DCPROMO produce el error "Acceso denegado" si el usuario realiza la promoción no se le concede el derecho de usuario de "confianza para delegación".

  • Artículo

En este artículo se proporciona una solución a un error de acceso denegado que se produce con DCPROMO (promotor de controlador de dominio).

Se aplica a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Número de KB original: 2002413

Síntomas

La promoción DCPROMO de un equipo miembro de Windows Server 2008 o una versión posterior a un controlador de dominio de réplica (DC) produce el siguiente error:

Título: Seguridad de Windows
Texto del mensaje: Credenciales de red
Error en la operación porque: el Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir el nombre de host> de la cuenta <de equipo$ en una cuenta de controlador de Dominio de Active Directory. "Acceso denegado"

DcPROMO Demotion puede producir el mismo error:

Título: Seguridad de Windows
Texto del mensaje: Credenciales de red
Error en la operación porque: Servicios de dominio de Active Directory no pudo configurar el nombre de host> de la cuenta <de equipo$ en el nombre completo de la cuenta <del controlador de Dominio de Active Directory remoto del controlador de dominio> auxiliar. "Acceso denegado"

Causa

A la cuenta de usuario usada para ejecutar DCPROMO no se le ha concedido el derecho de usuario "Habilitar cuentas de equipo y de usuario para que sean de confianza para la delegación".

Solución

  1. Compruebe que la directiva predeterminada de controladores de dominio existe en Active Directory.

    Si la directiva de controlador de dominio no existe, evalúe si esa condición se debe a una latencia de replicación simple, un error de replicación de Active Directory o si la directiva se ha eliminado de Active Directory. Si se ha eliminado la directiva, póngase en contacto con Soporte técnico de Microsoft para volver a crear la directiva que falta con el GUID de directiva predeterminado (identificador único global). No vuelva a crear manualmente la directiva con el mismo nombre y configuración que el valor predeterminado.

    Si la directiva de controladores de dominio predeterminada existe en Active Directory en algunos controladores de dominio, pero no en otros, evalúe si esa incoherencia se debe a una latencia de replicación simple o a un error de replicación. Resuelva según sea necesario.

  2. Compruebe que la cuenta de servidor no está protegida contra la eliminación accidental.

    Para ello, vaya al Centro de administración de Active Directory, busque el servidor en la lista Equipos del dominio y abra las propiedades. En la primera sección, justo debajo de la información del sistema operativo, asegúrese de que la casilla Proteger contra eliminación accidental esté desactivada.

    En el proceso de elevación al controlador de dominio, se elimina la cuenta de equipo del servidor y se vuelve a agregar como controlador de dominio. Si se hace clic en esta casilla, esto no puede ocurrir.

  3. Compruebe que la cuenta de usuario realiza la operación DCPROMO y que se le ha concedido el derecho de usuario "Habilitar cuentas de equipo y de usuario para que sean de confianza para la delegación" en la directiva de controladores de dominio predeterminada.

    Ejecute whoami /all para comprobar que el derecho de usuario "Habilitar cuentas de equipo y de usuario para que sean de confianza para la delegación" existe en el token de seguridad de los usuarios.

    Nota:

    De forma predeterminada, este derecho se concede a los miembros del grupo de seguridad Administradores en el dominio de destino. La cuenta de administrador integrada es miembro de este grupo de seguridad, pero puede que se haya quitado.

    • Si un usuario distinto del grupo de administradores integrado está realizando promociones DCPROMO, agregue esa cuenta de usuario al grupo de seguridad Administradores o agregue la cuenta de usuario al derecho de usuario "Habilitar cuentas de equipo y de usuario para la delegación" en la directiva de controladores de dominio predeterminada.
    • Recientemente se modificó la opción "Permitir que las cuentas de usuario y de equipo sean de confianza para la delegación", o bien la directiva que concede la cuenta de usuario DCPROMO existe en algunos controladores de dominio del dominio, pero no en otros, compruebe si hay latencia de replicación simple o un error de replicación en Active Directory y replicación del sistema de archivos (FSR) o replicación del sistema de archivos distribuido (DFSR).
    • Si la directiva se modificó recientemente, haga que la cuenta de usuario de DCPROMO cierre sesión e inicie sesión.

  4. Compruebe que la directiva de controladores de dominio predeterminada está vinculada a la unidad organizativa de controladores de dominio y que todas las cuentas de equipo de controlador de dominio permanecen en esa unidad organizativa.

    Si las cuentas de máquina de controlador de dominio permanecen en un contenedor de UO alternativo, mueva todas las cuentas de equipo de controlador de dominio a la unidad organizativa de controladores de dominio o vincule la directiva predeterminada de controladores de dominio al contenedor de unidad organizativa alternativa.

  5. Compruebe que la parte del sistema de archivos de la directiva de controladores de dominio predeterminada existe en el recurso compartido SYSVOL del controlador de dominio que se usa para aplicar la directiva en el equipo que se promueve o degrada.

    Si no está presente, puede deberse a uno o varios de los siguientes motivos:

    • Latencia de replicación en FRS/DFSR
    • Error de replicación en FRS/DFSR
    • La directiva se ha eliminado de SYSVOL. Si se ha eliminado la directiva, póngase en contacto con Soporte técnico de Microsoft para volver a crear la directiva que falta con el GUID de directiva predeterminado. No vuelva a crear manualmente la directiva con el mismo nombre y configuración que el valor predeterminado.

  6. La directiva o directiva de dominio predeterminada en general no se aplica al usuario que ha iniciado sesión.

    Para comprobar si hay herencia de directivas, problemas de filtrado de instrumental de administración de Windows (WMI) o descriptor de seguridad que puedan impedir la aplicación de directivas, ejecute el siguiente comando:

    gpresult /h result.html

Más información

  • Tabla1. Registros de promoción (ejemplo)

    DCPROMO. REGISTRO DCPROMOUI. REGISTRO
    [INFO] Crear el objeto de configuración de NTDS para este controlador de Dominio de Active Directory en el asistente remoto de DC <de ADDC.contoso.com>...
    [INFO] Replicación de la partición de directorio de esquema
    ...
    [INFO] Replicado el contenedor de esquema.
    [INFO] Servicios de dominio de Active Directory ha actualizado la caché de esquemas.
    [INFO] Replicación de la partición del directorio de configuración
    ...
    [INFO] Replicado el contenedor de configuración.
    [INFO] Error: el Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir el controlador de dominio de la cuenta <de equipo que se promovió>$ a una cuenta del controlador de Dominio de Active Directory. (5)
    [INFO] EVENTLOG (error): NTDS General /Internal Processing: 1168
    Error interno: se ha producido un error de Servicios de dominio de Active Directory.

    Datos adicionales

    Valor de error (decimal):
    -1073741823

    Valor de error (hexadecimal):
    c0000001

    Identificador interno:
    300162a

    [INFO] EVENTLOG (informativo): NTDS General/Service Control: 1004
    Servicios de dominio de Active Directory se cerró correctamente.

    [INFO] NtdsInstall para a.com devolvió 5
    [INFO] DsRolepInstallDs devuelto 5
    [ERROR] No se pudo instalar en el servicio de directorio (5)
    [INFO] Inicio del servicio NETLOGON
    [INFO] Configuración del servicio NETLOGON en 2 devuelto 0
    [INFO] Se ha completado la operación de controlador de dominio que se ha intentado
    [INFO] DsRolepSetOperationDone devolvió 0    		 Llamada a DsRoleGetDcOperationResults
    Error 0x0 (!0 => error)
    Resultados de la operación:
    OperationStatus: 0x5 !0 => error
    DisplayString: el Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir el controlador de dominio de la cuenta <de equipo que se promocionaba>$ a una cuenta de controlador de Dominio de Active Directory.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Escriba ProgressDialog::UpdateText El Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir la cuenta <de equipo dc que se promociona>$ a una cuenta de controlador de Dominio de Active Directory.
    Escriba State::SetOperationResultsMessage El Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir la cuenta <de equipo dc que se promociona>$ en una cuenta de controlador de Dominio de Active Directory.
    Escriba State::SetOperationResultsFlags 0x0
    Excepción detectada
    catch completado
    control de la excepción
    Escriba State::ClearHiddenWhileUnattended
    Escriba EnableConsoleLocking
    Escriba RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Escriba RegistryKey::SetValue-DWORD DisableLockWorkstation
    Escriba State::SetOperationResults result FAILURE
    Escriba ProgressDialog::UpdateText
    Escriba State::IsOperationRetryAllowed
    true
    credenciales no eran válidas, hr=0x80070005
    Escriba GetErrorMessage 80070005
    Escriba State::GetOperationResultsMessage El Asistente para instalación de Servicios de dominio de Active Directory no pudo convertir la cuenta <de equipo dc que se promociona>$ en una cuenta de controlador de Dominio de Active Directory.
    Escriba State::GetOperation REPLICA
    Escriba El nombre de dominio dns de destino State::GetReplicaDomainDNSName <>

  • Tabla 2. Registros de Demotion (ejemplo)

    DCPROMO. REGISTRO DCPROMOUI. REGISTRO
    [INFO] Desinstalación del servicio de directorio
    [INFO] Invocación de NtdsDemote
    ...
    [INFO] Quitar objetos Servicios de dominio de Active Directory que hacen referencia al controlador de Dominio de Active Directory local del dominio> DNS del controlador <Dominio de Active Directory remoto...
    [INFO] Error: Servicios de dominio de Active Directory no se pudo configurar la cuenta <de equipo dc que se está degradando>$ en el controlador de dominio auxiliar> del controlador <de Dominio de Active Directory remoto.<Dominio> DNS. (5)
    [INFO] NtdsDemote devolvió 5
    [INFO] DsRolepDemoteDs devolvió 5
    [ERROR] Error al degradar el servicio de directorio (5)
    ....    		 ....
    OperationStatus: 0x5 !0 => error
    DisplayString: Servicios de dominio de Active Directory no se pudo configurar el nombre> de controlador de dominio de la cuenta <de equipo$ en el controlador de dominio del asistente> de controlador Dominio de Active Directory <remoto.<dominio> dns.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0
    Escriba ProgressDialog::UpdateText Servicios de dominio de Active Directory no pudo configurar la cuenta <de equipo dc name>$ en la VM1-W7.a.com del controlador de Dominio de Active Directory remoto.
    Escriba State::SetOperationResultsMessage Servicios de dominio de Active Directory no pudo configurar la cuenta <de equipo dc name>$ en el controlador de dominio auxiliar> de controlador remoto Dominio de Active Directory<.<Dominio> DNS.
    Escriba State::SetOperationResultsFlags 0x0
    ...
    credenciales no eran válidas, hr=0x80070005
    Escriba GetErrorMessage 80070005
    Escriba State::GetOperationResultsMessage Servicios de dominio de Active Directory no pudo configurar la cuenta <de equipo dc name>$ en el controlador de dominio auxiliar> del controlador <de Dominio de Active Directory remoto.<Dominio> DNS.
    Escriba State::GetOperation DEMOTE
    Escriba State::GetParentDomainDnsName