Partager via

L’installation d’Active Directory se bloque à l’étape de création de l’objet paramètres NTDS

Cet article fournit une solution à un problème où l’installation d’Active Directory échoue avec une erreur : création de l’objet Paramètres NTDS pour ce contrôleur de domaine Active Directory sur le contrôleur de domaine AD distant.

Numéro de la base de connaissances d’origine : 2737935

Symptômes

Après avoir démarré l’installation d’Active Directory dans Windows Server à l’aide de Gestionnaire de serveur ou du AddsDeployment module Windows PowerShell, l’installation se bloque à l’étape à laquelle vous recevez le message suivant :

Création de l’objet Paramètres NTDS pour ce contrôleur de domaine Active Directory sur le contrôleur de domaine AD distant dc1-full.corp.contoso.com

Quelle que soit la durée d’attente, l’installation ne se poursuit jamais au-delà de ce point. En outre, lorsque vous examinez les journaux des événements services d’annuaire, vous voyez les événements répétés suivants :

  • Événement 1

    Nom du journal : service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1963
    Catégorie de tâche : client RPC DS
    Niveau : Erreur
    Mots clés : Classique
    Utilisateur : LOGON ANONYME
    Ordinateur : dc2-full
    Description :
    Événement interne : le service d’annuaire local suivant a reçu une exception d’une connexion d’appel de procédure distante (RPC). Des informations RPC complètes ont été demandées. Il s’agit d’informations intermédiaires et peut ne pas contenir de cause possible.

    ID de processus : 556 Informations d’erreur signalées :
    Valeur d’erreur :
    Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)
    service d’annuaire :
    dc1-full.corp.contoso.com

    Informations détaillées sur les erreurs :
    Valeur d’erreur :
    Une erreur spécifique au package de sécurité s’est produite. 1825
    service d’annuaire :
    DC2-FULL

    ID interne de données supplémentaires : 5000dfc

  • Événement 2

    Nom du journal : service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1962
    Catégorie de tâche : client RPC DS
    Niveau : Erreur
    Mots clés : Classique
    Utilisateur : LOGON ANONYME
    Ordinateur : dc2-full
    Description :
    Événement interne : le service d’annuaire local a reçu une exception d’une connexion d’appel de procédure distante (RPC). Les informations d’erreur étendues ne sont pas disponibles.

    service d’annuaire :
    dc1-full.corp.contoso.com

    Données supplémentaires
    Valeur d’erreur :
    Impossible de trouver le contrôleur de domaine pour ce domaine. (1908)

  • Événement 3

    Nom du journal : service d’annuaire
    Source : Microsoft-Windows-ActiveDirectory_DomainService
    Date : <DateTime>
    ID d’événement : 1125
    Catégorie de tâche : configuration
    Niveau : Erreur
    Mots clés : Classique
    Utilisateur : LOGON ANONYME
    Ordinateur : dc2-full
    Description :
    L’Assistant Installation de services de domaine Active Directory (Dcpromo) n’a pas pu établir de connexion avec le contrôleur de domaine suivant.

    Contrôleur de domaine :
    dc1-full.corp.contoso.com

    Données supplémentaires
    Valeur d’erreur :
    1908 Impossible de trouver le contrôleur de domaine pour ce domaine.

Cause

Ce problème se produit pour une ou plusieurs des raisons suivantes :

  • Le compte Administrateur intégré du serveur a le même mot de passe que le compte Administrateur de domaine intégré.
  • Le préfixe de domaine NetBIOS ou UPN n’a pas été fourni en tant qu’informations d’identification pour l’installation. Au lieu de cela, seul l’administrateur du nom d’utilisateur a été fourni.

Résolution

Pour résoudre ce problème, effectuez les étapes suivantes :

  1. Redémarrez le serveur sur lequel Active Directory n’a pas pu être installé.
  2. Utilisez Dsa.msc ou Dsac.exe sur un contrôleur de domaine existant pour supprimer le compte d’ordinateur du serveur ayant échoué. (Le contrôleur de domaine ne sera pas encore un objet de contrôleur de domaine, mais uniquement un serveur membre.) Ensuite, laissez la réplication Active Directory converger.
  3. Sur le serveur défaillant, supprimez de force le serveur du domaine à l’aide de l’élément System Properties Panneau de configuration ou netdom.exe.
  4. Sur le serveur ayant échoué, supprimez le rôle services de domaine Active Directory (AD DS) à l’aide de Gestionnaire de serveur ou Uninstall-WindowsFeature.
  5. Redémarrez le serveur ayant échoué.
  6. Installez le rôle AD DS, puis réessayez la promotion. Lorsque vous effectuez cette opération, assurez-vous que vous fournissez des informations d’identification de promotion dans le domaine de formulaire\utilisateur ou user@domain.tld.

Plus d’informations

Il s’agit d’un défaut de code dans Windows Server 2012 et tard.

Si vous définissez des mots de passe différents sur les deux comptes d’administrateur, mais que vous ne fournissez pas le domaine, vous recevez une erreur de mot de passe incorrecte.

Nous vous déconseillons d’utiliser l’administrateur intégré pour l’administration de domaine. Au lieu de cela, nous vous recommandons de créer un utilisateur de domaine pour chaque administrateur de l’environnement. Ensuite, les actions des administrateurs peuvent être auditées individuellement.

Nous vous déconseillons vivement d’utiliser des mots de passe d’administrateur correspondants sur les serveurs membres et le compte Administrateur de domaine. Les mots de passe locaux sont plus facilement compromis que les comptes AD DS et la connaissance des mots de passe administrateur correspondants accorde un accès administratif complet à l’entreprise.