Erreur « L’accès est refusé » lorsque vous essayez de créer un objet Paramètres NTDS
Cet article fournit une solution pour corriger une erreur (accès refusé) qui se produit lorsque vous promouvez de nouveaux contrôleurs de domaine Windows Server 2012 R2 dans un domaine existant.
Numéro de la base de connaissances d’origine : 3207962
Symptômes
Lorsque vous essayez de promouvoir de nouveaux contrôleurs de domaine Windows Server 2012 R2 dans un domaine existant, l’opération échoue avec l’erreur « Accès refusé ». Ce problème se produit même lorsque l’utilisateur est membre du groupe Administrateurs du domaine ou Administrateurs d’entreprise.
Dans ce cas, l’administrateur voit le message d’erreur suivant :
Titre : Sécurité Windows
Texte du message : Informations d’identification réseau
L’opération a échoué car : Les services de domaine Active Directory n’ont pas pu configurer le nom> d’hôte du compte <d’ordinateur$ sur le compte <de contrôleur de domaine Active Directory distant nom complet du contrôleur de domaine> d’assistance. « L’accès est refusé »
L’échec se produit lors de l’ajout de l’objet NTDS Settings pour le nouveau contrôleur de domaine, renvoyant le message d’erreur suivant :
L’opération a échoué car :
Les services de domaine Active Directory n’ont pas pu créer l’objet NTDS Settings pour ce contrôleur de domaine Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le DCName.ChildDomain.domain.com AD DC distant. Vérifiez que les informations d’identification réseau fournies disposent des autorisations suffisantes.
« L’accès est refusé. »
En outre, le fichier DCPromo.log affiche les erreurs suivantes :
2705DateTime[INFO]
Erreur : Les services de domaine Active Directory n’ont pas pu créer l’objet NTDS Settings pour ce contrôleur de domaine Active Directory CN=NTDS Settings,CN=TEST-DC,CN=Servers,CN=mysite,CN=Sites,CN=Configuration,DC=domain,DC=com sur le DCName.ChildDomain.domain.com AD DC distant. Vérifiez que les informations d’identification réseau fournies disposent des autorisations suffisantes. (5)
DateTime[INFO] EVENTLOG (Erreur) : NTDS Général / Traitement interne : 1168 Erreur interne : Une erreur Active Directory Domain Services s’est produite.
Données supplémentaires
Valeur d’erreur (décimale) :
-1073741823
Valeur d’erreur (hexadécimal) :
c0000001
ID interne : 30017c6
...
DateTime[INFO] NtdsInstall pour ChildDomain.domain.com
retourné 5
DateTime [INFO] DsRolepInstallDs retournés 5
DateTime [ERROR] Échec de l’installation sur le service d’annuaire (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) a échoué avec 8001
DateTime[WARNING] Échec de l’abandon de l’installation du volume système (8001)
DateTime[INFO] Démarrage du service NETLOGON
DateTime[INFO] La configuration du service NETLOGON sur 2 a retourné 0
DateTime[INFO] L’opération de contrôleur de domaine tentée est terminée
Où les erreurs sont mappées aux éléments suivants :
Cause
Ce problème se produit car l’autorisation Ajouter/supprimer un réplica dans le domaine est manquante pour les groupes Administrateurs du domaine et Administrateurs d’entreprise sur la partition de domaine du domaine.
Résolution
Pour résoudre ce problème, procédez comme suit :
Vérifiez que toutes les étapes et conditions décrites dans la section « Résolution » de l’article 2002413 de la Base de connaissances sont vraies pour votre environnement.
Si la promotion du contrôleur de domaine échoue toujours même après avoir vérifié que l’utilisateur dispose également de l’autorisation SeEnableDelegationPrivilege, vérifiez ADSIEdit.msc pour vérifier les autorisations effectives de l’utilisateur pour la partition de domaine :
Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.
Développez Contexte de nommage par défaut, cliquez avec le bouton droit sur DC=domaine,DC=com, puis cliquez sur Propriétés.
Sous l’onglet Sécurité , cliquez sur le bouton Avancé .
Sous l’onglet Accès effectif, entrez le nom d’utilisateur ou de groupe de l’utilisateur qui effectue l’opération qui échoue dans DCPromo.
Vérifiez si l’autorisation d’accès Ajouter/supprimer un réplica dans le contrôle de domaine a été accordée.
Si l’autorisation Ajouter/supprimer un réplica dans le domaine est manquante pour l’utilisateur ou le groupe, ajoutez-la à l’aide de ADSIEdit.msc :
Cliquez sur Démarrer, puis sur Exécuter et saisissez adsiedit.msc.
Développez Contexte de nommage par défaut, cliquez avec le bouton droit sur DC=domaine,DC=com, puis cliquez sur Propriétés.
Sous l’onglet Sécurité , cliquez sur le bouton Avancé .
Sous l’onglet Autorisations, ajoutez l’autorisation Ajouter/supprimer un réplica dans le contrôle de domaine pour l’utilisateur ou le groupe souhaité comme suit :
Type : Autoriser
S’applique à : cet objet uniquement
Informations supplémentaires
Remarque
Il peut y avoir d’autres raisons pour lesquelles une promotion ou une rétrogradation de contrôleur de domaine échoue avec une erreur « L’accès est refusé ». Pour plus d’informations, consultez kb 2002413.