通过

尝试创建 NTDS 设置对象时出现“访问被拒绝”错误

  • 项目

本文提供了解决在现有域中升级 Windows Server 2012 R2 或更高版本域控制器时出现的错误(访问被拒绝)的解决方案。

原始 KB 数: 3207962

现象

尝试在现有域中升级 Windows Server 2012 R2 或更高版本的域控制器时,操作会失败,并显示“拒绝访问”错误。 即使用户是域管理员或企业管理员组的成员,也会出现此问题。

在这种情况下,管理员会看到以下错误消息:

标题:Windows 安全
消息文本:网络凭据

操作失败,因为:Active Directory 域服务无法将计算机帐户<主机名>$ 配置为远程Active Directory 域控制器帐户<完全限定的帮助程序 DC> 名称。 “访问被拒绝”

为新的域控制器添加 NTDS 设置对象时发生失败,并返回以下错误消息:

操作失败,因为:

Active Directory 域服务无法为此Active Directory 域控制器 CN=NTDS 设置、CN=TEST-DC、CN=Servers、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com 的远程 AD DC DCName.ChildDomain.domain.com 创建 NTDS 设置对象。 确保提供的网络凭据具有足够的权限。

“访问被拒绝。

此外,DCPromo.log文件还显示以下错误:

2705DateTime[INFO]

错误 - Active Directory 域服务无法为此Active Directory 域控制器 CN=NTDS 设置,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com on remote AD DC DCName.ChildDomain.domain.com。 确保提供的网络凭据具有足够的权限。 (5)

DateTime[INFO] EVENTLOG (错误): NTDS 常规/内部处理:1168 内部错误:发生Active Directory 域服务错误。

其他数据

错误值(十进制):

-1073741823

错误值(十六进制):

c0000001

内部 ID:30017c6

...
DateTime[INFO] 返回的 5 的 NtdsInstall ChildDomain.domain.com
DateTime [INFO] DsRolepInstallDs 返回 5
DateTime [ERROR] 无法安装到目录服务 (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) 失败,出现 8001
DateTime[WARNING] 无法中止系统卷安装 (8001)
DateTime[INFO] 启动服务 NETLOGON
DateTime[INFO] 将服务 NETLOGON 配置为 2 返回 0
DateTime[INFO] 尝试的域控制器操作已完成

错误映射到以下位置:

错误代码:0xc0000001
符号名称:STATUS_UNSUCCESSFUL
错误说明:{操作失败} 请求的操作失败。

错误代码:0x5
符号名称:ERROR_ACCESS_DENIED
错误说明:拒绝访问。

包含错误代码、符号名称、错误说明和标头的错误映射。

原因

之所以出现此问题,是因为域的域管理员和企业管理员组缺少“域管理员”和“企业管理员”组的“在域中添加/删除副本”权限。

解决方法

若要解决此问题,请执行以下步骤:

  1. 验证知识库文章 的“解决方案”部分中的所有步骤和条件2002413 是否适合你的环境。

  2. 如果在确保用户还具有 SeEnableDelegationPrivilege 权限后域控制器升级仍然失败,请检查 ADSIEdit.msc 以验证用户对域分区的有效权限:

    1. 依次单击“开始”和“运行”,然后键入“adsiedit.msc”。

    2. 展开默认命名上下文,右键单击 DC=domain,DC=com,然后单击“ 属性”。

    3. “安全 ”选项卡上,单击“ 高级 ”按钮。

    4. 在“有效访问”选项卡上,输入执行 DCPromo 中失败操作的用户的用户或组名称。

    5. 确认是否已授予域控制访问权限中的“添加/删除副本”。

      在域控制访问权限中添加/删除副本。

  3. 如果用户或组缺少“在域中添加/删除副本”权限,请使用 ADSIEdit.msc 添加它:

    1. 依次单击“开始”和“运行”,然后键入“adsiedit.msc”。

    2. 展开默认命名上下文,右键单击 DC=domain,DC=com,然后单击“ 属性”。

    3. “安全 ”选项卡上,单击“ 高级 ”按钮。

    4. 在“权限”选项卡上,在所需用户或组的域控制访问权限中添加“添加/删除副本”,如下所示:

      类型:允许
      适用于:此对象仅适用于

详细信息

注意

域控制器升级或降级失败并出现“拒绝访问”错误的原因可能还有其他原因。 有关详细信息,请参阅 KB 2002413