次の方法で共有

NTDS 設定オブジェクトを作成しようとすると、"アクセスが拒否されました" というエラーが表示される

  • [アーティクル]

この記事では、既存のドメインで Windows Server 2012 R2 以降のドメイン コントローラーを昇格するときに発生するエラー (アクセスが拒否される) を修正するソリューションを提供します。

元の KB 番号: 3207962

現象

既存のドメインで Windows Server 2012 R2 以降のドメイン コントローラーを昇格しようとすると、"アクセスが拒否されました" というエラーで操作が失敗します。 この問題は、ユーザーが Domain Admins または Enterprise Admins グループのメンバーである場合でも発生します。

この場合、管理者には次のエラー メッセージが表示されます。

タイトル: Windows セキュリティ
メッセージ テキスト: ネットワーク資格情報

操作が失敗しました:Active Directory ドメイン Services は、リモート Active Directory ドメイン コントローラー アカウントに対してコンピューター アカウント <hostname>$ <ヘルパー DC の完全修飾名を構成できませんでした>。 "アクセスが拒否されました"

このエラーは、新しいドメイン コントローラーの NTDS Settings オブジェクトを追加するときに発生し、次のエラー メッセージが返されます。

次の理由で操作が失敗しました。

Active Directory ドメイン Services は、リモート AD DC DCName.ChildDomain.domain.comで、この Active Directory ドメイン Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com の NTDS Settings オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。

"アクセスが拒否されました。"

さらに、DCPromo.log ファイルには次のエラーが表示されます。

2705DateTime[INFO]

エラー - Active Directory ドメイン Services は、リモート AD DC DCName.ChildDomain.domain.comで、この Active Directory ドメイン Controller CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com の NTDS 設定オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。 (5)

DateTime[INFO] EVENTLOG (エラー): NTDS General/Internal Processing: 1168 Internal error: an Active Directory ドメイン Services error has occurred.

追加データ

エラー値 (10 進数):

-1073741823

エラー値 (16 進数):

c0000001

内部 ID: 30017c6

...
DateTime[INFO] ntdsInstall for ChildDomain.domain.com returned 5
DateTime [INFO] DsRolepInstallDs returned 5
DateTime [ERROR] ディレクトリ サービスへのインストールに失敗しました (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) が 8001 で失敗しました
DateTime[WARNING] システム ボリュームのインストールを中止できませんでした (8001)
DateTime[INFO] サービス NETLOGON の開始
DateTime[INFO] サービス NETLOGON を 2 に構成すると 0 が返される
DateTime[INFO] 試行されたドメイン コントローラー操作が完了しました

エラーが次のようにマップされる場所:

エラー コード: 0xc0000001
シンボリック名: STATUS_UNSUCCESSFUL
エラーの説明: {Operation Failed} 要求された操作が失敗しました。

エラー コード: 0x5
シンボリック名: ERROR_ACCESS_DENIED
エラーの説明: アクセスが拒否されました。

エラー コード、シンボリック名、エラーの説明、およびヘッダーを含むエラー マッピング。

原因

この問題は、ドメインのドメイン パーティションの Domain Admins グループと Enterprise Admins グループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がないために発生します。

解決方法

この問題を解決するには、次の手順に従ってください。

  1. サポート技術情報の記事の「解決」セクションのすべての手順と条件 2002413 環境に当てはまることを確認します。

  2. ユーザーが SeEnableDelegationPrivilege アクセス許可も持っていることを確認した後もドメイン コントローラーの昇格が失敗する場合は、ADSIEdit.msc を調べて、ドメイン パーティションに対するユーザーの有効なアクセス許可を確認します。

    1. [スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。

    2. [既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ Properties をクリックします。

    3. [ Security ] タブで、[ Advanced ボタンをクリックします。

    4. [有効なアクセス] タブで、DCPromo で失敗した操作を実行しているユーザーのユーザーまたはグループ名を入力します。

    5. ドメイン制御アクセス許可のレプリカの追加/削除が許可されているかどうかを確認します。

      ドメイン制御アクセス許可でレプリカを追加/削除します。

  3. ユーザーまたはグループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がない場合は、ADSIEdit.msc を使用して追加します。

    1. [スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。

    2. [既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ Properties をクリックします。

    3. [ Security ] タブで、[ Advanced ボタンをクリックします。

    4. [アクセス許可] タブで、次のように目的のユーザーまたはグループのドメイン制御アクセス許可にレプリカの追加/削除を追加します。

      型: 許可
      適用対象: このオブジェクトのみ

詳細

Note

ドメイン コントローラーの昇格または降格が "アクセスが拒否されました" エラーで失敗するその他の理由が考えられます。 詳細については、 KB 2002413を参照してください。