DCPROMO échoue avec l’erreur « L’accès est refusé » si l’utilisateur effectue la promotion ne reçoit pas le droit d’utilisateur « approuvé pour la délégation »

  • Article

Cet article fournit une solution à une erreur Access is denied qui se produit avec DCPROMO (Domain Controller Promoter).

S’applique à : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Numéro de la base de connaissances d’origine : 2002413

Symptômes

La promotion DCPROMO d’un ordinateur membre Windows Server 2008 ou version ultérieure vers un contrôleur de domaine réplica échoue avec l’erreur suivante :

Titre : Sécurité Windows
Texte du message : Informations d’identification réseau
L’opération a échoué car : l’Assistant Installation de services de domaine Active Directory n’a pas pu convertir le nom> d’hôte du compte <d’ordinateur$ en compte domaine Active Directory Controller. « L’accès est refusé »

La rétrogradation DCPROMO peut échouer avec la même erreur :

Titre : Sécurité Windows
Texte du message : Informations d’identification réseau
L’opération a échoué car : services de domaine Active Directory n’a pas pu configurer le nom> d’hôte du compte <d’ordinateur$ sur le compte <de contrôleur de domaine Active Directory distant nom complet du contrôleur de domaine> d’assistance. « L’accès est refusé »

Cause

Le compte d’utilisateur utilisé pour exécuter DCPROMO n’a pas reçu le droit d’utilisateur « Activer les comptes d’ordinateur et d’utilisateur pour être approuvés pour la délégation ».

Résolution

  1. Vérifiez que la stratégie de contrôleurs de domaine par défaut existe dans Active Directory.

    Si la stratégie de contrôleur de domaine n’existe pas, évaluez si cette condition est due à une latence de réplication simple, à un échec de réplication Active Directory ou à la suppression de la stratégie d’Active Directory. Si la stratégie a été supprimée, contactez Support Microsoft pour recréer la stratégie manquante avec le GUID de stratégie par défaut (Identificateur global unique). Ne recréez pas manuellement la stratégie avec le même nom et les mêmes paramètres que la stratégie par défaut.

    Si la stratégie de contrôleurs de domaine par défaut existe dans Active Directory sur certains contrôleurs de domaine, mais pas sur d’autres, évaluez si cette incohérence est due à une latence simple de réplication ou à un échec de réplication. Résolvez en fonction des besoins.

  2. Vérifiez que le compte de serveur n’est pas protégé contre la suppression accidentelle.

    Pour ce faire, accédez au Centre d’administration Active Directory, recherchez votre serveur sous la liste Ordinateurs de votre domaine, puis ouvrez les propriétés. Dans la première section, juste sous les informations du système d’exploitation, vérifiez que la case Protéger contre la suppression accidentelle est décochée.

    Dans le processus d’élévation au contrôleur de domaine, le compte d’ordinateur du serveur est supprimé et ajouté à nouveau en tant que contrôleur de domaine. Si vous cochez cette case, cela ne peut pas se produire.

  3. Vérifiez que le compte d’utilisateur effectue l’opération DCPROMO a reçu le droit d’utilisateur « Activer les comptes d’ordinateur et d’utilisateur pour la délégation » dans la stratégie de contrôleurs de domaine par défaut.

    Exécutez whoami /all pour vérifier que le droit d’utilisateur « Permettre aux comptes d’ordinateur et d’utilisateur d’être approuvés pour la délégation » existe dans le jeton de sécurité des utilisateurs.

    Remarque

    Par défaut, ce droit est accordé aux membres du groupe de sécurité Administrateurs dans le domaine cible. Le compte Administrateur intégré est membre de ce groupe de sécurité, mais il a peut-être été supprimé.

    • Si un utilisateur autre que le groupe d’administrateurs intégré effectue des promotions DCPROMO, ajoutez ce compte d’utilisateur au groupe de sécurité Administrateurs ou ajoutez le compte d’utilisateur « Activer les comptes d’ordinateur et d’utilisateur pour être approuvés pour la délégation » dans la stratégie de contrôleurs de domaine par défaut.
    • « Permettre aux comptes d’ordinateur et d’utilisateur d’être approuvés pour la délégation » a été récemment modifié, ou la stratégie accordant le compte d’utilisateur DCPROMO existe sur certains contrôleurs de domaine du domaine, mais pas sur d’autres, case activée pour une latence de réplication simple ou un échec de réplication dans Active Directory et la réplication du système de fichiers (FSR) / réplication du système de fichiers distribué (DFSR).
    • Si la stratégie a été récemment modifiée, faites en sorte que le compte d’utilisateur DCPROMO se déconnecte et se connecte.

  4. Vérifiez que la stratégie de contrôleurs de domaine par défaut est liée à l’unité d’organisation des contrôleurs de domaine et que tous les comptes d’ordinateur dc restent dans cette unité d’organisation.

    Si les comptes d’ordinateurs dc restent dans un autre conteneur d’unité d’organisation, déplacez tous les comptes d’ordinateur dc vers l’unité d’organisation des contrôleurs de domaine ou liez la stratégie de contrôleurs de domaine par défaut au conteneur d’unité d’organisation secondaire.

  5. Vérifiez que la partie système de fichiers de la stratégie de contrôleurs de domaine par défaut existe dans le partage SYSVOL du contrôleur de domaine utilisé pour appliquer la stratégie sur l’ordinateur promu ou rétrogradé.

    S’il n’est pas présent, cela peut être dû à une ou plusieurs des raisons suivantes :

    • Latence de réplication dans FRS/DFSR
    • Échec de réplication dans FRS/DFSR
    • La stratégie a été supprimée de SYSVOL. Si la stratégie a été supprimée, contactez Support Microsoft pour recréer la stratégie manquante avec le GUID de stratégie par défaut. Ne recréez pas manuellement la stratégie avec le même nom et les mêmes paramètres que la stratégie par défaut.

  6. La stratégie de domaine ou la stratégie par défaut en général ne s’applique pas à l’utilisateur connecté

    Pour case activée pour l’héritage de stratégie, le filtrage WMI (Windows Management Instrumentation) ou le problème de descripteur de sécurité qui peut empêcher l’application de la stratégie, exécutez la commande suivante :

    gpresult /h result.html

Plus d’informations

  • Tableau 1. Journaux d’activité de promotion (exemple)

    DCPROMO. RAPPORT DCPROMOUI. RAPPORT
    [INFO] Création de l’objet NTDS Settings pour ce contrôleur domaine Active Directory sur l’instance ad DC <helperDC.contoso.com> distante...
    [INFO] Réplication de la partition du répertoire de schéma
    ...
    [INFO] Répliqué le conteneur de schéma.
    [INFO] services de domaine Active Directory mis à jour le cache de schéma.
    [INFO] Réplication de la partition de répertoire de configuration
    ...
    [INFO] Répliqué le conteneur de configuration.
    [INFO] Erreur : l’Assistant Installation services de domaine Active Directory n’a pas pu convertir le contrôleur de domaine du compte <d’ordinateur promu>$ en compte de contrôleur de domaine Active Directory. (5)
    [INFO] EVENTLOG (erreur) : NTDS Général / Traitement interne : 1168
    Erreur interne : une erreur services de domaine Active Directory s’est produite.

    Données supplémentaires

    Valeur d’erreur (décimale) :
    -1073741823

    Valeur d’erreur (hexadécimal) :
    c0000001

    ID interne :
    300162a

    [INFO] EVENTLOG (informationnel) : NTDS General/Service Control : 1004
    services de domaine Active Directory a été arrêté avec succès.

    [INFO] NtdsInstaller pour a.com retourné 5
    [INFO] DsRolepInstallDs retournés 5
    [ERREUR] Échec de l’installation sur le service d’annuaire (5)
    [INFO] Démarrage du service NETLOGON
    [INFO] La configuration du service NETLOGON sur 2 a retourné 0
    [INFO] L’opération de contrôleur de domaine tentée est terminée
    [INFO] DsRolepSetOperationDone retourné 0    		 Appel de DsRoleGetDcOperationResults
    Erreur 0x0 ( !0 => erreur)
    Résultats de l’opération :
    OperationStatus : 0x5 !0 => erreur
    DisplayString : l’Assistant Installation services de domaine Active Directory n’a pas pu convertir le contrôleur de domaine du compte <d’ordinateur promu>$ en compte domaine Active Directory Controller.
    ServerInstalledSite : (null)
    OperationResultsFlags : 0x0
    Entrez ProgressDialog ::UpdateText L’Assistant Installation services de domaine Active Directory n’a pas pu convertir le compte <d’ordinateur en cours de promotion>$ en compte domaine Active Directory Controller.
    Entrez State ::SetOperationResultsMessage L’Assistant Installation services de domaine Active Directory n’a pas pu convertir le compte <d’ordinateur en cours de promotion>$ en compte domaine Active Directory Controller.
    Entrez State ::SetOperationResultsFlags 0x0
    Exception interceptée
    catch completed
    gestion de l’exception
    Entrez State ::ClearHiddenWhileUnattended
    Entrez EnableConsoleLocking
    Entrez RegistryKey ::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Entrez RegistryKey ::SetValue-DWORD DisableLockWorkstation
    Entrez state ::SetOperationResults result FAILURE
    Entrez ProgressDialog ::UpdateText
    Entrez State ::IsOperationRetryAllowed
    true
    les informations d’identification n’étaient pas valides, hr=0x80070005
    Entrez GetErrorMessage 80070005
    Entrez State ::GetOperationResultsMessage L’Assistant Installation services de domaine Active Directory n’a pas pu convertir le compte <d’ordinateur en cours de promotion>$ en compte de contrôleur de domaine Active Directory.
    Entrez State ::GetOperation REPLICA
    Entrez State ::GetReplicaDomainDNSName <nom dns cible>

  • Tableau 2. Journaux de rétrogradation (exemple)

    DCPROMO. RAPPORT DCPROMOUI. RAPPORT
    [INFO] Désinstallation du service d’annuaire
    [INFO] Appel de NtdsDemote
    ...
    [INFO] Suppression des objets services de domaine Active Directory qui font référence au contrôleur de domaine Active Directory local du domaine> DNS du contrôleur <de domaine Active Directory distant...
    [INFO] Erreur : services de domaine Active Directory n’avez pas pu configurer le compte <d’ordinateur en cours de rétrogradation>$ sur le contrôleur de domaine d’assistance> du contrôleur <de domaine Active Directory distant.<Domaine> DNS. (5)
    [INFO] NtdsDemote retourné 5
    [INFO] DsRolepDemoteDs retournés 5
    [ERREUR] Échec de la rétrogradation du service d’annuaire (5)
    ....    		 ....
    OperationStatus : 0x5 !0 => erreur
    DisplayString : services de domaine Active Directory n’a pas pu configurer le compte <d’ordinateur dc name>$ sur le contrôleur de domaine d’assistance> du contrôleur <de domaine Active Directory distant.<domaine> dns.
    ServerInstalledSite : (null)
    OperationResultsFlags : 0x0
    Entrez ProgressDialog ::UpdateText services de domaine Active Directory n’a pas pu configurer le compte <d’ordinateur dc name>$ sur le VM1-W7.a.com remote domaine Active Directory Controller.
    Entrez State ::SetOperationResultsMessage services de domaine Active Directory n’avez pas pu configurer le compte <d’ordinateur dc name>$ sur le contrôleur de domaine d’assistance> du contrôleur <de domaine Active Directory distant.<Domaine> DNS.
    Entrez State ::SetOperationResultsFlags 0x0
    ...
    les informations d’identification n’étaient pas valides, hr=0x80070005
    Entrez GetErrorMessage 80070005
    Entrez State ::GetOperationResultsMessage services de domaine Active Directory n’a pas pu configurer le compte <d’ordinateur dc name>$ sur le contrôleur de domaine d’assistance> du contrôleur <de domaine Active Directory distant.<Domaine> DNS.
    Entrez State ::GetOperation DEMOTE
    Entrez State ::GetParentDomainDnsName