Condividi tramite

Errore "Accesso negato" quando si tenta di creare l'oggetto Impostazioni NTDS

  • Articolo

Questo articolo fornisce una soluzione per correggere un errore (Accesso negato) che si verifica quando si alza di livello Windows Server 2012 R2 o versioni successive in un dominio esistente.

Numero KB originale: 3207962

Sintomi

Quando si tenta di alzare di livello i controller di dominio di Windows Server 2012 R2 o versioni successive in un dominio esistente, l'operazione non riesce con un errore "Accesso negato". Questo problema si verifica anche quando l'utente è membro del gruppo Domain Admins o Enterprise Admins.

In questo caso, l'amministratore visualizza il messaggio di errore seguente:

Titolo: Sicurezza di Windows
Testo del messaggio: Credenziali di rete

L'operazione non è riuscita perché: Dominio di Active Directory Services non è riuscito a configurare il nome host dell'account <computer$ al nome completo dell'account <controller di Dominio di Active Directory remoto del controller> di dominio helper.> "Accesso negato"

L'errore si verifica quando si aggiunge l'oggetto Impostazioni NTDS per il nuovo controller di dominio, restituendo il messaggio di errore seguente:

L'operazione non è riuscita perché:

Dominio di Active Directory Services non è riuscito a creare l'oggetto NTDS Settings per questo Dominio di Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com nell'DCName.ChildDomain.domain.com di AD DC remoto. Verificare che le credenziali di rete fornite dispongano di autorizzazioni sufficienti.

"Accesso negato".

Inoltre, il file DCPromo.log mostra gli errori seguenti:

2705DateTime[INFO]

Errore: Dominio di Active Directory Services non è riuscito a creare l'oggetto IMPOSTAZIONI NTDS per questo Dominio di Active Directory Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com nel DCName.ChildDomain.domain.com di AD DC remoto. Verificare che le credenziali di rete fornite dispongano di autorizzazioni sufficienti. (5)

DateTime[INFO] EVENTLOG (Errore): NTDS Generale/Elaborazione interna: 1168 Errore interno: si è verificato un errore di Dominio di Active Directory Services.

Dati aggiuntivi

Valore errore (decimale):

-1073741823

Valore errore (esadecimale):

c0000001

ID interno: 30017c6

...
DateTime[INFO] NtdsInstall per ChildDomain.domain.com restituito 5
DateTime [INFO] DsRolepInstallDs restituito 5
DateTime [ERROR] Impossibile installare nel servizio directory (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) non riuscito con 8001
DateTime[WARNING] Impossibile interrompere l'installazione del volume di sistema (8001)
DateTime[INFO] Avvio del servizio NETLOGON
DateTime[INFO] Configurazione del servizio NETLOGON su 2 restituito 0
DateTime[INFO] Operazione del controller di dominio tentata completata

Dove gli errori eseguono il mapping ai seguenti:

Codice errore: 0xc0000001
Nome simbolico: STATUS_UNSUCCESSFUL
Descrizione errore: {Operazione non riuscita} Operazione richiesta non riuscita.

Codice errore: 0x5
Nome simbolico: ERROR_ACCESS_DENIED
Descrizione dell'errore: Accesso negato.

Mapping degli errori che contengono codice di errore, nome simbolico, descrizione dell'errore e intestazione.

Causa

Questo problema si verifica perché l'autorizzazione Aggiungi/Rimuovi replica nel dominio non è disponibile per i gruppi Domain Admins ed Enterprise Admins nella partizione di dominio del dominio.

Risoluzione

Per risolvere il problema, seguire questa procedura:

  1. Verificare che tutti i passaggi e le condizioni nella sezione "Risoluzione" dell'articolo della Knowledge Base 2002413 siano vere per l'ambiente in uso.

  2. Se l'innalzamento di livello del controller di dominio ha ancora esito negativo anche dopo aver verificato che l'utente disponga dell'autorizzazione SeEnableDelegationPrivilege, controllare ADSIEdit.msc per verificare le autorizzazioni valide dell'utente per la partizione di dominio:

    1. Fare clic su Start, fare clic su Esegui e digitare adsiedit.msc.

    2. Espandere Contesto di denominazione predefinito, fare clic con il pulsante destro del mouse su DC=dominio,DC=com e quindi scegliere Proprietà.

    3. Nella scheda Sicurezza fare clic sul pulsante Avanzate .

    4. Nella scheda Accesso effettivo immettere il nome dell'utente o del gruppo che sta eseguendo l'operazione che ha esito negativo in DCPromo.

    5. Verificare se è stata concessa l'autorizzazione di accesso aggiungi/rimuovi replica nel controllo del dominio.

      Aggiungere/rimuovere la replica nell'autorizzazione di accesso al controllo del dominio.

  3. Se l'autorizzazione Aggiungi/Rimuovi replica nel dominio non è presente per l'utente o il gruppo, aggiungerla usando ADSIEdit.msc:

    1. Fare clic su Start, fare clic su Esegui e digitare adsiedit.msc.

    2. Espandere Contesto di denominazione predefinito, fare clic con il pulsante destro del mouse su DC=dominio,DC=com e quindi scegliere Proprietà.

    3. Nella scheda Sicurezza fare clic sul pulsante Avanzate .

    4. Nella scheda Autorizzazioni aggiungere la replica Aggiungi/rimuovi nell'autorizzazione di accesso al controllo del dominio per l'utente o il gruppo desiderato come indicato di seguito:

      Tipo: Consenti
      Si applica a: solo questo oggetto

Ulteriori informazioni

Note

potrebbero esserci motivi aggiuntivi per cui un'innalzamento di livello o un abbassamento di livello del controller di dominio ha esito negativo e viene visualizzato un errore "Accesso negato". Per altre informazioni, vedere kb 2002413.