournies disposent d’autorisations suffisantes.

« L’accès est refusé ».

En outre, le fichier DCPromo.log affiche les erreurs suivantes :

2705DateTime[INFO]

Erreur : services de domaine Active Directory n’a pas pu créer l’objet Paramètres NTDS pour cet objet domaine Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le contrôleur de domaine AD distant DCName.ChildDomain.domain.com. Vérifiez que les informations d’identification réseau fournies disposent d’autorisations suffisantes. (5)

DateTime[INFO] EVENTLOG (Erreur) : NTDS General / Internal Processing : 1168 Internal error : An services de domaine Active Directory error has occurred.

Données supplémentaires

Valeur d'erreur (format décimal) :

-1073741823

Valeur d’erreur (hexadécimal) :

c0000001

ID interne : 30017c6

...
DateTime[INFO] NtdsInstall pour ChildDomain.domain.com le 5 retourné
DateTime [INFO] DsRolepInstallDs retourné 5
DateTime [ERROR] Échec de l’installation dans le service d’annuaire (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) a échoué avec 8001
DateTime[WARNING] Échec de l’abandon de l’installation du volume système (8001)
DateTime[INFO] Démarrage du service NETLOGON
DateTime[INFO] Configuration du service NETLOGON sur 2 retourné 0
DateTime[INFO] L’opération de contrôleur de domaine tentée s’est terminée

Où les erreurs correspondent aux éléments suivants :

Code d’erreur : 0xc0000001
Nom symbolique : STATUS_UNSUCCESSFUL
Description de l’erreur : {Échec de l’opération} L’opération demandée a échoué.

Code d’erreur : 0x5
Nom symbolique : ERROR_ACCESS_DENIED
Description de l’erreur : l’accès est refusé.

Mappages d’erreurs qui contiennent un code d’erreur, un nom symbolique, une description d’erreur et un en-tête.

Cause

Ce problème se produit parce que l’autorisation Ajouter/Supprimer un réplica dans le domaine est manquante pour les groupes Administrateurs de domaine et Administrateurs d’entreprise sur la partition de domaine du domaine.

Résolution

Pour résoudre ce problème, effectuez les étapes suivantes :

  1. Vérifiez que toutes les étapes et conditions de la section « Résolution » de l’article de la Base de connaissances 2002413 sont vraies pour votre environnement.

  2. Si la promotion du contrôleur de domaine échoue encore après avoir vérifié que l’utilisateur dispose également de l’autorisation SeEnableDelegationPrivilege, vérifiez ADSIEdit.msc pour vérifier les autorisations effectives de l’utilisateur pour la partition de domaine :

    1. Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.

    2. Développez le contexte d’affectation de noms par défaut, cliquez avec le bouton droit sur DC=domain,DC=com, puis cliquez sur Propriétés.

    3. Sous l’onglet Sécurité , cliquez sur le bouton Avancé .

    4. Sous l’onglet Accès effectif, entrez l’utilisateur ou le nom de groupe de l’utilisateur qui effectue l’opération qui échoue dans DCPromo.

    5. Vérifiez si le réplica Add/remove dans l’autorisation d’accès au contrôle de domaine a été accordée.

      Ajouter/supprimer un réplica dans l’autorisation d’accès au contrôle de domaine.

  3. Si l’autorisation Ajouter/supprimer un réplica dans le domaine est manquante pour l’utilisateur ou le groupe, ajoutez-le à l’aide d’ADSIEdit.msc :

    1. Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.

    2. Développez le contexte d’affectation de noms par défaut, cliquez avec le bouton droit sur DC=domain,DC=com, puis cliquez sur Propriétés.

    3. Sous l’onglet Sécurité , cliquez sur le bouton Avancé .

    4. Sous l’onglet Autorisations, ajoutez le réplica Ajouter/supprimer dans l’autorisation d’accès au contrôle de domaine pour l’utilisateur ou le groupe souhaité comme suit :

      Type : Autoriser
      S’applique à : cet objet uniquement

Plus d’informations

Note

il peut y avoir d’autres raisons pour lesquelles une promotion ou rétrogradation d’un contrôleur de domaine échoue avec une erreur « Accès refusé ». Pour plus d’informations, consultez la base de connaissances 2002413.