DCPROMO produce el error "Acceso denegado" si el usuario que realiza la promoción no se concede el derecho de usuario "de confianza para la delegación"

Se aplica a: Windows Server 2008 StandardWindows Server 2008 R2 StandardWindows Server 2012 R2 Standard

Síntomas


Promoción de DCPROMO de Windows Server 2008 o posterior equipo miembro de versión a una réplica de controlador de dominio se produce el error siguiente:

Título: Seguridad de WindowsTexto del mensaje: Credenciales de red

Error en la operación: el dominio de servicios de instalación Asistente para Active Directory no pudo convertir el equipo cuenta < hostname >$ en una cuenta de controlador de dominio de Active Directory. "Acceso denegado"

Degradación de DCPROMO puede fallar con el mismo error:

Título: Seguridad de WindowsTexto del mensaje: Credenciales de red

Error en la operación: los servicios de dominio de Active Directory no pudo configurar el equipo cuenta < hostname >$ a la cuenta de controlador de dominio de Active Directory < nombre completo del controlador de dominio auxiliar > remota. "Acceso denegado"

Causa


La cuenta de usuario utilizada para ejecutar DCPROMO no se concedió el derecho de usuario "Habilitar cuentas de equipo y usuario de confianza para la delegación".

Resolución


  1. Compruebe que existe la directiva predeterminada de controladores de dominio en Active Directory.Si no existe la directiva de controlador de dominio, evaluar si dicha condición es debido a la latencia de replicación simple, un error de replicación de AD, o si la directiva se ha eliminado de Active Directory. Si se ha eliminado la directiva, póngase en contacto con Microsoft Support para volver a crear la directiva con la directiva predeterminada GUID que faltan. No volver a crear manualmente la directiva con el mismo nombre y la configuración como predeterminada. Si existe la directiva predeterminada de controladores de dominio de Active Directory en algunos controladores de dominio, pero no otros, evaluar si dicha divergencia es vencimiento simple latencia de replicación o un error de replicación. Resolver según sea necesario.
  2. Comprobar que se ha concedido la cuenta de usuario que realice la operación DCPROMO en elDerecho de usuario "Habilitar cuentas de equipo y usuario de confianza para la delegación" en la directiva predeterminada de controladores de dominio.

Ejecute "whoami /all" para comprobar que existe el derecho de usuario "Habilitar cuentas de equipo y usuario de confianza para la delegación" en el token de seguridad de los usuarios.

  • Si está realizando un usuario distinto del grupo de administradores integrados promociones de DCPROMO, agregue esa cuenta de usuario al grupo de seguridad Administradores o agregue la cuenta de usuario la usuario "Habilitar cuentas de equipo y usuario de confianza para la delegación" derecho en la directiva predeterminada de controladores de dominio.
  • "Habilitar cuentas de equipo y usuario de confianza para la delegación" se modificó recientemente, o existe la directiva que concede a la cuenta de usuario DCPROMO en algunos controladores de dominio en el dominio pero no otros, compruebe si la latencia de replicación simple o un error de replicación en Active Directory y FRS / DFSR.
  • Si la directiva se ha modificado recientemente, tener la cuenta de usuario DCPROMO cierre la sesión y de inicio de sesión.
  1. Compruebe que la directiva predeterminada de controladores de dominio está vinculada a la unidad organizativa controladores de dominio y que todas las cuentas de equipo del DC residen en dicha unidad organizativa.

Si las cuentas de equipo del DC residen en un contenedor de unidad organizativa alternativo, mueva todas las cuentas de equipo de DC a la unidad organizativa controladores de dominio o vincular la directiva predeterminada de controladores de dominio para el contenedor de unidad organizativa alternativo.

  1. Compruebe que existe la parte de la directiva predeterminada de controladores de dominio del sistema de archivos en el recurso compartido SYSVOL del controlador de dominio que se utiliza para aplicar directivas en el equipo que se promueven o degradan.

Si no está presente, esto puede ser debido a uno o más de las siguientes razones:

  • Latencia de replicación de FRS / DFSR
  • Un error de replicación en FRS / DFSR
  • Se ha eliminado la directiva de la carpeta SYSVOL.Si se ha eliminado la directiva, póngase en contacto con Microsoft Support para volver a crear la directiva con la directiva predeterminada GUID que faltan. No volver a crear manualmente la directiva con el mismo nombre y configuración como valor predeterminado. 

5. no se aplica la directiva de dominio predeterminada o directiva en general para el usuario que ha iniciado la sesión

Para comprobar si la herencia de directivas, filtrado o seguridad problema descriptor WMI que impida la directiva de la aplicación, ejecute el siguiente comando:

    gpresult /h result.html

    Más información


    Tabla1. Registros de promoción (ejemplo)

    DCPROMO.LOG

    DCPROMOUI.LOG

    [INFO] Crear el objeto configuración NTDS para este controlador de dominio de Active Directory en el controlador de dominio remoto de AD < helperDC >. contoso.com... [INFO] Replicando la partición de directorio de esquema ... [INFO] Replicar el contenedor del esquema. [INFO] Los servicios de dominio de Active Directory actualiza la caché del esquema. [INFO] Replicando la partición de directorio de configuración ... [INFO] Replicado el contenedor de configuración. [INFO] Error - el Asistente para la instalación de los servicios de dominio de Active Directory no pudo convertir la cuenta de equipo < DC promocionado >$ en una cuenta de controlador de dominio de Active Directory. (5) [INFO] EVENTLOG (Error): NTDS General / interno procesamiento: 1168 Error interno: error de servicios un dominio de Active Directory. Datos adicionales Valor del error (decimal): -1073741823 Valor del error (hex): c0000001 Id. interno: 300162a [INFO] EVENTLOG (informativo): NTDS General / servicio Control: 1004 Los servicios de dominio de Active Directory se cerró correctamente. [INFO] NtdsInstall para a.com devolvió 5 [INFO] DsRolepInstallDs devolvió 5 [ERROR] No se pudo instalar el servicio de directorio (5) [INFO] Iniciar el servicio NETLOGON [INFO] Configurar el servicio NETLOGON para 2 devolvió 0 [INFO] Ha completado la operación de controlador de dominio [INFO] DsRolepSetOperationDone devolvió 0

    Llamar a DsRoleGetDcOperationResults Error 0 x 0 (! 0 = > error) Resultados de la operación: OperationStatus: 0 x 5! 0 = > error DisplayString: El Asistente para la instalación de los servicios de dominio de Active Directory no pudo convertir la cuenta de equipo < DC promocionado >$ en una cuenta de controlador de dominio de Active Directory. ServerInstalledSite: (null) OperationResultsFlags: 0 x 0 Escriba ProgressDialog::UpdateText el dominio de servicios de instalación Asistente para Active Directory no pudo convertir la cuenta de equipo $ < dc promocionado > a una cuenta de controlador de dominio de Active Directory. Escriba State::SetOperationResultsMessage el dominio de servicios de instalación Asistente para Active Directory no pudo convertir la cuenta de equipo $ < dc promocionado > a una cuenta de controlador de dominio de Active Directory. Escriba State::SetOperationResultsFlags 0 x 0 Excepción detectada catch completado control de excepciones Escriba State::ClearHiddenWhileUnattended Escriba EnableConsoleLocking Escriba RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Escriba RegistryKey::SetValue DWORD DisableLockWorkstation Escriba el resultado de State::SetOperationResults error Escriba ProgressDialog::UpdateText Escriba State::IsOperationRetryAllowed True credenciales no eran válidas, hr = 0 x 80070005 Escriba GetErrorMessage 80070005 Escriba State::GetOperationResultsMessage el dominio de servicios de instalación Asistente para Active Directory no pudo convertir la cuenta de equipo $ < dc promocionado > a una cuenta de controlador de dominio de Active Directory. Escriba State::GetOperation réplica Escriba State::GetReplicaDomainDNSName < nombre de dominio dns de destino >

     

    La tabla 2. Registros de degradación (ejemplo)

    DCPROMO.LOG

    DCPROMOUI.LOG

    [INFO] Desinstalar el servicio de directorio [INFO] Invocar NtdsDemote ... [INFO] Quitando objetos de servicios de dominio de Active Directory que hacen referencia el controlador de dominio de Active Directory local desde el controlador de dominio de directorio activo remoto < dominio DNS >... [INFO] Error: los servicios de dominio de Active Directory no pudo configurar la cuenta de equipo $ < dc que se degrada > en el controlador de dominio de directorio activo remoto < auxiliar DC >. < dominio DNS >. (5) [INFO] NtdsDemote devolvió 5 [INFO] DsRolepDemoteDs devolvió 5 [ERROR] No se pudo degradar el servicio de directorio (5) ...

    ... OperationStatus: 0 x 5! 0 = > error DisplayString: Servicios de dominio de Active Directory no pudo configurar la cuenta < nombre de dc >$ de equipo en el controlador de dominio de directorio activo remoto < auxiliar DC >. < dominio dns >. ServerInstalledSite: (null) OperationResultsFlags: 0 x 0 ENTRAR en servicios de dominio de ProgressDialog::UpdateText Active Directory no pudo configurar el equipo cuenta < nombre de dc >$ en el remoto Active Directory dominio controlador VM1-W7.a.com. Introducir servicios del dominio de Active Directory de State::SetOperationResultsMessage no pudo configurar la cuenta < nombre de dc >$ de equipo en el controlador de dominio de directorio activo remoto < auxiliar DC >. < dominio DNS >. Escriba State::SetOperationResultsFlags 0 x 0 ... credenciales no eran válidas, hr = 0 x 80070005 Escriba GetErrorMessage 80070005 Introducir servicios del dominio de Active Directory de State::GetOperationResultsMessage no pudo configurar la cuenta < nombre de dc >$ de equipo en el controlador de dominio de directorio activo remoto < auxiliar DC >. < dominio DNS >. Escriba State::GetOperation Disminuir nivel Escriba State::GetParentDomainDnsName