Поделиться через

Ошибка "Доступ запрещен" при попытке создать объект параметров NTDS

  • Статья

В этой статье описано решение для устранения ошибки (доступ запрещен) при продвижении контроллеров домена Windows Server 2012 R2 или более поздних версий в существующем домене.

Исходный номер базы знаний: 3207962

Симптомы

При попытке повысить уровень контроллеров домена Windows Server 2012 R2 или более поздних версий в существующем домене операция завершается ошибкой "Доступ запрещен". Эта проблема возникает даже в том случае, если пользователь входит в группу администраторов домена или корпоративных администраторов.

В этом случае администратор видит следующее сообщение об ошибке:

Заголовок: Безопасность Windows
Текст сообщения: учетные данные сети

Не удалось выполнить операцию, так как службы домен Active Directory не удалось настроить имя> узла учетной записи компьютера для удаленной учетной <записи <контроллера домен Active Directory полное имя вспомогательного контроллера домена>. "Доступ запрещен"

Ошибка возникает при добавлении объекта NTDS Settings для нового контроллера домена, возвращающего следующее сообщение об ошибке:

Операция завершилась ошибкой, так как:

домен Active Directory Службам не удалось создать объект параметров NTDS для этого домен Active Directory контроллера CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com на удаленном DCName.ChildDomain.domain.com контроллера домена AD. Убедитесь, что предоставленные сетевые учетные данные имеют достаточные разрешения.

"Доступ запрещен".

Кроме того, в файле DCPromo.log показаны следующие ошибки:

2705DateTime[INFO]

Ошибка . домен Active Directory Службы не смогли создать объект параметров NTDS для этого домен Active Directory Контроллер CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com на удаленном DCName.ChildDomain.domain.com контроллера домена AD. Убедитесь, что предоставленные сетевые учетные данные имеют достаточные разрешения. (5)

DateTime[INFO] EVENTLOG (error): NTDS General / Internal Processing: 1168 Внутренняя ошибка: произошла ошибка служб домен Active Directory.

Дополнительные данные

Значение ошибки (десятичное):

-1073741823

Значение ошибки (шестнадцатеричное):

c0000001

Внутренний идентификатор: 30017c6

...
DateTime[INFO] NtdsInstall для ChildDomain.domain.com возвращенного 5
DateTime [INFO] DsRolepInstallDs возвращено 5
DateTime [ERROR] Не удалось установить в службу каталогов (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (abort Promote) завершилось сбоем 8001
DateTime[WARNING] Не удалось завершить установку системного тома (8001)
DateTime[INFO] Запуск службы NETLOGON
DateTime[INFO] Настройка службы NETLOGON на 2 возвращено 0
DateTime[INFO] Выполнена попытка операции контроллера домена

Где ошибки сопоставляются со следующими:

Код ошибки: 0xc0000001
Символическое имя: STATUS_UNSUCCESSFUL
Описание ошибки: {Operation Failed} Запрошенная операция не выполнена.

Код ошибки: 0x5
Символическое имя: ERROR_ACCESS_DENIED
Описание ошибки: доступ запрещен.

Сопоставления ошибок, содержащие код ошибки, символическое имя, описание ошибки и заголовок.

Причина

Эта проблема возникает, так как разрешение "Добавить или удалить реплику в домене" отсутствует для групп "Администраторы домена" и "Администраторы предприятия" в разделе домена.

Решение

Проблему можно устранить следующим способом.

  1. Убедитесь, что все действия и условия в разделе "Решение" статьи базы знаний 2002413 верны для вашей среды.

  2. Если повышение уровня контроллера домена по-прежнему завершается ошибкой даже после того, как пользователь также имеет разрешение SeEnableDelegationPrivilege, проверьте adsIEdit.msc, чтобы проверить действующие разрешения пользователя для раздела домена:

    1. Нажмите кнопку Пуск, выберите команду Выполнить и введите adsiedit.msc.

    2. Разверните контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и выберите пункт "Свойства".

    3. На вкладке "Безопасность " нажмите кнопку "Дополнительно ".

    4. На вкладке "Действующий доступ" введите имя пользователя или группы пользователя, выполняющего операцию, которая завершается ошибкой в DCPromo.

    5. Проверьте, предоставлена ли реплика "Добавить или удалить" в разрешении на доступ к домену.

      Добавление и удаление реплики в разрешениях на доступ к домену.

  3. Если для пользователя или группы отсутствует разрешение на добавление и удаление реплики в домене, добавьте его с помощью ADSIEdit.msc:

    1. Нажмите кнопку Пуск, выберите команду Выполнить и введите adsiedit.msc.

    2. Разверните контекст именования по умолчанию, щелкните правой кнопкой мыши DC=domain,DC=com и выберите пункт "Свойства".

    3. На вкладке "Безопасность " нажмите кнопку "Дополнительно ".

    4. На вкладке "Разрешения" добавьте или удалите реплику в разрешение на доступ к домену для требуемого пользователя или группы следующим образом:

      Тип: Разрешить
      Область применения: только этот объект

Дополнительная информация

Примечание.

Могут возникнуть дополнительные причины, по которым повышение или понижение контроллера домена завершается ошибкой "Доступ запрещен". Дополнительные сведения см. в статье 2002413 базы знаний.