Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Thông báo lỗi "Truy cập bị từ chối" trong thời gian hoạt động thư mục chương trình khuyến mại của Replica Domain Controller

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:250874
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Trong thư mục hoạt động xúc tiến của điều khiển vùng bản sao, bạn có thể nhận được thông báo lỗi sau:
Thao tác thất bại vì: thất bại trong việc sửa đổi các thuộc tính cần thiết cho $ % máy computername % tài khoản "Truy cập từ chối".
%SystemRoot%\Debug\Dcpromo.log cặp chứa các mục tương tự như ví dụ sau:
MM/DD HH:MM:SS [thông tin] cấu hình trương mục máy chủ
MM/DD HH:MM:SS [thông tin] NtdsSetReplicaMachineAccount trở về 5
MM/DD HH:MM:SS [thông tin] DsRolepSetMachineAccountType trở về 5
MM/DD HH:MM:SS [thông tin] lỗi - thất bại trong việc sửa đổi các thuộc tính cần thiết cho máy tài khoản %computername%$(5)
Một dấu vết mạng cho thấy rằng khung ModifyReponse để khung LDAP ModifyRequest cho các thuộc tính UserAccountControl không thành công với một thông báo lỗi "truy cập không đủ".
NGUYÊN NHÂN
Một trong các hoạt động diễn ra trong chương trình khuyến mại của điều khiển vùng bản sao là thay đổi của các thuộc tính UserAccountControl cho máy tính bạn đang quảng bá. Thuộc tính UserAccountControl là quan trọng để xác định vai trò của máy tính như là một thành viên phục vụ hoặc bộ điều khiển vùng. Cụ thể, máy tính bạn đang thúc đẩy thực hiện các tác vụ sau:
  1. Thực hiện một tìm kiếm Lightweight Directory Access Protocol (LDAP) chống lại một bộ điều khiển tên miền hiện có trong tên miền của tài khoản máy tính (ObjectClass = người sử dụng, ObjectClass = máy tính, SamAccountName = % ComputerName %$).
  2. Cố gắng để cập nhật các thuộc tính UserAccountControl, cho thấy một sự thay đổi từ một máy chủ thành viên để điều khiển vùng.
  3. Cố gắng để di chuyển đối tượng tài khoản máy tính từ các thùng chứa hiện tại hoặc đơn vị tổ chức, đơn vị tổ chức điều khiển vùng của vùng.
  4. Nguồn giản đồ, cấu hình và bối cảnh đặt tên miền cho nhân rộng từ bộ điều khiển vùng đã tồn tại.
Bước 2 và 3 để thành công, điều khiển vùng nguồn được sử dụng bởi các bản sao mới phải có thành công nhân rộng và áp dụng chính sách bảo mật. Áp dụng các chính sách được xác định bởi sự kiện ID 1704 trong Nhật ký ứng dụng sau khi thư mục hoạt động xúc tiến (Dcpromo) đã chạy (xem cho sự kiện 1704 được đăng sau khi nhập cảnh cuối cùng ở Dcpromo.log).

Cụ thể phải yêu cầu để cập nhật các thuộc tính UserAccountControl là người "Cho phép máy tính và người dùng tài khoản được tin cậy cho đoàn đại biểu" dùng đúng, được cấp cho các quản trị viên nhóm trong mặc định chính sách bộ điều khiển tên miền.
GIẢI PHÁP
Để giải quyết vấn đề này, sử dụng các phương pháp thích hợp:
  • Xác minh rằng các bộ điều khiển tên miền hiện tại trong tên miền đã áp dụng chính sách an ninh và các Cho phép máy tính và người dùng tài khoản được tin cậy cho đoàn đại biểu người sử dụng phải được cấp cho nhóm người quản trị trong chính sách bộ điều khiển tên miền (nhấp chuột Cấu hình máy tính, bấm Thiết đặt Windows, bấm Thiết đặt bảo mật, bấm Chính sách địa phương, và sau đó nhấp vào Chuyển nhượng quyền sử dụng).

    Để biết thêm chi tiết về chỉnh sửa đối tượng chính sách nhóm trong Windows 2000, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    322143Làm thế nào để: Quản trị GPOs trong Windows 2000
    Đối với các máy tính mà không có quyền này, xác nhận rằng các đối tượng chính sách nhóm trong thư mục dịch vụ và tập tin hệ thống có nhân rộng, và sau đó tự áp dụng chính sách bằng cách gõ lệnh sau đây:
    secedit /refreshpolicy machine_policy
    LƯU Ý: Tìm thông báo sau vào Nhật ký ứng dụng để xác nhận việc áp dụng chính sách:
    Tổ chức sự kiện ID 1704: Chính sách bảo mật trong các đối tượng chính sách nhóm được áp dụng thành công.
  • Dừng dịch vụ Netlogon vào các bộ điều khiển vùng nguồn mà không có quyền này được áp dụng để khám phá một bộ điều khiển tên miền trong tên miền áp dụng quyền này.
  • Kiểm chứng rằng điều khiển vùng nguồn trong các đơn vị tổ chức. Tên bộ điều khiển vùng nguồn có thể được tìm thấy trong tập tin ẩn được gọi là Dcpromo.log trong %Systemroot%\debug cặp trên hệ phục vụ Windows 2000 mà bạn đang cố gắng để thúc đẩy.
  • Mở một dấu nhắc lệnh trên bộ điều khiển vùng nguồn, và chạy tiện ích Gpresult.exe tài nguyên Kit để xác minh rằng chính sách bộ điều khiển tên miền được áp dụng cho điều khiển miền của nguồn.
TÌNH TRẠNG
Microsoft đã xác nhận điều này là một vấn đề trong Microsoft Windows 2000.
Fail thất bại thất bại

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 250874 - Xem lại Lần cuối: 12/05/2015 18:14:16 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kberrmsg kbnetwork kbprb kbmt KB250874 KbMtvi
Phản hồi