Mensagem de erro "Acesso negado" durante a promoção de directório Active Directory do controlador de domínio de réplica

Traduções de Artigos Traduções de Artigos
Artigo: 250874 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Durante a promoção do Active Directory de um controlador de domínio réplica, poderá receber a seguinte mensagem de erro:
A operação falhou porque: não foi possível modificar as propriedades necessárias para o computador conta % computername % $ "Acesso negado".
A pasta %SystemRoot%\Debug\Dcpromo.log contém entradas semelhantes ao exemplo que se segue:
Hh: mm: MM/DD ss [INFO configurar a conta do servidor]
MM/DD HH: mm: ss [INFO] NtdsSetReplicaMachineAccount devolveu 5
MM/DD HH: mm: ss [INFO] DsRolepSetMachineAccountType devolveu 5
Erro MM/DD HH: mm: ss [INFO] - não foi possível modificar as propriedades necessárias para o %computername%$(5) de conta de computador
Um rastreio de rede mostra que a moldura ModifyReponse na moldura de ModifyRequest LDAP para o atributo UserAccountControl sem êxito com uma mensagem de erro "acesso insuficiente".

Causa

Uma das operações que ocorre durante a promoção do controlador de domínio réplica é a modificação do atributo UserAccountControl para o computador que está a promover. O atributo UserAccountControl é importante para definir a função do computador como um servidor membro ou controlador de domínio. Especificamente, o computador que está a promover executa as seguintes tarefas:
  1. Executa uma procura (LIGHTWEIGHT Directory Access Protocol) com um controlador de domínio existentes no domínio para a conta de computador (ObjectClass = utilizador, ObjectClass = computador, SamAccountName = % ComputerName % $).
  2. Tenta actualizar o atributo UserAccountControl, indicando uma alteração de um servidor membro num controlador de domínio.
  3. Tentativas para mover o objecto de conta de computador do contentor actual ou unidade organizacional, a unidade organizacional do controlador de domínio do domínio.
  4. Origens o esquema, configuração e contextos de atribuição de nomes de domínio para replicação de controladores de domínio que já existem.
Para os passos 2 e 3 para ser concluída com êxito, controlador de domínio de origem utilizado a nova réplica tem de ter com êxito replicados e aplicada a política de segurança. Aplicação da política é identificada por 1704 de ID de evento no registo de aplicações depois de promoção do Active Directory (Dcpromo) tem de executar (procure 1704 eventos sejam registados após a última entrada Dcpromo.log).

Específico para a direita necessário para actualizar o atributo UserAccountControl é o "Activar contas de computador e os utilizadores seja fidedigno para delegação" direito de utilizador, concedidas ao grupo Administradores predefinido de política de controladores de domínio.

Resolução

Para resolver este problema, utilize o método adequado:
  • Verifique se os actuais controladores de domínio no domínio aplicou a política de segurança e é concedido o direito de utilizador Activar contas de computador e os utilizadores para ser fidedigno para delegação a grupo de administradores na política de controladores de domínio (clique em Configuração do computador , clique em Definições do Windows , clique em Definições de segurança , clique em Políticas locais (Local Policies) e clique em Atribuição de direitos de utilizadores ).

    Para obter informações adicionais sobre como editar objectos de política de grupo no Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    322143COMO: Administrar GPOs no Windows 2000
    Para computadores que não têm este direito, confirme que objectos de política de grupo no sistema de ficheiros e serviços de directório terem sido replicadas e, em seguida, aplicar manualmente a política escrevendo o seguinte comando:
    secedit /refreshpolicy machine_policy
    Nota : Procurar para a seguinte mensagem no registo de aplicações confirmar a aplicação de política:
    ID de evento 1704: Política de segurança nos objectos de política de grupo são aplicadas com êxito.
  • Pare o serviço Netlogon em controladores de domínio origem que não têm este direito de aplicada a descobrir outro controlador de domínio no domínio que aplicado este direito.
  • Verifique se o controlador de domínio de origem está na unidade de organização. O nome do controlador de domínio de origem pode ser localizado no ficheiro oculto denominado Dcpromo.log na pasta %Systemroot%\debug no servidor do Windows 2000 está a tentar promover.
  • Abra uma linha de comandos no controlador de domínio de origem e execute o utilitário Gpresult.exe Resource Kit para verificar se está a ser aplicada a política de controladores de domínio o controlador de domínio de origem.

Ponto Da Situação

Microsoft confirmou que este problema existe no Microsoft Windows 2000.

Propriedades

Artigo: 250874 - Última revisão: 28 de fevereiro de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kberrmsg kbnetwork kbprb KB250874 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 250874

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com