L'installazione di Active Directory si blocca nella fase Creazione dell'oggetto impostazioni NTDS

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui l'installazione di Active Directory ha esito negativo con un errore: Creazione dell'oggetto Impostazioni NTDS per questo Dominio di Active Directory Controller nel controller di dominio active directory remoto.

Si applica a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Numero KB originale: 2737935

Sintomi

Dopo aver avviato l'installazione di Active Directory in Windows Server usando Server Manager o il AddsDeployment modulo Windows PowerShell, l'installazione si blocca nella fase in cui viene visualizzato il messaggio seguente:

Creazione dell'oggetto Impostazioni NTDS per questo controller di Dominio di Active Directory nel controller di dominio Active Directory remoto dc1-full.corp.contoso.com

Indipendentemente dal tempo di attesa, l'installazione non procede mai oltre questo punto. Inoltre, quando si esaminano i log eventi di Servizi directory, vengono visualizzati gli eventi ripetuti seguenti:

  • Evento 1

    Nome log: Servizio directory
    Origine: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    ID evento: 1963
    Categoria attività: Client RPC DS
    Livello: Errore
    Parole chiave: classico
    Utente: ACCESSO ANONIMO
    Computer: dc2-full
    Descrizione:
    Evento interno: il servizio directory locale seguente ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). Sono state richieste informazioni RPC complete. Si tratta di informazioni intermedie che potrebbero non contenere una possibile causa.

    ID processo: 556 Informazioni sull'errore segnalate:
    Valore di errore:
    Impossibile trovare il controller di dominio per questo dominio. (1908)
    servizio directory:
    dc1-full.corp.contoso.com

    Informazioni dettagliate sugli errori:
    Valore di errore:
    Si è verificato un errore specifico del pacchetto di sicurezza. 1825
    servizio directory:
    DC2-FULL

    ID interno dati aggiuntivi: 5000dfc

  • Evento 2

    Nome log: Servizio directory
    Origine: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    ID evento: 1962
    Categoria attività: Client RPC DS
    Livello: Errore
    Parole chiave: classico
    Utente: ACCESSO ANONIMO
    Computer: dc2-full
    Descrizione:
    Evento interno: il servizio directory locale ha ricevuto un'eccezione da una connessione RPC (Remote Procedure Call). Le informazioni sugli errori estesi non sono disponibili.

    servizio directory:
    dc1-full.corp.contoso.com

    Dati aggiuntivi
    Valore di errore:
    Impossibile trovare il controller di dominio per questo dominio. (1908)

  • Evento 3

    Nome log: Servizio directory
    Origine: Microsoft-Windows-ActiveDirectory_DomainService
    Date: <DateTime>
    ID evento: 1125
    Categoria attività: Installazione
    Livello: Errore
    Parole chiave: classico
    Utente: ACCESSO ANONIMO
    Computer: dc2-full
    Descrizione:
    L'installazione guidata Active Directory Domain Services (Dcpromo) non è riuscita a stabilire la connessione con il controller di dominio seguente.

    Controller di dominio:
    dc1-full.corp.contoso.com

    Dati aggiuntivi
    Valore di errore:
    1908 Impossibile trovare il controller di dominio per questo dominio.

Causa

Questo problema si verifica per uno o più dei motivi seguenti:

  • L'account administrator predefinito del server ha la stessa password dell'account amministratore di dominio predefinito.
  • Il prefisso di dominio NetBIOS o l'UPN non è stato fornito come credenziali per l'installazione. Al contrario, è stato specificato solo il nome utente Administrator .

Risoluzione

Per risolvere il problema, seguire la procedura seguente:

  1. Riavviare il server in cui non è stato possibile installare Active Directory.
  2. Usare Dsa.msc o Dsac.exe in un controller di dominio esistente per eliminare l'account computer del server non riuscito. Il controller di dominio non sarà ancora un oggetto controller di dominio, ma solo un server membro. Consentire quindi la convergenza della replica di Active Directory.
  3. Nel server non riuscito rimuovere forzatamente il server dal dominio usando le proprietà di sistema Pannello di controllo elemento o netdom.exe.
  4. Nel server non riuscito rimuovere il ruolo Active Directory Domain Services (Ad DS) usando Server Manager o Uninstall-WindowsFeature.
  5. Riavviare il server non riuscito.
  6. Installare il ruolo Active Directory Domain Services e quindi riprovare. Quando si esegue questa operazione, assicurarsi di specificare le credenziali di promozione nel formato dominio\utente o user@domain.tld.

Ulteriori informazioni

Si tratta di un difetto di codice in Windows Server 2012 e in ritardo.

Se si impostano password diverse nei due account amministratore ma non si specifica il dominio, viene visualizzato un errore di password non valida.

Non è consigliabile usare l'amministratore predefinito per l'amministrazione del dominio. È invece consigliabile creare un nuovo utente di dominio per ogni amministratore nell'ambiente. Le azioni degli amministratori possono quindi essere controllate singolarmente.

È consigliabile usare password di amministratore corrispondenti nei server membri e nell'account amministratore di dominio. Le password locali sono più facilmente compromesse rispetto agli account di Active Directory Domain Services e la conoscenza delle password di amministratore corrispondenti concede l'accesso amministrativo aziendale completo.