DCPROMO schlägt mit dem Fehler "Zugriff verweigert" fehl, wenn dem Benutzer die Heraufstufung nicht das Benutzerrecht "vertrauenswürdig für Delegierung" erteilt wurde

Dieser Artikel enthält eine Lösung für den Fehler "Zugriff verweigert", der mit Dcpromo (Domain Controller Promoter) auftritt.

Original Version des Produkts:   Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Ursprüngliche KB-Nummer:   2002413

Problembeschreibung

Die Dcpromo-Heraufstufung einer Windows Server 2008 oder neueren Version eines Mitgliedscomputers in einen Replikat-DC schlägt mit folgendem Fehler fehl:

Title: Windows-Sicherheit
Nachrichten Text: Netzwerkanmeldeinformationen
Der Vorgang ist fehlgeschlagen, weil: der Installations-Assistent für Active Directory-Domänendienste konnte das Computerkonto <hostname> $ nicht in ein Active Directory Domänen Controller Konto konvertieren. "Zugriff verweigert"

Die Dcpromo-Herabstufung kann mit dem gleichen Fehler auftreten:

Title: Windows-Sicherheit
Nachrichten Text: Netzwerkanmeldeinformationen
Der Vorgang ist fehlgeschlagen, da: Active Directory-Domänendienste das Computerkonto <hostname> $ nicht für das Konto des Remote Active Directory Domänencontrollers konfigurieren konnte <fully qualified name of helper DC> . "Zugriff verweigert"

Ursache

Für das Benutzerkonto, das zum Ausführen von Dcpromo verwendet wurde, wurde das Benutzerrecht "Computer und Benutzerkonten für die Delegierung als vertrauenswürdig" nicht erteilt.

Lösung

  1. Stellen Sie sicher, dass die standardmäßige Domänencontrollerrichtlinie in Active Directory (AD) vorhanden ist.

    Wenn die Domänencontrollerrichtlinie nicht vorhanden ist, überprüfen Sie, ob diese Bedingung aufgrund der einfachen Replikationswartezeit, eines AD-Replikationsfehlers oder der Löschung der Richtlinie aus Active Directory besteht. Wenn die Richtlinie gelöscht wurde, wenden Sie sich an den Microsoft-Support, um die fehlende Richtlinie mit der Standardrichtlinien-GUID (Globally Unique Identifier) neu zu erstellen. Erstellen Sie die Richtlinie nicht manuell mit dem gleichen Namen und den gleichen Einstellungen wie die Standardeinstellung.

    Wenn die standardmäßige Domänencontrollerrichtlinie in Active Directory auf einigen Domänencontrollern vorhanden ist, aber nicht auf anderen, prüfen Sie, ob diese Inkonsistenz eine einfache Replikationswartezeit oder einen Replikationsfehler verursacht. Nach Bedarf auflösen.

  2. Stellen Sie sicher, dass dem Benutzerkonto der Dcpromo-Vorgang das Benutzerrecht "Computer und Benutzerkonten für Delegierungszwecke aktivieren" in der standardmäßigen Domänencontrollerrichtlinie erteilt wurde.

    Führen Sie "whoamis/out" aus, um zu überprüfen, ob das Benutzerrecht "Computer und Benutzerkonten für Delegierungszwecke aktivieren" im Sicherheitstoken "Benutzer" vorhanden ist.

    Hinweis

    Dieses Recht wird standardmäßig Mitgliedern der Sicherheitsgruppe Administratoren in der Zieldomäne erteilt. Das integrierte Administrator Konto ist Mitglied dieser Sicherheitsgruppe, wurde jedoch möglicherweise entfernt.

    • Wenn ein anderer Benutzer als die integrierte Gruppe "Administratoren" Dcpromo-Aktionen ausführt, fügen Sie dieses Benutzerkonto entweder der Sicherheitsgruppe "Administratoren" hinzu, oder fügen Sie das Benutzerkonto "Aktivieren von Computer-und Benutzerkonten für die Delegierung als vertrauenswürdig" in der standardmäßigen Domänencontrollerrichtlinie hinzu.
    • "Aktivieren von Computer-und Benutzerkonten für die Delegierung als vertrauenswürdig" wurde kürzlich geändert, oder die Richtlinie, die das Benutzerkonto "Dcpromo" zulässt, ist auf einigen Domänencontrollern in der Domäne vorhanden, jedoch nicht in anderen, überprüfen Sie die Wartezeit für einfache Replikationen oder einen Replikationsfehler in Active Directory und der Dateisystemreplikation (ASP)/Distributed File System Replication
    • Wenn die Richtlinie kürzlich geändert wurde, müssen Sie das Dcpromo-Benutzerkonto abmelden und sich anmelden.
  3. Stellen Sie sicher, dass die standardmäßige Domänencontroller-Richtlinie mit der Organisationseinheit Domänencontroller verknüpft ist und dass alle DC-Computerkonten in dieser Organisationseinheit verbleiben.

    Wenn DC-Computerkonten in einem alternativen OU-Container verbleiben, müssen Sie entweder alle DC-Computerkonten auf die OU "Domänencontroller" umstellen oder die standardmäßige Domänencontrollerrichtlinie mit dem alternativen OU-Container verknüpfen.

  4. Stellen Sie sicher, dass der Teil "Dateisystem" der standardmäßigen Domänencontrollerrichtlinie in der SYSVOL-Freigabe des Domänencontrollers vorhanden ist, der verwendet wird, um Richtlinien auf dem Computer zu übernehmen, der höher gestuft wird.

    Wenn nicht vorhanden, kann dies an einem oder mehreren der folgenden Gründe liegen:

    • Replikationswartezeit in FRS/DFSR
    • Ein Replikationsfehler in FRS/DFSR
    • Die Richtlinie wurde aus dem SYSVOL gelöscht. Wenn die Richtlinie gelöscht wurde, wenden Sie sich an den Microsoft-Support, um die fehlende Richtlinie mit der Standardrichtlinien-GUID neu zu erstellen. Erstellen Sie die Richtlinie nicht manuell mit dem gleichen Namen und den gleichen Einstellungen wie die Standardeinstellung.
  5. Die standardmäßige Domänenrichtlinie oder Richtlinie wird im Allgemeinen nicht auf den angemeldeten Benutzer angewendet.

    Führen Sie den folgenden Befehl aus, um auf Richtlinienvererbung, WMI-Filterung (Windows Management Instrumentation) oder Sicherheits Beschreibungs Problem zu prüfen, die eine Richtlinie möglicherweise nicht anwenden können:

    gpresult /h result.html
    

Weitere Informationen

  • Table1. Protokolle von der Heraufstufung (Beispiel)

    Dcpromo. Protokoll DCPROMOUI. Protokoll
    Informationen Erstellen des NTDS-Einstellungs Objekts für diesen Active Directory Domänen Controller auf dem Remote AD DC <helperDC> . contoso.com...
    Informationen Replizieren der Schemaverzeichnispartition
    ...
    Informationen Der Schemacontainer wurde repliziert.
    Informationen Active Directory-Domänendienste den Schemacache aktualisiert.
    Informationen Replizieren der Konfigurationsverzeichnispartition
    ...
    Informationen Der Konfigurationscontainer wurde repliziert.
    Informationen Fehler: der Assistent für die Active Directory-Domänendienste Installation konnte das Computerkonto <DC being promoted> $ nicht in ein Active Directory Domänen Controller Konto konvertieren. 5
    Informationen EVENTLOG (Fehler): NTDS General/Internal processing: 1168
    Interner Fehler: Es ist ein Active Directory-Domänendiensteer Fehler aufgetreten.

    Zusätzliche Daten

    Fehlerwert (Decimal):
    -1073741823

    Fehlerwert (Hex):
    c0000001

    Interne ID:
    300162a

    Informationen EVENTLOG (Informational): NTDS General/Service Control: 1004
    Active Directory-Domänendienste wurde erfolgreich beendet.

    Informationen NtdsInstall für a.com zurückgegeben 5
    Informationen DsRolepInstallDs zurückgegeben 5
    Fehler Fehler beim Installieren des Verzeichnisdiensts (5)
    Informationen Dienst Netlogon wird gestartet
    Informationen Configuring Service Netlogon to 2 Returned 0
    Informationen Der versuchte Domänencontroller Vorgang wurde abgeschlossen.
    Informationen DsRolepSetOperationDone zurückgegeben 0
    Aufrufen von DsRoleGetDcOperationResults
    Fehler 0x0 festlegen (! 0 => Fehler)
    Vorgangsergebnisse:
    OperationStatus: 0x5! 0 => Fehler
    DisplayName: der Installations-Assistent für Active Directory-Domänendienste konnte das Computerkonto $ nicht <DC being promoted> in ein Active Directory Domänen Controller Konto konvertieren.
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0 festlegen
    Geben Sie ProgressDialog:: UPDATETEXT der Installations-Assistent für Active Directory-Domänendienste konnte das Computerkonto <dc being promoted> $ nicht in ein Active Directory Domänen Controller Konto konvertieren.
    Eingabestatus:: SetOperationResultsMessage der Assistent für die Active Directory-Domänendienste Installation konnte das Computerkonto <dc being promoted> $ nicht in ein Active Directory Domänen Controller Konto konvertieren.
    Eingabestatus:: SetOperationResultsFlags 0x0 festlegen
    Ausnahme abgefangen
    Catch abgeschlossen
    Ausnahmebehandlung
    Eingabestatus:: ClearHiddenWhileUnattended
    EnableConsoleLocking eingeben
    Geben Sie RegistryKey:: Create Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Geben Sie RegistryKey:: SetValue-DWORD DisableLockWorkstation
    Enter State:: SetOperationResults-Ergebnis Fehler
    Geben Sie ProgressDialog:: UPDATETEXT ein.
    Eingabestatus:: IsOperationRetryAllowed
    true
    Anmeldeinformationen waren ungültig, HR = 0x80070005
    Geben Sie getErrorMessage 80070005
    Eingabestatus:: GetOperationResultsMessage der Assistent für die Active Directory-Domänendienste Installation konnte das Computerkonto <dc being promoted> $ nicht in ein Active Directory Domänen Controller Konto konvertieren.
    Eingabestatus:: getoperation Replica
    Eingabestatus:: GetReplicaDomainDNSName <target dns domain name>
  • Tabelle 2. Protokolle aus der Herabstufung (Beispiel)

    Dcpromo. Protokoll DCPROMOUI. Protokoll
    Informationen Deinstallieren des Verzeichnisdiensts
    Informationen Aufrufen von NtdsDemote
    ...
    Informationen Entfernen Active Directory-Domänendienste Objekte, die auf den lokalen Active Directory Domänencontroller auf dem Remote Active Directory Domänencontrollers <DNS domain> ...
    Informationen Error-Active Directory-Domänendienste konnte das Computerkonto <dc being demoted> $ nicht auf dem Remote Active Directory Domänen Controller konfigurieren. . 5
    Informationen NtdsDemote zurückgegeben 5
    Informationen DsRolepDemoteDs zurückgegeben 5
    Fehler Fehler beim Herabstufen des Verzeichnisdiensts (5)
    ....
    ....
    OperationStatus: 0x5! 0 => Fehler
    DisplayName: Active Directory-Domänendienste konnte das Computerkonto $ nicht <dc name> auf dem Remote Active Directory Domänen Controller konfigurieren <helper DC> . <dns domain> .
    ServerInstalledSite: (null)
    OperationResultsFlags: 0x0 festlegen
    Geben Sie ProgressDialog:: UPDATETEXT ein Active Directory-Domänendienste das Computerkonto <dc name> $ auf dem Remote Active Directory Domänen Controller VM1-W7.a.com nicht konfigurieren konnte.
    Geben Sie State:: SetOperationResultsMessage Active Directory-Domänendienste konnte das Computerkonto <dc name> $ nicht auf dem Remote Active Directory Domänen Controller konfigurieren. <helper DC> <DNS domain> .
    Eingabestatus:: SetOperationResultsFlags 0x0 festlegen
    ...
    Anmeldeinformationen waren ungültig, HR = 0x80070005
    Geben Sie getErrorMessage 80070005
    Geben Sie State:: GetOperationResultsMessage Active Directory-Domänendienste konnte das Computerkonto <dc name> $ nicht auf dem Remote Active Directory Domänen Controller konfigurieren. <helper DC> <DNS domain> .
    Eingabestatus:: getoperation tiefer Stufen
    Eingabestatus:: GetParentDomainDnsName