Freigeben über

Active Directory-Installationsstände bei der Erstellung der NTDS-Einstellungsobjektphase

Dieser Artikel enthält eine Lösung für ein Problem, bei dem die Active Directory-Installation mit einem Fehler fehlschlägt: Erstellen des NTDS-Einstellungsobjekts für diesen Active Directory-Domäne Controller auf dem Remote-AD DC.

Ursprüngliche KB-Nummer: 2737935

Symptome

Nachdem Sie die Active Directory-Installation in Windows Server mithilfe von Server-Manager oder dem AddsDeployment Windows PowerShell-Modul gestartet haben, wird die Installation an der Phase angehalten, in der Sie die folgende Meldung erhalten:

Erstellen des NTDS-Einstellungsobjekts für diesen Active Directory-Domäne Controller auf dem REMOTE-AD DC-dc1-full.corp.contoso.com

Unabhängig davon, wie lange Sie warten, geht die Installation nie über diesen Punkt hinaus. Wenn Sie die Verzeichnisdienste-Ereignisprotokolle untersuchen, werden außerdem die folgenden wiederholten Ereignisse angezeigt:

  • Ereignis 1

    Protokollname: Verzeichnisdienst
    Quelle: Microsoft-Windows-ActiveDirectory_DomainService
    Datum: <DateTime>
    Ereignis-ID: 1963
    Aufgabenkategorie: DS RPC-Client
    Ebene: Fehler
    Schlüsselwörter: Klassisch
    Benutzer: ANONYME ANMELDUNG
    Computer: dc2-full
    Beschreibung:
    Internes Ereignis: Der folgende lokale Verzeichnisdienst hat eine Ausnahme von einer Remoteprozeduraufrufverbindung (REMOTE Procedure Call, RPC) erhalten. Umfangreiche RPC-Informationen wurden angefordert. Dies sind Zwischeninformationen und enthalten möglicherweise keine mögliche Ursache.

    Prozess-ID: 556 Gemeldete Fehlerinformationen:
    Fehlerwert:
    Der Domänencontroller für diese Domäne konnte nicht gefunden werden. (1908)
    Verzeichnisdienst:
    dc1-full.corp.contoso.com

    Umfangreiche Fehlerinformationen:
    Fehlerwert:
    Ein sicherheitspaketspezifischer Fehler ist aufgetreten. 1825
    Verzeichnisdienst:
    DC2-FULL

    Zusätzliche interne Daten-ID: 5000dfc

  • Ereignis 2

    Protokollname: Verzeichnisdienst
    Quelle: Microsoft-Windows-ActiveDirectory_DomainService
    Datum: <DateTime>
    Ereignis-ID: 1962
    Aufgabenkategorie: DS RPC-Client
    Ebene: Fehler
    Schlüsselwörter: Klassisch
    Benutzer: ANONYME ANMELDUNG
    Computer: dc2-full
    Beschreibung:
    Internes Ereignis: Der lokale Verzeichnisdienst hat eine Ausnahme von einer Remoteprozeduraufrufverbindung (REMOTE Procedure Call, RPC) erhalten. Erweiterte Fehlerinformationen sind nicht verfügbar.

    Verzeichnisdienst:
    dc1-full.corp.contoso.com

    Zusätzliche Daten
    Fehlerwert:
    Der Domänencontroller für diese Domäne konnte nicht gefunden werden. (1908)

  • Ereignis 3

    Protokollname: Verzeichnisdienst
    Quelle: Microsoft-Windows-ActiveDirectory_DomainService
    Datum: <DateTime>
    Ereignis-ID: 1125
    Aufgabenkategorie: Einrichten
    Ebene: Fehler
    Schlüsselwörter: Klassisch
    Benutzer: ANONYME ANMELDUNG
    Computer: dc2-full
    Beschreibung:
    Der Installations-Assistent für Active Directory-Domäne Dienste (Dcpromo) konnte keine Verbindung mit dem folgenden Domänencontroller herstellen.

    Domänencontroller:
    dc1-full.corp.contoso.com

    Zusätzliche Daten
    Fehlerwert:
    1908 Der Domänencontroller für diese Domäne konnte nicht gefunden werden.

Ursache

Dieses Problem tritt aus einem oder mehreren der folgenden Gründe auf:

  • Das integrierte Administratorkonto des Servers hat dasselbe Kennwort wie das integrierte Domänenadministratorkonto.
  • Das NetBIOS-Domänenpräfix oder UPN wurde nicht als Anmeldeinformationen für die Installation bereitgestellt. Stattdessen wurde nur der Benutzername Administrator bereitgestellt.

Lösung

Gehen Sie folgendermaßen vor, um das Problem zu beheben:

  1. Starten Sie den Server neu, auf dem Active Directory nicht installiert werden konnte.
  2. Verwenden Sie Dsa.msc oder Dsac.exe auf einem vorhandenen Domänencontroller, um das Computerkonto des fehlerhaften Servers zu löschen. (Der Domänencontroller ist noch kein Domänencontrollerobjekt, sondern nur ein Memberserver.) Lassen Sie dann die Active Directory-Replikation konvergen.
  3. Entfernen Sie auf dem fehlgeschlagenen Server den Server mit den Systemeigenschaften Systemsteuerung Element oder netdom.exe forcibly aus der Domäne.
  4. Entfernen Sie auf dem fehlgeschlagenen Server die Rolle Active Directory-Domäne Services (AD DS) mithilfe von Server-Manager oder Uninstall-WindowsFeature.
  5. Starten Sie den fehlgeschlagenen Server neu.
  6. Installieren Sie die AD DS-Rolle, und versuchen Sie es dann erneut. Stellen Sie dabei sicher, dass Sie Heraufstufungsanmeldeinformationen in der Formulardomäne\Benutzer oder user@domain.tld.

Weitere Informationen

Dies ist ein Codefehler in Windows Server 2012 und spät.

Wenn Sie unterschiedliche Kennwörter für die beiden Administratorkonten festlegen, die Domäne jedoch nicht angeben, erhalten Sie einen fehler bei einem ungültigen Kennwort.

Es wird nicht empfohlen, den integrierten Administrator für die Domänenverwaltung zu verwenden. Stattdessen wird empfohlen, einen neuen Domänenbenutzer für jeden Administrator in der Umgebung zu erstellen. Anschließend können die Aktionen von Administratoren einzeln überwacht werden.

Es wird dringend davon abgeraten, die übereinstimmenden Administrator-Kennwörter auf Mitgliedsservern und dem Domänenadministratorkonto zu verwenden. Lokale Kennwörter sind einfacher kompromittiert als AD DS-Konten, und Kenntnisse der übereinstimmenden Administrator-Kennwörter gewähren vollen Administratorzugriff für Unternehmen.