다음을 통해 공유

NTDS 설정 개체를 만들려고 할 때 "액세스가 거부되었습니다." 오류

  • 아티클

이 문서에서는 기존 도메인에서 Windows Server 2012 R2 이상 도메인 컨트롤러를 승격할 때 발생하는 오류(액세스 거부)를 해결하는 솔루션을 제공합니다.

원래 KB 번호: 3207962

증상

기존 도메인에서 Windows Server 2012 R2 이상의 도메인 컨트롤러를 승격하려고 하면 "액세스 거부됨" 오류와 함께 작업이 실패합니다. 이 문제는 사용자가 Domain Admins 또는 Enterprise Admins 그룹의 구성원인 경우에도 발생합니다.

이 경우 관리자는 다음과 같은 오류 메시지를 표시합니다.

제목: Windows 보안
메시지 텍스트: 네트워크 자격 증명

Active Directory 도메인 Services에서 원격 Active Directory 도메인 컨트롤러 계정의 정규화된 도우미 DC> 이름으로 컴퓨터 계정 <<hostname>$을 구성할 수 없어 작업이 실패했습니다. "액세스가 거부되었습니다."

이 오류는 새 도메인 컨트롤러에 대한 NTDS 설정 개체를 추가하고 다음 오류 메시지를 반환할 때 발생합니다.

다음과 같은 이유로 작업이 실패했습니다.

Active Directory 도메인 Services는 원격 AD DC DCName.ChildDomain.domain.com 이 Active Directory 도메인 컨트롤러 CN=NTDS 설정,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com에 대한 NTDS 설정 개체를 만들 수 없습니다. 제공된 네트워크 자격 증명에 충분한 권한이 있는지 확인합니다.

"액세스가 거부되었습니다."

또한 DCPromo.log 파일에는 다음과 같은 오류가 표시됩니다.

2705DateTime[INFO]

오류 - Active Directory 도메인 Services에서 원격 AD DC DCName.ChildDomain.domain.com 이 Active Directory 도메인 컨트롤러 CN=NTDS 설정,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com에 대한 NTDS 설정 개체를 만들 수 없습니다. 제공된 네트워크 자격 증명에 충분한 권한이 있는지 확인합니다. (5)

DateTime[INFO] EVENTLOG(오류): NTDS 일반/내부 처리: 1168 내부 오류: Active Directory 도메인 서비스 오류가 발생했습니다.

추가 데이터

오류 값(10진수):

-1073741823

오류 값(16진수):

c0000001

내부 ID: 30017c6

...
DateTime[INFO] 반환된 5에 대한 ChildDomain.domain.com NtdsInstall
DateTime [INFO] DsRolepInstallDs가 5를 반환했습니다.
DateTime [ERROR] 디렉터리 서비스에 설치하지 못했습니다(5)
DateTime[ERROR] DsRolepFinishSysVolPropagation(승격 중단)이 8001로 실패했습니다.
DateTime[WARNING] 시스템 볼륨 설치를 중단하지 못했습니다(8001)
DateTime[INFO] 시작 서비스 NETLOGON
DateTime[INFO] NETLOGON 서비스를 2로 구성하여 반환된 0
DateTime[INFO] 시도된 도메인 컨트롤러 작업이 완료되었습니다.

여기서 오류는 다음과 같이 매핑됩니다.

오류 코드: 0xc0000001
기호 이름: STATUS_UNSUCCESSFUL
오류 설명: {작업 실패} 요청한 작업이 실패했습니다.

오류 코드: 0x5
기호 이름: ERROR_ACCESS_DENIED
오류 설명: 액세스가 거부되었습니다.

오류 코드, 기호 이름, 오류 설명 및 헤더를 포함하는 오류 매핑입니다.

원인

이 문제는 도메인의 도메인 파티션에 있는 Domain Admins 및 Enterprise Admins 그룹에 대한 도메인 내 복제본 추가/제거 권한이 없으므로 발생합니다.

해결

이 문제를 해결하려면 다음 단계를 따릅니다.

  1. 2002413 기술 자료 문서의 "해결" 섹션에 있는 모든 단계와 조건이 사용자 환경에 적합한지 확인합니다.

  2. 사용자에게 SeEnableDelegationPrivilege 권한도 있는지 확인한 후에도 도메인 컨트롤러 승격이 여전히 실패하는 경우 ADSIEdit.msc를 확인하여 도메인 파티션에 대한 사용자의 유효 권한을 확인합니다.

    1. 시작을 클릭하고 실행을 클릭한 다음 adsiedit.msc를 입력합니다.

    2. 기본 명명 컨텍스트를 확장하고 DC=domain,DC=com을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 보안 탭에서 고급 단추를 클릭합니다.

    4. 유효 액세스 탭에서 DCPromo에서 실패한 작업을 수행하는 사용자의 사용자 또는 그룹 이름을 입력합니다.

    5. 도메인 제어 액세스 권한의 복제본 추가/제거 권한이 부여되었는지 확인합니다.

      도메인 제어 액세스 권한에서 복제본을 추가/제거합니다.

  3. 사용자 또는 그룹에 대해 도메인에서 복제본 추가/제거 권한이 없는 경우 ADSIEdit.msc를 사용하여 추가합니다.

    1. 시작을 클릭하고 실행을 클릭한 다음 adsiedit.msc를 입력합니다.

    2. 기본 명명 컨텍스트를 확장하고 DC=domain,DC=com을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 보안 탭에서 고급 단추를 클릭합니다.

    4. 사용 권한 탭에서 다음과 같이 원하는 사용자 또는 그룹에 대한 도메인 제어 액세스 권한에 복제본 추가/제거를 추가합니다.

      형식: 허용
      적용 대상: 이 개체만

자세한 정보

참고 항목

도메인 컨트롤러 승격 또는 강등이 "액세스 거부됨" 오류와 함께 실패하는 추가적인 이유가 있을 수 있습니다. 자세한 내용은 KB 2002413 참조하세요.