Erro "Acesso negado" ao tentar criar o objeto Configurações NTDS
Este artigo fornece uma solução para corrigir um erro (Acesso negado) que ocorre quando você promove controladores de domínio do Windows Server 2012 R2 ou posteriores em um domínio existente.
Número original do KB: 3207962
Sintomas
Quando você tenta promover controladores de domínio do Windows Server 2012 R2 ou posterior em um domínio existente, a operação falha com um erro "Acesso negado". Esse problema ocorre mesmo quando o usuário é membro do grupo Administradores de Domínio ou Administradores Corporativos.
Nessa situação, o administrador vê a seguinte mensagem de erro:
Título: Segurança do Windows
Texto da mensagem: Credenciais de rede
A operação falhou porque: Os Serviços de Domínio Active Directory não puderam configurar o hostname>$ da conta <do computador para o nome totalmente qualificado da conta <remota do controlador de domínio do Active Directory do DC> auxiliar. "Acesso negado"
A falha ocorre ao adicionar o objeto Configurações NTDS para o novo Controlador de Domínio, retornando a seguinte mensagem de erro:
A operação falhou porque:
Os Serviços de Domínio Active Directory não puderam criar o objeto Configurações NTDS para este Controlador de Domínio do Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com no AD DC remoto DCName.ChildDomain.domain.com. Verifique se as credenciais de rede fornecidas têm permissões suficientes.
"O acesso é negado."
Além disso, o arquivo DCPromo.log mostra os seguintes erros:
2705DateTime[INFO]
Erro - Os Serviços de Domínio Active Directory não puderam criar o objeto Configurações NTDS para este Controlador de Domínio do Active Directory CN=Configurações NTDS,CN=TEST-DC,CN=Servidores,CN=meusite,CN=Sites,CN=Configuração,DC=domínio,DC=com no AD DC remoto DCName.ChildDomain.domain.com. Verifique se as credenciais de rede fornecidas têm permissões suficientes. (5)
DateTime[INFO] EVENTLOG (Erro): NTDS Geral/Processamento Interno: 1168 Erro interno: Ocorreu um erro dos Serviços de Domínio Active Directory.
Dados adicionais
Valor do erro (decimal):
-1073741823
Valor do erro (hexadecimal):
c0000001
ID Interno: 30017c6
...
DateTime[INFO] NtdsInstall para ChildDomain.domain.com
5 retornados
DateTime [INFO] DsRolepInstallDs retornou 5
DateTime [ERRO] Falha ao instalar no serviço de diretório (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) falhou com 8001
DateTime[AVISO] Falha ao abortar a instalação do volume do sistema (8001)
DateTime[INFO] Iniciando o serviço NETLOGON
DateTime[INFO] Configurando o serviço NETLOGON para 2 retornou 0
DateTime[INFO] A tentativa de operação do controlador de domínio foi concluída
Onde os erros são mapeados para o seguinte:
Código de erro: 0xc0000001
Nome simbólico: STATUS_UNSUCCESSFUL
Descrição do erro: {Falha na operação} A operação solicitada não foi bem-sucedida.
Código de erro: 0x5
Nome simbólico: ERROR_ACCESS_DENIED
Descrição do erro: O acesso foi negado.
Motivo
Esse problema ocorre porque a permissão Adicionar/Remover Réplica no Domínio está ausente para os grupos Administradores de Domínio e Administradores Corporativos na partição de domínio do domínio.
Resolução
Para resolver esse problema, siga estas etapas:
Verifique se todas as etapas e condições na seção "Resolução" do artigo da Base de Dados de Conhecimento 2002413 são verdadeiras para o seu ambiente.
Se a promoção do controlador de domínio ainda falhar mesmo depois de verificar se o usuário também tem a permissão SeEnableDelegationPrivilege, verifique ADSIEdit.msc para verificar as permissões efetivas do usuário para a partição de domínio:
Clique em Iniciar, Executar e digite adsiedit.msc.
Expanda Contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain,DC=com e clique em Propriedades.
Na guia Segurança , clique no botão Avançado .
Na guia Acesso Efetivo, insira o nome do usuário ou grupo do usuário que está executando a operação que está falhando no DCPromo.
Confirme se a permissão de acesso Adicionar/remover réplica no controle de domínio foi concedida.
Se a permissão Adicionar/Remover Réplica no Domínio estiver ausente para o usuário ou grupo, adicione-a usando ADSIEdit.msc:
Clique em Iniciar, Executar e digite adsiedit.msc.
Expanda Contexto de nomenclatura padrão, clique com o botão direito do mouse em DC=domain,DC=com e clique em Propriedades.
Na guia Segurança , clique no botão Avançado .
Na guia Permissões, adicione a permissão Adicionar/remover réplica no controle de domínio para o usuário ou grupo desejado da seguinte maneira:
Tipo: Permitir
Aplica-se a: somente este objeto
Mais informações
Observação
pode haver motivos adicionais pelos quais uma promoção ou rebaixamento do controlador de domínio falha com um erro "Acesso negado". Para obter mais informações, consulte KB 2002413.