DCPROMO schlägt mit dem Fehler "Zugriff verweigert" fehl, wenn dem Benutzer, der die Heraufstufung durchführt, nicht das Benutzerrecht "vertrauenswürdig für die Delegierung" gewährt wird.

  • Artikel

Dieser Artikel enthält eine Lösung für einen Fehler vom Typ "Zugriff verweigert", der bei DCPROMO (Domänencontroller Promoter) auftritt.

Gilt für: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Ursprüngliche KB-Nummer: 2002413

Symptome

Die DCPROMO-Heraufstufung eines Mitgliedscomputers unter Windows Server 2008 oder höher zu einem Replikatdomänencontroller (DC) schlägt mit dem folgenden Fehler fehl:

Titel: Windows-Sicherheit
Nachrichtentext: Netzwerkanmeldeinformationen
Fehler beim Vorgang: Der Active Directory Domain Services-Installations-Assistent konnte den Computerkontohost<$> nicht in ein Active Directory-Domäne Controller-Konto konvertieren. "Zugriff verweigert"

Die DCPROMO-Herabstufung kann mit demselben Fehler fehlschlagen:

Titel: Windows-Sicherheit
Nachrichtentext: Netzwerkanmeldeinformationen
Fehler beim Vorgang: Active Directory Domain Services konnte den Computerkontohostname<>$ nicht für den vollqualifizierten Namen des Hilfsdomänencontrollers> Active Directory-Domäne Controllerkontos <konfigurieren. "Zugriff verweigert"

Ursache

Dem Benutzerkonto, das zum Ausführen von DCPROMO verwendet wird, wurde das Benutzerrecht "Computer und Benutzerkonten für die Delegierung vertrauenswürdig aktivieren" nicht gewährt.

Lösung

  1. Vergewissern Sie sich, dass die Standardrichtlinie für Domänencontroller in Active Directory vorhanden ist.

    Wenn die Domänencontrollerrichtlinie nicht vorhanden ist, bewerten Sie, ob diese Bedingung auf eine einfache Replikationslatenz, einen Active Directory-Replikationsfehler zurückzuführen ist oder ob die Richtlinie aus Active Directory gelöscht wurde. Wenn die Richtlinie gelöscht wurde, wenden Sie sich an Microsoft-Support, um die fehlende Richtlinie mit der Standardrichtlinien-GUID (Globally Unique Identifier) neu zu erstellen. Erstellen Sie die Richtlinie nicht manuell mit demselben Namen und den gleichen Einstellungen wie die Standardeinstellung neu.

    Wenn die Standarddomänencontrollerrichtlinie in Active Directory auf einigen Domänencontrollern vorhanden ist, aber nicht auf anderen, bewerten Sie, ob diese Inkonsistenz auf eine einfache Replikationslatenz oder einen Replikationsfehler zurückzuführen ist. Lösen Sie nach Bedarf auf.

  2. Stellen Sie sicher, dass das Serverkonto nicht vor versehentlichem Löschen geschützt ist.

    Wechseln Sie dazu zum Active Directory-Verwaltungscenter, suchen Sie ihren Server unter der Liste Computer in Ihrer Domäne, und öffnen Sie die Eigenschaften. Stellen Sie im ersten Abschnitt direkt unter den Betriebssysteminformationen sicher, dass das Kontrollkästchen Vor versehentlichem Löschen schützen deaktiviert ist.

    Bei der Erhöhung auf den Domänencontroller wird das Computerkonto für den Server gelöscht und als Domänencontroller erneut hinzugefügt. Wenn auf dieses Kontrollkästchen geklickt wird, kann dies nicht geschehen.

  3. Vergewissern Sie sich, dass dem Benutzerkonto der DCPROMO-Vorgang in der Standardrichtlinie für Domänencontroller das Benutzerrecht "Aktivieren der Vertrauenswürdigkeit von Computer- und Benutzerkonten für die Delegierung" gewährt wurde.

    Führen Sie aus whoami /all , um zu überprüfen, ob das Benutzerrecht "Computer und Benutzerkonten für die Delegierung aktivieren" im Sicherheitstoken für Benutzer vorhanden ist.

    Hinweis

    Standardmäßig wird dieses Recht Mitgliedern der Sicherheitsgruppe Administratoren in der Zieldomäne gewährt. Das integrierte Administratorkonto ist Mitglied dieser Sicherheitsgruppe, wurde jedoch möglicherweise entfernt.

    • Wenn ein anderer Benutzer als die integrierte Administratorgruppe DCPROMO-Höherstufungen durchführt, fügen Sie dieses Benutzerkonto entweder der Sicherheitsgruppe Administratoren hinzu, ODER fügen Sie das Benutzerkonto den Benutzer "Computer und Benutzerkonten für die Delegierung aktivieren" direkt in der Standardrichtlinie für Domänencontroller hinzu.
    • "Computer- und Benutzerkonten für die Delegierung vertrauenswürdig aktivieren" wurde kürzlich geändert, oder die Richtlinie, die das DCPROMO-Benutzerkonto gewährt, ist auf einigen Domänencontrollern in der Domäne vorhanden, aber nicht auf andere. Überprüfen Sie, ob eine einfache Replikationslatenz oder ein Replikationsfehler sowohl in Active Directory als auch bei der Dateisystemreplikation (FSR) / Distributed File System Replication (DFSR) vorliegt.
    • Wenn die Richtlinie kürzlich geändert wurde, müssen Sie das DCPROMO-Benutzerkonto abmelden und sich anmelden.

  4. Stellen Sie sicher, dass die Standardrichtlinie für Domänencontroller mit der Organisationseinheit für Domänencontroller verknüpft ist und dass alle DC-Computerkonten in dieser Organisationseinheit verbleiben.

    Wenn DC-Computerkonten in einem alternativen Organisationseinheitscontainer verbleiben, verschieben Sie entweder alle DC-Computerkonten in die Organisationseinheit der Domänencontroller, oder verknüpfen Sie die Standarddomänencontrollerrichtlinie mit dem alternativen Organisationseinheitscontainer.

  5. Vergewissern Sie sich, dass der Dateisystemteil der Standarddomänencontrollerrichtlinie in der SYSVOL-Freigabe des Domänencontrollers vorhanden ist, der zum Anwenden der Richtlinie auf den Computer verwendet wird, der höhergestuft oder herabgestuft wird.

    Wenn sie nicht vorhanden ist, kann dies auf einen oder mehrere der folgenden Gründe zurückzuführen sein:

    • Replikationslatenz in FRS/DFSR
    • Replikationsfehler in FRS/DFSR
    • Die Richtlinie wurde aus dem SYSVOL gelöscht. Wenn die Richtlinie gelöscht wurde, wenden Sie sich an Microsoft-Support, um die fehlende Richtlinie mit der Standardrichtlinien-GUID neu zu erstellen. Erstellen Sie die Richtlinie nicht manuell mit demselben Namen und den gleichen Einstellungen wie die Standardeinstellung neu.

  6. Die Standarddomänenrichtlinie oder -richtlinie gilt im Allgemeinen nicht für den angemeldeten Benutzer.

    Führen Sie den folgenden Befehl aus, um die Richtlinienvererbung, das Filtern der Windows-Verwaltungsinstrumentation (WMI) oder das Sicherheitsdeskriptorproblem zu überprüfen, das möglicherweise die Anwendung der Richtlinie verhindert:

    gpresult /h result.html

Weitere Informationen

  • Tabelle1. Protokolle aus höherer Heraufstufung (Beispiel)

    DCPROMO. PROTOKOLL DCPROMOUI. PROTOKOLL
    [INFO] Erstellen des NTDS-Einstellungsobjekts für diesen Active Directory-Domäne Controller im AD DC-RemotehilfsprogrammDC.contoso.com<>...
    [INFO] Replizieren der Schemaverzeichnispartition
    ...
    [INFO] Der Schemacontainer wurde repliziert.
    [INFO] Active Directory Domain Services den Schemacache aktualisiert.
    [INFO] Replizieren der Konfigurationsverzeichnispartition
    ...
    [INFO] Der Konfigurationscontainer wurde repliziert.
    [INFO] Fehler: Der Active Directory Domain Services-Installations-Assistent konnte den heraufgestuften> Computerkonto-DC <nicht in ein Active Directory-Domäne Controller-Konto konvertieren. (5)
    [INFO] EVENTLOG (Fehler): NTDS Allgemein /Interne Verarbeitung: 1168
    Interner Fehler: Es ist ein Active Directory Domain Services Fehler aufgetreten.

    Zusätzliche Daten

    Fehlerwert (dezimal):
    -1073741823

    Fehlerwert (hex):
    c0000001

    Interne ID:
    300162a

    [INFO] EVENTLOG (Informational): NTDS Allgemein / Dienststeuerung: 1004
    Active Directory Domain Services wurde erfolgreich heruntergefahren.

    [INFO] NtdsInstall for a.com 5 zurückgegeben
    [INFO] DsRolepInstallDs haben 5 zurückgegeben
    [FEHLER] Fehler bei der Installation im Verzeichnisdienst (5)
    [INFO] Starten des Diensts NETLOGON
    [INFO] Beim Konfigurieren des Diensts NETLOGON auf 2 wurde 0 zurückgegeben.
    [INFO] Der versuchte Domänencontrollervorgang wurde abgeschlossen.
    [INFO] DsRolepSetOperationDone hat 0 zurückgegeben.    		 Aufrufen von DsRoleGetDcOperationResults
    Fehler 0x0 (!0 => Fehler)
    Vorgangsergebnisse:
    OperationStatus: 0x5 !0 => Error
    DisplayString: Der Active Directory Domain Services-Installations-Assistent konnte den heraufgestuften> Computerkonto-DC <nicht in ein Active Directory-Domäne Controller-Konto konvertieren.
    ServerInstalledSite: (NULL)
    OperationResultsFlags: 0x0
    ProgressDialog::UpdateText eingeben Der Active Directory Domain Services-Installations-Assistent konnte das Computerkonto <dc, das höhergestuft> wurde, nicht in ein Active Directory-Domäne Controller-Konto konvertieren.
    Geben Sie State::SetOperationResultsMessage ein. Der Active Directory Domain Services-Installations-Assistent konnte das Computerkonto <dc, das höhergestuft> wurde, nicht in ein Active Directory-Domäne Controller-Konto konvertieren.
    Geben Sie state::SetOperationResultsFlags 0x0 ein.
    Ausnahme abgefangen
    Catch abgeschlossen
    Ausnahmebehandlung
    Geben Sie State::ClearHiddenWhileUnattended ein.
    Geben Sie EnableConsoleLocking ein.
    Geben Sie RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ein.
    Geben Sie RegistryKey::SetValue-DWORD DisableLockWorkstation ein.
    Geben Sie State::SetOperationResults result FAILURE ein.
    Geben Sie ProgressDialog::UpdateText ein.
    Geben Sie State::IsOperationRetryAllowed ein.
    true
    Anmeldeinformationen waren ungültig, hr=0x80070005
    Geben Sie getErrorMessage 80070005 ein.
    Geben Sie State::GetOperationResultsMessage ein. Der Active Directory Domain Services-Installations-Assistent konnte das Computerkonto <dc, das höhergestuft> wurde, nicht in ein Active Directory-Domäne Controller-Konto konvertieren.
    Geben Sie State::GetOperation REPLICA ein.
    Geben Sie State::GetReplicaDomainDNSName des <DNS-Zieldomänennamens ein.>

  • Tabelle 2. Protokolle aus Herabstufung (Beispiel)

    DCPROMO. PROTOKOLL DCPROMOUI. PROTOKOLL
    [INFO] Deinstallieren des Verzeichnisdiensts
    [INFO] Aufrufen von NtdsDemote
    ...
    [INFO] Entfernen Active Directory Domain Services Objekte, die auf den lokalen Active Directory-Domäne Controller verweisen, aus der DNS-Domäne> des Remote-Active Directory-Domäne Controllers<...
    [INFO] Fehler: Active Directory Domain Services konnte das Computerkonto <dc nicht konfigurieren, das auf dem Remote-Active Directory-Domäne Controllerhilfs-DC <>herabgestuft> wird.<DNS-Domäne>. (5)
    [INFO] NtdsDemote hat 5 zurückgegeben
    [INFO] DsRolepDemoteDs hat 5 zurückgegeben
    [FEHLER] Fehler beim Herabstufen des Verzeichnisdiensts (5)
    ....    		 ....
    OperationStatus: 0x5 !0 => Error
    DisplayString: Active Directory Domain Services konnte das Computerkonto <dc name>$ auf dem Remote-Active Directory-Domäne Controller-Hilfsdomänencontroller>< nicht konfigurieren.<DNS-Domäne>.
    ServerInstalledSite: (NULL)
    OperationResultsFlags: 0x0
    Geben Sie ProgressDialog::UpdateText ein Active Directory Domain Services das Computerkonto <dc name>$ auf dem Remote-Active Directory-Domäne Controller-VM1-W7.a.com nicht konfigurieren konnte.
    Geben Sie State::SetOperationResultsMessage ein Active Directory Domain Services das Computerkonto <dc name>$ auf dem Remote-Active Directory-Domäne Controllerhilfs-DC>< nicht konfigurieren konnte.<DNS-Domäne>.
    Geben Sie state::SetOperationResultsFlags 0x0 ein.
    ...
    Anmeldeinformationen waren ungültig, hr=0x80070005
    Geben Sie getErrorMessage 80070005 ein.
    Geben Sie State::GetOperationResultsMessage ein Active Directory Domain Services das Computerkonto <dc name>$ auf dem Remote-Active Directory-Domäne Controller-Hilfsdomänencontroller>< nicht konfigurieren konnte.<DNS-Domäne>.
    Geben Sie State::GetOperation DEMOTE ein.
    Geben Sie State::GetParentDomainDnsName ein.