L’installation d’Active Directory se bloque à l’étape Création de l’objet des paramètres NTDS

  • Article

Cet article fournit une solution à un problème où l’installation d’Active Directory échoue avec une erreur : Création de l’objet Paramètres NTDS pour ce contrôleur domaine Active Directory sur le contrôleur AD distant.

S’applique à : Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Numéro de la base de connaissances d’origine : 2737935

Symptômes

Une fois que vous avez démarré l’installation d’Active Directory dans Windows Server à l’aide de Gestionnaire de serveur ou du AddsDeployment module Windows PowerShell, l’installation se bloque à l’étape à laquelle vous recevez le message suivant :

Création de l’objet NTDS Settings pour ce contrôleur de domaine Active Directory sur le dc1-full.corp.contoso.com AD DC distant

Quelle que soit la durée d’attente, l’installation ne se poursuit jamais au-delà de ce point. En outre, lorsque vous examinez les journaux des événements des services d’annuaire, vous voyez les événements répétés suivants :

  • Événement 1

    Nom du journal : Service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1963
    Catégorie de tâche : Client RPC DS
    Niveau : Erreur
    Mots clés : classique
    Utilisateur : OUVERTURE DE SESSION ANONYME
    Ordinateur : dc2-full
    Description :
    Événement interne : le service d’annuaire local suivant a reçu une exception d’une connexion d’appel de procédure distante (RPC). Des informations RPC détaillées ont été demandées. Il s’agit d’informations intermédiaires qui peuvent ne pas contenir de cause possible.

    ID de processus : 556 Informations sur l’erreur signalée :
    Valeur d’erreur :
    Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)
    service d’annuaire :
    dc1-full.corp.contoso.com

    Informations détaillées sur les erreurs :
    Valeur d’erreur :
    Une erreur spécifique au package de sécurité s’est produite. 1825
    service d’annuaire :
    DC2-FULL

    ID interne des données supplémentaires : 5000dfc

  • Événement 2

    Nom du journal : Service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1962
    Catégorie de tâche : Client RPC DS
    Niveau : Erreur
    Mots clés : classique
    Utilisateur : OUVERTURE DE SESSION ANONYME
    Ordinateur : dc2-full
    Description :
    Événement interne : le service d’annuaire local a reçu une exception à partir d’une connexion d’appel de procédure distante (RPC). Les informations d’erreur étendues ne sont pas disponibles.

    service d’annuaire :
    dc1-full.corp.contoso.com

    Données supplémentaires
    Valeur d’erreur :
    Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)

  • Événement 3

    Nom du journal : Service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1125
    Catégorie de tâche : Configuration
    Niveau : Erreur
    Mots clés : classique
    Utilisateur : OUVERTURE DE SESSION ANONYME
    Ordinateur : dc2-full
    Description :
    L’Assistant Installation services de domaine Active Directory (Dcpromo) n’a pas pu établir la connexion avec le contrôleur de domaine suivant.

    Contrôleur de domaine :
    dc1-full.corp.contoso.com

    Données supplémentaires
    Valeur d’erreur :
    1908 Impossible de trouver le contrôleur de domaine pour ce domaine.

Cause

Ce problème se produit pour une ou plusieurs des raisons suivantes :

  • Le compte Administrateur intégré du serveur a le même mot de passe que le compte Administrateur de domaine intégré.
  • Le préfixe de domaine NetBIOS ou l’UPN n’a pas été fourni comme informations d’identification pour l’installation. Au lieu de cela, seul le nom d’utilisateur Administrateur a été fourni.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Redémarrez le serveur sur lequel Active Directory n’a pas pu être installé.
  2. Utilisez Dsa.msc ou Dsac.exe sur un contrôleur de domaine existant pour supprimer le compte d’ordinateur du serveur défaillant. (Le contrôleur de domaine n’est pas encore un objet contrôleur de domaine, mais uniquement un serveur membre.) Ensuite, laissez la réplication Active Directory converger.
  3. Sur le serveur défaillant, supprimez de force le serveur du domaine à l’aide de l’élément ou de Panneau de configuration l'netdom.exe Propriétés système.
  4. Sur le serveur défaillant, supprimez le rôle services de domaine Active Directory (AD DS) à l’aide de Gestionnaire de serveur ou Uninstall-WindowsFeature.
  5. Redémarrez le serveur défaillant.
  6. Installez le rôle AD DS, puis réessayez la promotion. Dans ce cas, veillez à fournir les informations d’identification de promotion sous la forme domaine\utilisateur ou user@domain.tld.

Plus d’informations

Il s’agit d’un défaut de code dans Windows Server 2012 et en retard.

Si vous définissez des mots de passe différents sur les deux comptes d’administrateur, mais que vous ne fournissez pas le domaine, vous recevez une erreur de mot de passe incorrect.

Nous vous déconseillons d’utiliser l’administrateur intégré pour l’administration de domaine. Au lieu de cela, nous vous recommandons de créer un utilisateur de domaine pour chaque administrateur de l’environnement. Ensuite, les actions des administrateurs peuvent être auditées individuellement.

Nous vous déconseillons fortement d’utiliser des mots de passe d’administrateur correspondants sur les serveurs membres et le compte d’administrateur de domaine. Les mots de passe locaux sont plus facilement compromis que les comptes AD DS, et la connaissance des mots de passe d’administrateur correspondants accorde un accès administratif complet à l’entreprise.