NTDS Settings オブジェクトを作成しようとすると"アクセスが拒否されました" エラー
この記事では、既存のドメインで新しい Windows Server 2012 R2 ドメイン コントローラーを昇格するときに発生するエラー (アクセスが拒否される) を修正するソリューションについて説明します。
元の KB 番号: 3207962
現象
既存のドメインで新しい Windows Server 2012 R2 ドメイン コントローラーを昇格しようとすると、"アクセスが拒否されました" エラーで操作が失敗します。 この問題は、ユーザーが Domain Admins または Enterprise Admins グループのメンバーである場合でも発生します。
この状況では、管理者に次のエラー メッセージが表示されます。
タイトル: Windows セキュリティ
メッセージ テキスト: ネットワーク資格情報
操作が失敗しました。Active Directory Domain Services は、リモート Active Directory ドメイン コントローラー アカウント<のヘルパー DC> の完全修飾名に対してコンピューター アカウント<の hostname>$ を構成できませんでした。 "アクセスが拒否されました"
このエラーは、新しいドメイン コントローラーの NTDS Settings オブジェクトを追加するときに発生し、次のエラー メッセージが返されます。
操作は次の理由で失敗しました。
Active Directory ドメイン サービスは、リモート AD DC DCName.ChildDomain.domain.com で、この Active Directory ドメイン コントローラー CN=NTDS 設定、CN=TEST-DC、CN=Servers、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com の NTDS 設定オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。
"アクセスが拒否されました。
さらに、DCPromo.log ファイルには次のエラーが表示されます。
2705DateTime[INFO]
エラー - Active Directory Domain Services では、リモート AD DC DCName.ChildDomain.domain.com で、この Active Directory ドメイン コントローラー CN=NTDS 設定、CN=TEST-DC、CN=Servers、CN=mysite、CN=Sites、CN=Configuration、DC=domain、DC=com の NTDS 設定オブジェクトを作成できませんでした。 指定されたネットワーク資格情報に十分なアクセス許可があることを確認します。 (5)
DateTime[INFO] EVENTLOG (エラー): NTDS General/Internal Processing: 1168 内部エラー: Active Directory Domain Services エラーが発生しました。
追加データ
エラー値 (10 進数):
-1073741823
エラー値 (16 進数):
c0000001
内部 ID: 30017c6
...
DateTime[INFO] NtdsInstall for ChildDomain.domain.com
returned 5
DateTime [INFO] DsRolepInstallDs が返されました 5
DateTime [ERROR] Directory Service へのインストールに失敗しました (5)
DateTime[ERROR] DsRolepFinishSysVolPropagation (Abort Promote) が 8001 で失敗しました
DateTime[WARNING] システム ボリュームのインストールを中止できませんでした (8001)
DateTime[INFO] Starting service NETLOGON
DateTime[INFO] サービス NETLOGON を 2 に構成すると 0 が返される
DateTime[INFO] 試行されたドメイン コントローラー操作が完了しました
ここで、エラーは次のようにマップされます。
原因
この問題は、ドメインのドメイン パーティション上の Domain Admins グループと Enterprise Admins グループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がないために発生します。
解決方法
この問題を解決するには、次の手順を実行します。
ナレッジ ベース記事の 「解決策」セクションのすべての手順と条件が、環境に対 して 当てはまることを確認2002413。
ユーザーにも SeEnableDelegationPrivilege アクセス許可があることを確認してもドメイン コントローラーの昇格が失敗する場合は、ADSIEdit.msc を確認して、ドメイン パーティションに対するユーザーの有効なアクセス許可を確認します。
[スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。
[既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ プロパティ] をクリックします。
[ セキュリティ ] タブで、[ 詳細設定 ] ボタンをクリックします。
[有効なアクセス] タブで、DCPromo で失敗している操作を実行しているユーザーのユーザーまたはグループ名を入力します。
ドメイン制御アクセス許可のレプリカの追加/削除が許可されているかどうかを確認します。
ユーザーまたはグループに対する [ドメイン内のレプリカの追加と削除] アクセス許可がない場合は、ADSIEdit.msc を使用して追加します。
[スタート]、[実行] をクリックして、「adsiedit.msc」と入力します。
[既定の名前付けコンテキスト] を展開し、 DC=domain,DC=com を右クリックし、[ プロパティ] をクリックします。
[ セキュリティ ] タブで、[ 詳細設定 ] ボタンをクリックします。
[アクセス許可] タブで、次のように目的のユーザーまたはグループのドメイン制御アクセス許可にレプリカの追加/削除を追加します。
型: 許可
適用対象: このオブジェクトのみ
詳細
注:
ドメイン コントローラーの昇格または降格が "アクセスが拒否されました" エラーで失敗する理由が他にもあります。 詳細については、「 KB 2002413」を参照してください。