Erreur « L’accès est refusé » lorsque vous essayez de créer un objet Paramètres NTDS

  • Article

Cet article fournit une solution pour corriger une erreur (accès refusé) qui se produit lorsque vous promouvez de nouveaux contrôleurs de domaine Windows Server 2012 R2 dans un domaine existant.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 3207962

Symptômes

Lorsque vous essayez de promouvoir de nouveaux contrôleurs de domaine Windows Server 2012 R2 dans un domaine existant, l’opération échoue avec une erreur « Accès refusé ». Ce problème se produit même lorsque l’utilisateur est membre du groupe Administrateurs du domaine ou Administrateurs d’entreprise.

Dans ce cas, l’administrateur voit le message d’erreur suivant :

Titre : Sécurité Windows
Texte du message : Informations d’identification réseau

L’opération a échoué car : services de domaine Active Directory n’a pas pu configurer le nom> d’hôte du compte <d’ordinateur$ sur le compte <de contrôleur de domaine Active Directory distant nom complet du contrôleur de domaine> d’assistance. « L’accès est refusé »

L’échec se produit lors de l’ajout de l’objet NTDS Settings pour le nouveau contrôleur de domaine, renvoyant le message d’erreur suivant :

L’opération a échoué car :

services de domaine Active Directory n’a pas pu créer l’objet NTDS Settings pour cette domaine Active Directory Contrôleur CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le DCName.ChildDomain.domain.com AD DC distant. Vérifiez que les informations d’identification réseau fournies disposent des autorisations suffisantes.

« L’accès est refusé. »

En outre, le fichier DCPromo.log affiche les erreurs suivantes :

2705DateTime[INFO]

Erreur : services de domaine Active Directory n’a pas pu créer l’objet NTDS Settings pour cette domaine Active Directory Contrôleur CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le DCName.ChildDomain.domain.com AD DC distant. Vérifiez que les informations d’identification réseau fournies disposent des autorisations suffisantes. (5)

DateTime[INFO] EVENTLOG (Erreur) : NTDS Général / Traitement interne : 1168 Erreur interne : une erreur services de domaine Active Directory s’est produite.

Données supplémentaires

Valeur d’erreur (décimale) :

-1073741823

Valeur d’erreur (hexadécimal) :

c0000001

ID interne : 30017c6

...
DateTime[INFO] NtdsInstall pour ChildDomain.domain.com retourné 5
DateTime [INFO] DsRolepInstallDs retournés 5
DateTime [ERROR] Échec de l’installation sur le service d’annuaire (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) a échoué avec 8001
DateTime[WARNING] Échec de l’abandon de l’installation du volume système (8001)
DateTime[INFO] Démarrage du service NETLOGON
DateTime[INFO] La configuration du service NETLOGON sur 2 a retourné 0
DateTime[INFO] L’opération de contrôleur de domaine tentée est terminée

Où les erreurs sont mappées aux éléments suivants :

Mappages d’erreurs qui contiennent le code d’erreur, le nom symbolique, la description de l’erreur et l’en-tête.

Cause

Ce problème se produit car l’autorisation Ajouter/supprimer un réplica dans le domaine est manquante pour les groupes Administrateurs du domaine et Administrateurs d’entreprise sur la partition de domaine du domaine.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Vérifiez que toutes les étapes et conditions décrites dans la section « Résolution » de l’article 2002413 de la Base de connaissances sont vraies pour votre environnement.

  2. Si la promotion du contrôleur de domaine échoue toujours, même après avoir vérifié que l’utilisateur dispose également de l’autorisation SeEnableDelegationPrivilege, case activée ADSIEdit.msc pour vérifier les autorisations effectives de l’utilisateur pour la partition de domaine :

    1. Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.

    2. Développez Contexte de nommage par défaut, cliquez avec le bouton droit sur DC=domaine,DC=com, puis cliquez sur Propriétés.

    3. Sous l’onglet Sécurité , cliquez sur le bouton Avancé .

    4. Sous l’onglet Accès effectif, entrez le nom d’utilisateur ou de groupe de l’utilisateur qui effectue l’opération qui échoue dans DCPromo.

    5. Vérifiez si l’autorisation Ajouter/supprimer réplica dans le contrôle de domaine a été accordée.

      Ajouter/supprimer des réplica dans l’autorisation d’accès du contrôle de domaine.

  3. Si l’autorisation Ajouter/supprimer un réplica dans le domaine est manquante pour l’utilisateur ou le groupe, ajoutez-la à l’aide de ADSIEdit.msc :

    1. Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.

    2. Développez Contexte de nommage par défaut, cliquez avec le bouton droit sur DC=domaine,DC=com, puis cliquez sur Propriétés.

    3. Sous l’onglet Sécurité , cliquez sur le bouton Avancé .

    4. Sous l’onglet Autorisations, ajoutez l’autorisation Ajouter/supprimer réplica dans le contrôle de domaine pour l’utilisateur ou le groupe souhaité comme suit :

      Type : Autoriser
      S’applique à : cet objet uniquement

Informations supplémentaires

Remarque

Il peut y avoir d’autres raisons pour lesquelles une promotion ou une rétrogradation de contrôleur de domaine échoue avec une erreur « L’accès est refusé ». Pour plus d’informations, consultez kb 2002413.