DCPROMO schlägt fehl mit Fehlermeldung "Zugriff verweigert", wenn der Benutzer die Aktion nicht das "für Delegierungszwecke vertrauenswürdig" Benutzerrecht gewährt wird

Gilt für: Windows Server 2008 StandardWindows Server 2008 R2 StandardWindows Server 2012 R2 Standard

Problembeschreibung


DCPROMO Förderung eines Windows Server 2008 oder höher Version Mitgliedscomputer Replikat eines DC schlägt fehl mit Fehler:

Titel: Windows-SicherheitMeldungstext: Netzwerk-Anmeldeinformationen

Der Vorgang ist fehlgeschlagen: die Active Directory Domain Services Installationsassistent konnte auf einem Domänencontroller Active Directory-Konto Computer Konto < Hostname >$ konvertieren. "Zugriff verweigert"

DCPROMO-Herabstufung kann derselbe Fehler fehl:

Titel: Windows-SicherheitMeldungstext: Netzwerk-Anmeldeinformationen

Der Vorgang ist fehlgeschlagen: Active Directory Domain Services konnte der Computer Konto < Hostname >$ remote Domänencontroller Active Directory-Konto < vollqualifizierten Namen der Hilfs-DC > konfigurieren. "Zugriff verweigert"

Ursache


Das Benutzerkonto DCPROMO ausgeführt wurde nicht die Berechtigung "Ermöglichen Computer- und Benutzerkonten für Delegierungszwecke vertraut" erteilt.

Fehlerbehebung


  1. Überprüfen, die die Standard-Domänencontrollerrichtlinie in Active Directory vorhanden ist.Wenn die Domänencontrollerrichtlinie nicht vorhanden ist, prüfen, ob die Bedingung ist durch einfache Replikationswartezeit ein Replikationsfehler AD und gibt an, ob die Richtlinie aus Active Directory gelöscht wurde. Die Richtlinie gelöscht, wenden Sie sich an Microsoft Support, um fehlende Richtlinien mit der Standardrichtlinie GUID erstellen. Erstellen Sie die Richtlinie mit dem gleichen Namen und Einstellungen nicht manuell als Standard. Ist die Standard-Domänencontrollerrichtlinie auf einigen Domänencontrollern in Active Directory vorhanden, Eignung, Inkonsistenz einfache Replikationswartezeit oder einen Replikationsfehler. Beheben Sie nach Bedarf.
  2. Vorgang DCPROMO Benutzerkonto erteilt Überprüfen derIn der Standard-Domänencontrollerrichtlinie Benutzerrecht "Aktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut".

Führen Sie "Whoami/all" überprüfen, ob das Benutzerrecht "Aktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut" in das Sicherheitstoken für den Benutzer vorhanden ist.

  • Wenn andere Benutzer als der integrierten Administratorgruppe ausführen DCPROMO Aktionen der Sicherheitsgruppe Administratoren dieses Benutzerkonto hinzufügen oder das Benutzerkonto Benutzer "Aktivieren von Computer- und Benutzerkonten für Delegierungszwecke vertraut" rechts in der Standard-Domänencontrollerrichtlinie.
  • "Aktivieren der Computer- und Benutzerkonten für Delegierungszwecke vertraut" wurde kürzlich geändert oder Benutzerkonto DCPROMO gewährende Richtlinie auf bestimmte Domänencontroller der Domäne aber nicht vorhanden ist, für einfache Replikationswartezeit oder eine Replikation überprüfen Active Directory und FRS / DFSR.
  • Wenn die Richtlinie zuletzt geändert wurde, haben Sie die DCPROMO Benutzer melden und auf.
  1. Überprüfen Sie die Standard-Domänencontrollerrichtlinie mit der Domänencontroller-Organisationseinheit verknüpft ist, die Computerkonten für alle Domänencontroller in dieser Organisationseinheit befinden.

Wenn DC-Computerkonten in eine andere OU-Container befinden, entweder alle Domänencontroller-Computerkonten in die Organisationseinheit Domain Controllers verschieben oder die Verknüpfung der Standard-Domänencontrollerrichtlinie alternativen OU-Containers.

  1. Überprüfen des Vorhandenseins der Dateisystemabschnitt der Standard-Domänencontrollerrichtlinie in der SYSVOL-Freigabe verwendet wird, um die Richtlinie auf dem Computer heraufgestuften bzw. herabgestuften Domänencontroller.

Nicht vorhanden, kann dies eine oder mehrere der folgenden Gründe haben:

  • Replikationslatenz FRS / DFSR
  • Einen Replikationsfehler FRS / DFSR
  • Die Richtlinie wurde von SYSVOL gelöscht.Die Richtlinie gelöscht, wenden Sie sich an den Microsoft Support, um fehlende Richtlinien mit der Standardrichtlinie GUID erstellen. Die Richtlinie mit dem gleichen Namen und Einstellungen standardmäßig nicht manuell neu. 

5. die Standarddomänenrichtlinie oder die Richtlinie im Allgemeinen dem angemeldeten Benutzer nicht übernommen wird

Zum Überprüfen der Vererbung WMI-Filterung oder Sicherheit Deskriptor Problem, die Richtlinie angewendet wird, verhindert werden kann, führen den folgenden Befehl:

    gpresult /h result.html

    Weitere Informationen


    Tabelle1. Protokolle von Promotion (Beispiel)

    DCPROMO.LOG

    DCPROMOUI.LOG

    [INFO] Erstellen das NTDS-Einstellungsobjekt für diesen Active Directory-Domänencontroller remote AD DC < HelperDC >. contoso.com. [INFO] Die Schemaverzeichnispartition replizieren ... [INFO] Den Schemacontainer wird repliziert. [INFO] Active Directory-Domänendienste hat den Schemacache aktualisiert. [INFO] Die Verzeichnispartition replizieren ... [INFO] Den Konfigurationscontainer repliziert. [INFO] Fehler - konnte mit dem Assistenten zum Installieren von Active Directory-Domäne das Computerkonto < DC gefördert >$ in eine Firma Active Directory-Domänencontroller konvertiert. (5) [INFO] Ereignisprotokoll (Fehler): NTDS Allgemein / interne Verarbeitung: 1168 Interner Fehler: ein Active Directory-Domänendienste-Fehler aufgetreten. Zusätzliche Daten Wert (dezimal): -1073741823 Wert (Hex): c0000001 Interne Kennung: 300162a [INFO] Ereignisprotokoll (Information): NTDS Allgemein / Service Control: 1004 Active Directory-Domänendienste wurde erfolgreich heruntergefahren. [INFO] NtdsInstall für a.com zurückgegeben 5 [INFO] DsRolepInstallDs 5 zurückgegeben [FEHLER] Fehler beim Verzeichnisdienst (5) installieren [INFO] NETLOGON-Dienst wird gestartet [INFO] Konfigurieren des Dienstes NETLOGON 2 zurückgegeben 0 [INFO] Der Domänencontrollervorgang wurde abgeschlossen. [INFO] DsRolepSetOperationDone 0 zurückgegeben

    DsRoleGetDcOperationResults aufrufen Fehler 0 x 0 (! 0 = > Fehler) Ergebnisse: OperationStatus: 0 x 5. 0 = > Fehler DisplayString: mit dem Assistenten zum Installieren von Active Directory-Domäne konnte das Computerkonto < DC gefördert >$ auf einem Domänencontroller Active Directory-Konto konvertieren. ServerInstalledSite: (null) OperationResultsFlags: 0 x 0 Geben Sie ProgressDialog::UpdateText die Active Directory Domain Services Installationsassistent konnte das Computerkonto < dc gefördert >$ auf einem Domänencontroller Active Directory-Konto konvertieren. Geben Sie State::SetOperationResultsMessage die Active Directory Domain Services Installationsassistent konnte das Computerkonto < dc gefördert >$ auf einem Domänencontroller Active Directory-Konto konvertieren. Geben Sie State::SetOperationResultsFlags 0 x 0 Ausnahme Catch abgeschlossen Ausnahme State::ClearHiddenWhileUnattended eingeben EnableConsoleLocking eingeben Geben Sie RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Geben Sie RegistryKey::SetValue DWORD DisableLockWorkstation State::SetOperationResults Ergebnis Fehler ProgressDialog::UpdateText eingeben State::IsOperationRetryAllowed eingeben STIMMT Anmeldeinformationen sind ungültig, hr = 0 x 80070005 GetErrorMessage 80070005 eingeben Geben Sie State::GetOperationResultsMessage die Active Directory Domain Services Installationsassistent konnte das Computerkonto < dc gefördert >$ auf einem Domänencontroller Active Directory-Konto konvertieren. Geben Sie State::GetOperation REPLIKAT Geben Sie State::GetReplicaDomainDNSName < DNS-Domain-Namen >

     

    Tabelle 2. Protokolle von Herabstufung (Beispiel)

    DCPROMO.LOG

    DCPROMOUI.LOG

    [INFO] Der Verzeichnisdienst wird deinstalliert [INFO] NtdsDemote aufrufen ... [INFO] Active Directory-Domänendienste-Objekte entfernt, die auf dem lokalen Active Directory-Domänencontroller vom entfernten Active Directory Domänencontroller < Domäne >... [INFO] Fehler - Active Directory Domain Services konnte nicht konfiguriert das Computerkonto < dc herabgestufte >$ auf dem remote Active Directory-Domänencontroller < Hilfs-DC >. < Domäne >. (5) [INFO] NtdsDemote 5 zurückgegeben [INFO] DsRolepDemoteDs 5 zurückgegeben [FEHLER] Fehler beim Zurückstufen des Verzeichnisdienst (5) ...

    ... OperationStatus: 0 x 5. 0 = > Fehler DisplayString: Active Directory Domain Services konnte nicht konfiguriert werden Computer Konto < dc Name >$ auf dem remote Active Directory-Domänencontroller < Hilfs-DC >. < Domäne >. ServerInstalledSite: (null) OperationResultsFlags: 0 x 0 Geben Sie ProgressDialog::UpdateText Active Directory Domain Services konnte nicht konfiguriert werden Computer Konto < dc Name >$ auf dem remote Active Directory Domain Controller VM1-W7.a.com. Geben Sie State::SetOperationResultsMessage Active Directory Domain Services konnte nicht konfiguriert Computer Konto < dc Name >$ auf dem remote Active Directory-Domänencontroller < Hilfs-DC >. < Domäne >. Geben Sie State::SetOperationResultsFlags 0 x 0 ... Anmeldeinformationen sind ungültig, hr = 0 x 80070005 GetErrorMessage 80070005 eingeben Geben Sie State::GetOperationResultsMessage Active Directory Domain Services konnte nicht konfiguriert Computer Konto < dc Name >$ auf dem remote Active Directory-Domänencontroller < Hilfs-DC >. < Domäne >. Geben Sie State::GetOperation tiefer stufen State::GetParentDomainDnsName eingeben