[NTDS 設定オブジェクトの作成] ステージで Active Directory のインストールがストールする

  • [アーティクル]

この記事では、Active Directory のインストールが失敗し、リモート AD DC でこのActive Directory ドメイン コントローラーの NTDS 設定オブジェクトを作成するというエラーが発生する問題の解決策について説明します。

適用対象: Windows Server 2012 R2、Windows Server 2016、Windows Server 2019
元の KB 番号: 2737935

現象

サーバー マネージャーまたは Windows PowerShell モジュールを使用して Windows Server での Active Directory インストールをAddsDeployment開始すると、インストールは次のメッセージが表示される段階でストールします。

リモート AD DC dc1-full.corp.contoso.com でのこのActive Directory ドメイン コントローラーの NTDS 設定オブジェクトの作成

待つ時間に関係なく、インストールはこの時点を超えて進むことはありません。 さらに、Directory Services イベント ログを調べると、次の繰り返しイベントが表示されます。

  • イベント 1

    ログ名: ディレクトリ サービス
    ソース: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    イベント ID: 1963
    タスク カテゴリ: DS RPC クライアント
    レベル: エラー
    キーワード: クラシック
    ユーザー: 匿名ログオン
    コンピューター: dc2-full
    説明:
    内部イベント: 次のローカル ディレクトリ サービスは、リモート プロシージャ コール (RPC) 接続から例外を受信しました。 広範な RPC 情報が要求されました。 これは中間情報であり、考えられる原因が含まれていない可能性があります。

    プロセス ID: 556 報告されたエラー情報:
    エラー値:
    このドメインのドメイン コントローラーが見つかりませんでした。 (1908)
    ディレクトリ サービス:
    dc1-full.corp.contoso.com

    広範なエラー情報:
    エラー値:
    セキュリティ パッケージ固有のエラーが発生しました。 1825
    ディレクトリ サービス:
    DC2-FULL

    追加のデータ内部 ID: 5000dfc

  • イベント 2

    ログ名: ディレクトリ サービス
    ソース: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    イベント ID: 1962
    タスク カテゴリ: DS RPC クライアント
    レベル: エラー
    キーワード: クラシック
    ユーザー: 匿名ログオン
    コンピューター: dc2-full
    説明:
    内部イベント: ローカル ディレクトリ サービスがリモート プロシージャ コール (RPC) 接続から例外を受け取った。 拡張エラー情報は使用できません。

    ディレクトリ サービス:
    dc1-full.corp.contoso.com

    追加データ
    エラー値:
    このドメインのドメイン コントローラーが見つかりませんでした。 (1908)

  • イベント 3

    ログ名: ディレクトリ サービス
    ソース: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    イベント ID: 1125
    タスク カテゴリ: セットアップ
    レベル: エラー
    キーワード: クラシック
    ユーザー: 匿名ログオン
    コンピューター: dc2-full
    説明:
    Active Directory Domain Services インストール ウィザード (Dcpromo) は、次のドメイン コントローラーとの接続を確立できませんでした。

    ドメイン コントローラー:
    dc1-full.corp.contoso.com

    追加データ
    エラー値:
    1908 このドメインのドメイン コントローラーが見つかりませんでした。

原因

この問題は、次の 1 つ以上の理由で発生します。

  • サーバーの組み込み管理者アカウントのパスワードは、組み込みのドメイン管理者アカウントと同じです。
  • NetBIOS ドメイン プレフィックスまたは UPN は、インストールの資格情報として提供されませんでした。 代わりに、ユーザー名 Administrator のみが指定されました。

解決方法

この問題を解決するには、次の手順を実行します。

  1. Active Directory をインストールできなかったサーバーを再起動します。
  2. 既存のドメイン コントローラーで Dsa.msc または Dsac.exe を使用して、失敗したサーバーのコンピューター アカウントを削除します。 (ドメイン コントローラーはまだドメイン コントローラー オブジェクトではなく、メンバー サーバーのみです)。次に、Active Directory レプリケーションを収束させます。
  3. 障害が発生したサーバーで、システムプロパティコントロール パネル項目または netdom.exe を使用して、ドメインからサーバーを強制的に削除します。
  4. 失敗したサーバーで、サーバー マネージャー または Uninstall-WindowsFeatureを使用してActive Directory Domain Services (AD DS) ロールを削除します。
  5. 失敗したサーバーを再起動します。
  6. AD DS ロールをインストールし、プロモーションをもう一度試します。 これを行うときは、domain\user または user@domain.tldの形式で昇格資格情報を指定してください。

詳細

これは、Windows Server 2012と遅延のコードの欠陥です。

2 つの管理者アカウントに異なるパスワードを設定してもドメインを指定しなかった場合は、不適切なパスワード エラーが発生します。

ドメイン管理には組み込みの管理者を使用しないことをお勧めします。 代わりに、環境内の管理者ごとに新しいドメイン ユーザーを作成することをお勧めします。 その後、管理者のアクションを個別に監査できます。

メンバー サーバーとドメイン管理者アカウントで一致する管理者パスワードを使用しないことを強くお勧めします。 ローカル パスワードは AD DS アカウントよりも簡単に侵害され、一致する管理者パスワードに関する知識によって完全なエンタープライズ管理アクセスが許可されます。