L’installation d’Active Directory se bloque à l’étape Création de l’objet des paramètres NTDS
Cet article fournit une solution à un problème où l’installation d’Active Directory échoue avec une erreur : Création de l’objet Paramètres NTDS pour ce contrôleur domaine Active Directory sur le contrôleur AD distant.
S’applique à : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Numéro de la base de connaissances d’origine : 2737935
Symptômes
Une fois que vous avez démarré l’installation d’Active Directory dans Windows Server à l’aide de Gestionnaire de serveur ou du AddsDeployment
module Windows PowerShell, l’installation se bloque à l’étape à laquelle vous recevez le message suivant :
Création de l’objet NTDS Settings pour ce contrôleur de domaine Active Directory sur le dc1-full.corp.contoso.com AD DC distant
Quelle que soit la durée d’attente, l’installation ne se poursuit jamais au-delà de ce point. En outre, lorsque vous examinez les journaux des événements des services d’annuaire, vous voyez les événements répétés suivants :
Événement 1
Nom du journal : Service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : <DateTime>
ID d’événement : 1963
Catégorie de tâche : Client RPC DS
Niveau : Erreur
Mots clés : classique
Utilisateur : OUVERTURE DE SESSION ANONYME
Ordinateur : dc2-full
Description :
Événement interne : le service d’annuaire local suivant a reçu une exception d’une connexion d’appel de procédure distante (RPC). Des informations RPC détaillées ont été demandées. Il s’agit d’informations intermédiaires qui peuvent ne pas contenir de cause possible.ID de processus : 556 Informations sur l’erreur signalée :
Valeur d’erreur :
Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)
service d’annuaire :
dc1-full.corp.contoso.com
Informations détaillées sur les erreurs :
Valeur d’erreur :
Une erreur spécifique au package de sécurité s’est produite. 1825
service d’annuaire :
DC2-FULLID interne des données supplémentaires : 5000dfc
Événement 2
Nom du journal : Service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : <DateTime>
ID d’événement : 1962
Catégorie de tâche : Client RPC DS
Niveau : Erreur
Mots clés : classique
Utilisateur : OUVERTURE DE SESSION ANONYME
Ordinateur : dc2-full
Description :
Événement interne : le service d’annuaire local a reçu une exception à partir d’une connexion d’appel de procédure distante (RPC). Les informations d’erreur étendues ne sont pas disponibles.service d’annuaire :
dc1-full.corp.contoso.com
Données supplémentaires
Valeur d’erreur :
Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)Événement 3
Nom du journal : Service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : <DateTime>
ID d’événement : 1125
Catégorie de tâche : Configuration
Niveau : Erreur
Mots clés : classique
Utilisateur : OUVERTURE DE SESSION ANONYME
Ordinateur : dc2-full
Description :
L’Assistant Installation services de domaine Active Directory (Dcpromo) n’a pas pu établir la connexion avec le contrôleur de domaine suivant.Contrôleur de domaine :
dc1-full.corp.contoso.com
Données supplémentaires
Valeur d’erreur :
1908 Impossible de trouver le contrôleur de domaine pour ce domaine.
Cause
Ce problème se produit pour une ou plusieurs des raisons suivantes :
- Le compte Administrateur intégré du serveur a le même mot de passe que le compte Administrateur de domaine intégré.
- Le préfixe de domaine NetBIOS ou l’UPN n’a pas été fourni comme informations d’identification pour l’installation. Au lieu de cela, seul le nom d’utilisateur Administrateur a été fourni.
Résolution
Pour résoudre ce problème, procédez comme suit :
- Redémarrez le serveur sur lequel Active Directory n’a pas pu être installé.
- Utilisez Dsa.msc ou Dsac.exe sur un contrôleur de domaine existant pour supprimer le compte d’ordinateur du serveur défaillant. (Le contrôleur de domaine n’est pas encore un objet contrôleur de domaine, mais uniquement un serveur membre.) Ensuite, laissez la réplication Active Directory converger.
- Sur le serveur défaillant, supprimez de force le serveur du domaine à l’aide de l’élément ou de Panneau de configuration l'netdom.exe Propriétés système.
- Sur le serveur défaillant, supprimez le rôle services de domaine Active Directory (AD DS) à l’aide de Gestionnaire de serveur ou
Uninstall-WindowsFeature
. - Redémarrez le serveur défaillant.
- Installez le rôle AD DS, puis réessayez la promotion. Dans ce cas, veillez à fournir les informations d’identification de promotion sous la forme domaine\utilisateur ou user@domain.tld.
Plus d’informations
Il s’agit d’un défaut de code dans Windows Server 2012 et en retard.
Si vous définissez des mots de passe différents sur les deux comptes d’administrateur, mais que vous ne fournissez pas le domaine, vous recevez une erreur de mot de passe incorrect.
Nous vous déconseillons d’utiliser l’administrateur intégré pour l’administration de domaine. Au lieu de cela, nous vous recommandons de créer un utilisateur de domaine pour chaque administrateur de l’environnement. Ensuite, les actions des administrateurs peuvent être auditées individuellement.
Nous vous déconseillons fortement d’utiliser des mots de passe d’administrateur correspondants sur les serveurs membres et le compte d’administrateur de domaine. Les mots de passe locaux sont plus facilement compromis que les comptes AD DS, et la connaissance des mots de passe d’administrateur correspondants accorde un accès administratif complet à l’entreprise.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour