DCPROMO 失敗,如果使用者執行升階時未獲授與「受信任的委派」用戶權力,則會發生「拒絕存取」錯誤

  • 發行項

本文提供 DCPROMO (域控制器升級程式) 發生 Access 遭拒錯誤的解決方案。

適用於:Windows Server 2012 R2、Windows Server 2016、Windows Server 2019
原始 KB 編號: 2002413

徵狀

將 Windows Server 2008 或更新版本成員電腦的 DCPROMO 升級至複本域控制器 (DC) 失敗,並出現下列錯誤:

標題:Windows 安全性
消息正文:網路認證
作業失敗,因為:[Active Directory 網域服務 安裝精靈] 無法將計算機帳戶<主機名>$ 轉換為 Active Directory 網域 控制器帳戶。 「拒絕存取」

DCPROMO 降級可能會因為相同的錯誤而失敗:

標題:Windows 安全性
消息正文:網路認證
作業失敗,因為: Active Directory 網域服務 無法將計算機帳戶<主機名>$ 設定為遠端 Active Directory 網域 控制器帳戶<協助程式DC>的完整名稱。 「拒絕存取」

原因

用來執行 DCPROMO 的用戶帳戶尚未獲得「啟用要信任的計算機和使用者帳戶以進行委派」用戶權力。

解決方案

  1. 確認 Active Directory 中有預設域控制器原則。

    如果域控制器原則不存在,請評估該條件是否因為簡單的復寫延遲、Active Directory 複寫失敗,或是否已從 Active Directory 中刪除原則。 如果已刪除原則,請連絡 Microsoft 支援服務 使用默認原則 GUID 重新建立遺漏的原則, (全域唯一標識符) 。 請勿以與預設值相同的名稱和設定手動重新建立原則。

    如果預設域控制器原則存在於某些域控制器的 Active Directory 中,但沒有其他域控制器,請評估該不一致是因為簡單的復寫延遲或復寫失敗。 視需要解析。

  2. 確認伺服器帳戶不受意外刪除的保護。

    若要這樣做,請移至 Active Directory 管理中心,在網域內的 [ 計算機 ] 清單下尋找您的伺服器,然後開啟屬性。 在第一個區段的操作系統資訊下方,確定未核取 [ 防止意外刪除 ] 複選框。

    在提高域控制器許可權的程式中,會刪除伺服器的計算機帳戶,並重新新增為域控制器。 如果按下此複選框,就無法進行此動作。

  3. 確認執行 DCPROMO 作業的使用者帳戶已獲授與預設域控制器原則中的「啟用要信任委派的計算機和用戶帳戶」用戶權力。

    執行 whoami /all 以確認使用者安全性令牌中存在「啟用要信任委派的計算機和用戶帳戶」用戶權力。

    注意事項

    根據預設,此許可權會授與目標網域中 Administrators 安全組的成員。 內建的系統管理員帳戶是此安全組的成員,但可能已移除。

    • 如果內建系統管理員群組以外的使用者正在進行 DCPROMO 促銷,請將該用戶帳戶新增至 Administrators 安全組,或在預設域控制器原則中,將用戶帳戶新增為「啟用計算機和用戶帳戶可信任委派」用戶許可權。
    • 最近已修改「啟用要信任的計算機和用戶帳戶以進行委派」,或授與 DCPROMO 使用者帳戶的原則存在於網域中的某些域控制器上,但沒有其他域控制器,請檢查 Active Directory 和文件系統複寫中的簡單復寫延遲或復寫失敗, (FSR) /分散式文件系統複寫 (DFSR) 。
    • 如果原則最近修改過,請讓 DCPROMO 使用者帳戶註銷並登入。

  4. 確認預設域控制器原則已連結至域控制器 OU,且所有 DC 計算機帳戶都保留在該 OU 中。

    如果 DC 計算機帳戶保留在替代的 OU 容器中,請將所有 DC 計算機帳戶移至域控制器 OU,或將預設域控制器原則連結至替代的 OU 容器。

  5. 確認預設域控制器原則的文件系統部分存在於 DC 的 SYSVOL 共用中,該共用用來在升級或降級的計算機上套用原則。

    如果不存在,可能是因為下列一或多個原因所造成:

    • FRS / DFSR 中的復寫延遲
    • FRS/ DFSR 中的復寫失敗
    • 原則已從 SYSVOL 中刪除。 如果已刪除原則,請連絡 Microsoft 支援服務 使用默認原則 GUID 重新建立遺漏的原則。 請勿以與預設值相同的名稱和設定手動重新建立原則。

  6. 默認網域原則或原則一般不會套用至登入的使用者

    若要檢查原則繼承,Windows Management Instrumentation (WMI) 篩選或安全描述符問題,可能會導致原則無法套用,請執行下列命令:

    gpresult /h result.html

其他相關資訊

  • Table1。 來自升級 (範例的記錄)

    DCPROMO。日誌 DCPROMOUI。日誌
    [INFO]在遠端 AD DC <協助程式 DC.contoso.com> 上建立此 Active Directory 網域 控制器的 NTDS 設定物件...
    [INFO]複寫架構目錄分割區
    ...
    [INFO]復寫架構容器。
    [INFO]Active Directory 網域服務 已更新架構快取。
    [INFO]復寫組態目錄磁碟分區
    ...
    [INFO]復寫組態容器。
    [INFO]錯誤 - Active Directory 網域服務 安裝精靈無法將升級>的電腦帳戶<DC轉換為 Active Directory 網域 控制器帳戶。 (5)
    [INFO]EVENTLOG (錯誤) :NTDS 一般/內部處理:1168
    內部錯誤:發生 Active Directory 網域服務 錯誤。

    其他資料

    十進位) (錯誤值:
    -1073741823

    十六進位) (錯誤值:
    c0000001

    內部識別碼:
    300162a

    [INFO]EVENTLOG (資訊) :NTDS 一般/服務控制:1004
    Active Directory 網域服務 已成功關閉。

    [INFO]NtdsInstall for a.com 傳回 5
    [INFO]傳回 5 的 DsRolepInstallDs
    [ERROR]無法安裝到目錄服務 (5)
    [INFO]啟動服務 NETLOGON
    [INFO]將服務 NETLOGON 設定為 2 傳回 0
    [INFO]嘗試的域控制器作業已完成
    [INFO]DsRolepSetOperationDone 傳回 0    		 呼叫 DsRoleGetDcOperationResults
    錯誤0x0 (!0 => 錯誤)
    工作結果:
    OperationStatus: 0x5 !0 => error
    DisplayString:Active Directory 網域服務 安裝精靈無法將升級>的計算機帳戶<DC轉換為 Active Directory 網域 控制器帳戶。
    ServerInstalledSite: (null)
    OperationResultsFlags:0x0
    輸入 ProgressDialog::UpdateText Active Directory 網域服務 安裝精靈無法將正在升級>的電腦帳戶 <dc 轉換為 Active Directory 網域 控制器帳戶。
    輸入 State::SetOperationResultsMessage [Active Directory 網域服務 安裝精靈] 無法將升級>的電腦帳戶 <dc 轉換為 Active Directory 網域 控制器帳戶。
    輸入 State::SetOperationResultsFlags 0x0
    攔截到例外狀況
    catch completed
    處理例外狀況
    輸入 State::ClearHiddenWhileUnattended
    輸入 EnableConsoleLocking
    輸入 RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    輸入 RegistryKey::SetValue-DWORD DisableLockWorkstation
    輸入 State::SetOperationResults 結果 FAILURE
    輸入 ProgressDialog::UpdateText
    輸入 State::IsOperationRetryAllowed

    認證無效,hr=0x80070005
    輸入 GetErrorMessage 80070005
    輸入 State::GetOperationResultsMessage [Active Directory 網域服務 安裝精靈] 無法將升級>的電腦帳戶 <dc 轉換為 Active Directory 網域 控制器帳戶。
    輸入 State::GetOperation REPLICA
    輸入 State::GetReplicaDomainDNSName <目標 dns 功能變數名稱>

  • 表 2. 來自降級 (範例的記錄)

    DCPROMO。日誌 DCPROMOUI。日誌
    [INFO]卸載目錄服務
    [INFO]叫用 NtdsDemote
    ...
    [INFO]從遠端 Active Directory 網域 控制器 DNS 網域>移除參考本機 Active Directory 網域 控制器<的 Active Directory 網域服務 物件...
    [INFO]錯誤 - Active Directory 網域服務 無法在遠端 Active Directory 網域 控制器<協助程式 DC 上設定要降級>的電腦帳戶 <dc>。<DNS 網域>。 (5)
    [INFO]NtdsDemote 傳回 5
    [INFO]傳回 5 的 DsRolepDemoteDs
    [ERROR]無法將目錄服務降級 (5)
    ....    		 ....
    OperationStatus: 0x5 !0 => error
    DisplayString:Active Directory 網域服務 無法在遠端 Active Directory 網域 控制器<協助程式 DC 上設定電腦帳戶 <dc name>$ 。<>dns 網域>。
    ServerInstalledSite: (null)
    OperationResultsFlags:0x0
    輸入 ProgressDialog::UpdateText Active Directory 網域服務 無法在遠端 Active Directory 網域 控制器 VM1-W7.a.com 上設定電腦帳戶 <dc name>$ 。
    輸入 State::SetOperationResultsMessage Active Directory 網域服務 無法在遠端 Active Directory 網域 控制器<協助程式 DC 上設定電腦帳戶 <dc name>$ 。<>DNS 網域>。
    輸入 State::SetOperationResultsFlags 0x0
    ...
    認證無效,hr=0x80070005
    輸入 GetErrorMessage 80070005
    輸入 State::GetOperationResultsMessage Active Directory 網域服務 無法在遠端 Active Directory 網域 控制器<協助程式 DC 上設定電腦帳戶 <dc name>$ 。<>DNS 網域>。
    輸入 State::GetOperation DEMOTE
    輸入 State::GetParentDomainDnsName