共用方式為

當您嘗試建立 NTDS Settings 物件時發生「拒絕存取」錯誤

  • 發行項

本文提供解決方案,可修正在現有網域中升級 Windows Server 2012 R2 或更新版本的域控制器時所發生的錯誤(拒絕存取)。

原始 KB 編號: 3207962

徵兆

當您嘗試升級現有網域中的 Windows Server 2012 R2 或更新版本的域控制器時,作業會失敗,並出現「拒絕存取」錯誤。 即使使用者是 Domain Admins 或 Enterprise Admins 群組的成員,也會發生此問題。

在此情況下,系統管理員會看到下列錯誤訊息:

標題:Windows 安全性
消息正文:網路認證

作業失敗,因為:Active Directory 網域服務 無法將計算機帳戶<主機名>$ 設定為遠端 Active Directory 網域 控制器帳戶<的完整協助程式DC>名稱。 「拒絕存取」

新增新域控制器的 NTDS Settings 物件時發生失敗,並傳回下列錯誤訊息:

工作失敗,因為:

Active Directory 網域服務 無法為此 Active Directory 網域 控制器 CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com 在遠端 AD DC DCName.ChildDomain.domain.com 建立 NTDS Settings 物件。 請確定所提供的網路認證具有足夠的許可權。

「拒絕存取」。

此外,DCPromo.log檔案會顯示下列錯誤:

2705DateTime[INFO]

錯誤 - Active Directory 網域服務 無法為此 Active Directory 網域 控制器 CN=NTDS 設定,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com 在遠端 AD DC DCName.ChildDomain.domain.com 建立 NTDS Settings 物件。 請確定所提供的網路認證具有足夠的許可權。 (5)

DateTime[INFO] EVENTLOG (錯誤):NTDS 一般/內部處理:1168 內部錯誤:發生 Active Directory 網域服務 錯誤。

其他資料

錯誤值 (十進位):

-1073741823

錯誤值 (十六進位):

c0000001

內部標識碼:30017c6

...
DateTime[INFO] NtdsInstall 傳 ChildDomain.domain.com 回的 5
DateTime [INFO] DsRolepInstallDs 傳回 5
DateTime [ERROR] 無法安裝到目錄服務 (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (中止升級) 失敗,8001
DateTime[WARNING] 無法中止系統磁碟區安裝 (8001)
DateTime[INFO] 啟動服務 NETLOGON
DateTime[INFO] 將服務 NETLOGON 設定為 2 傳回 0
DateTime[INFO] 嘗試的域控制器作業已完成

錯誤會對應至下列位置:

錯誤碼:0xc0000001
符號名稱:STATUS_UNSUCCESSFUL
錯誤描述: {Operation Failed} 要求的作業失敗。

錯誤碼:0x5
符號名稱:ERROR_ACCESS_DENIED
錯誤描述:拒絕存取。

包含錯誤碼、符號名稱、錯誤描述和標頭的錯誤對應。

原因

發生此問題的原因是網域分割區上網域系統管理員和企業系統管理員群組缺少 [新增/移除網域中的複本] 許可權。

解決方法

若要解決此問題,請依照下列步驟執行︰

  1. 確認知識庫文章 一節中的所有步驟和條件2002413 都適用於您的環境。

  2. 如果您確定使用者也有 SeEnableDelegationPrivilege 許可權之後,域控制器升級仍然失敗,請檢查 ADSIEdit.msc 以確認使用者對網域分割區的有效許可權:

    1. 按一下 [開始],按一下 [執行],然後輸入 adsiedit.msc。

    2. 展開 [預設命名內容],以滑鼠右鍵按兩下 [DC=domain,DC=com],然後按兩下 [ 內容]。

    3. 在 [ 安全性] 索引標籤上,按兩下 [ 進階 ] 按鈕。

    4. 在 [有效存取] 索引標籤上,輸入執行 DCPromo 失敗作業的使用者或組名。

    5. 確認是否已授與網域控制訪問許可權中的新增/移除複本。

      在網域控制訪問許可權中新增/移除複本。

  3. 如果使用者或群組缺少 [新增/移除網域中的複本] 許可權,請使用 ADSIEdit.msc 新增它:

    1. 按一下 [開始],按一下 [執行],然後輸入 adsiedit.msc。

    2. 展開 [預設命名內容],以滑鼠右鍵按兩下 [DC=domain,DC=com],然後按兩下 [ 內容]。

    3. 在 [ 安全性] 索引標籤上,按兩下 [ 進階 ] 按鈕。

    4. 在 [許可權] 索引標籤上,在所需使用者或群組的網域控制訪問許可權中新增/移除複本,如下所示:

      類型:允許
      適用於:此物件僅適用於

其他相關資訊

注意

可能有其他原因導致域控制器升級或降級失敗,並出現「拒絕存取」錯誤。 如需詳細資訊,請參閱 KB 2002413