Udostępnij za pośrednictwem

Instalacja usługi Active Directory zostanie zatrzymana na etapie tworzenia obiektu ustawień NTDS

Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że instalacja usługi Active Directory kończy się niepowodzeniem z powodu błędu: Tworzenie obiektu ustawień NTDS dla tego kontrolera domena usługi Active Directory na zdalnym kontrolerze usługi AD.

Oryginalny numer KB: 2737935

Symptomy

Po uruchomieniu instalacji usługi Active Directory w systemie Windows Server przy użyciu Menedżer serwera lub modułu AddsDeployment programu Windows PowerShell instalacja zostanie zatrzymana na etapie, w którym zostanie wyświetlony następujący komunikat:

Tworzenie obiektu ustawień NTDS dla tego kontrolera domena usługi Active Directory na zdalnym kontrolerze domeny usługi AD dc1-full.corp.contoso.com

Niezależnie od tego, jak długo czekasz, instalacja nigdy nie wykracza poza ten punkt. Ponadto podczas badania dzienników zdarzeń usług katalogowych są widoczne następujące powtarzające się zdarzenia:

  • Zdarzenie 1

    Nazwa dziennika: Usługa katalogowa
    Źródło: Microsoft-Windows-ActiveDirectory_DomainService
    Data: <Data/godzina>
    Identyfikator zdarzenia: 1963
    Kategoria zadań: KLIENT RPC DS
    Poziom: Błąd
    Słowa kluczowe: Klasyczne
    Użytkownik: LOGOWANIE ANONIMOWE
    Komputer: dc2-full
    Opis rozwiązania:
    Zdarzenie wewnętrzne: następująca lokalna usługa katalogowa otrzymała wyjątek od połączenia zdalnego wywołania procedury (RPC). Zażądano obszernych informacji RPC. Są to informacje pośrednie i mogą nie zawierać możliwej przyczyny.

    Identyfikator procesu: 556 Zgłoszone informacje o błędzie:
    Wartość błędu:
    Nie można odnaleźć kontrolera domeny dla tej domeny. (1908)
    usługa katalogowa:
    dc1-full.corp.contoso.com

    Obszerne informacje o błędach:
    Wartość błędu:
    Wystąpił błąd specyficzny dla pakietu zabezpieczeń. 1825
    usługa katalogowa:
    DC2-FULL

    Dodatkowy identyfikator wewnętrzny danych: 5000dfc

  • Zdarzenie 2

    Nazwa dziennika: Usługa katalogowa
    Źródło: Microsoft-Windows-ActiveDirectory_DomainService
    Data: <Data/godzina>
    Identyfikator zdarzenia: 1962
    Kategoria zadań: KLIENT RPC DS
    Poziom: Błąd
    Słowa kluczowe: Klasyczne
    Użytkownik: LOGOWANIE ANONIMOWE
    Komputer: dc2-full
    Opis rozwiązania:
    Zdarzenie wewnętrzne: lokalna usługa katalogowa otrzymała wyjątek od połączenia zdalnego wywołania procedury (RPC). Rozszerzone informacje o błędzie są niedostępne.

    usługa katalogowa:
    dc1-full.corp.contoso.com

    Dodatkowe dane
    Wartość błędu:
    Nie można odnaleźć kontrolera domeny dla tej domeny. (1908)

  • Zdarzenie 3

    Nazwa dziennika: Usługa katalogowa
    Źródło: Microsoft-Windows-ActiveDirectory_DomainService
    Data: <Data/godzina>
    Identyfikator zdarzenia: 1125
    Kategoria zadania: Konfiguracja
    Poziom: Błąd
    Słowa kluczowe: Klasyczne
    Użytkownik: LOGOWANIE ANONIMOWE
    Komputer: dc2-full
    Opis rozwiązania:
    Kreator instalacji usług domena usługi Active Directory (Dcpromo) nie mógł nawiązać połączenia z następującym kontrolerem domeny.

    Kontroler domeny:
    dc1-full.corp.contoso.com

    Dodatkowe dane
    Wartość błędu:
    1908 Nie można odnaleźć kontrolera domeny dla tej domeny.

Przyczyna

Ten problem występuje z co najmniej jednej z następujących przyczyn:

  • Wbudowane konto administratora serwera ma takie samo hasło, jak wbudowane konto administratora domeny.
  • Prefiks domeny NetBIOS lub nazwa UPN nie została podana jako poświadczenia instalacji. Zamiast tego podano tylko nazwę użytkownika Administrator .

Rozwiązanie

Aby rozwiązać ten problem, wykonaj poniższe czynności:

  1. Uruchom ponownie serwer, na którym nie można zainstalować usługi Active Directory.
  2. Użyj narzędzia Dsa.msc lub Dsac.exe na istniejącym kontrolerze domeny, aby usunąć konto komputera serwera, które zakończyło się niepowodzeniem. (Kontroler domeny nie będzie jeszcze obiektem kontrolera domeny, ale tylko serwerem członkowskim). Następnie pozwól replikacji usługi Active Directory zbiegać się.
  3. Na serwerze, który zakończył się niepowodzeniem, należy wymuszono usunąć serwer z domeny przy użyciu właściwości systemu Panel sterowania elementu lub netdom.exe.
  4. Na serwerze, który zakończył się niepowodzeniem, usuń rolę usług domena usługi Active Directory (AD DS) przy użyciu Menedżer serwera lub Uninstall-WindowsFeature.
  5. Uruchom ponownie serwer, który zakończył się niepowodzeniem.
  6. Zainstaluj rolę usług AD DS, a następnie ponów próbę podwyższenia poziomu. W takim przypadku upewnij się, że podajesz poświadczenia podwyższania poziomu w domenie formularza\użytkowniku lub user@domain.tld.

Więcej informacji

Jest to usterka kodu w systemie Windows Server 2012 i opóźniona.

Jeśli ustawisz różne hasła na dwóch kontach administratorów, ale nie udostępnisz domeny, zostanie wyświetlony błąd nieprawidłowego hasła.

Nie zalecamy używania wbudowanego administratora do administrowania domeną. Zamiast tego zalecamy utworzenie nowego użytkownika domeny dla każdego administratora w środowisku. Następnie akcje administratorów można przeprowadzać indywidualnie.

Zdecydowanie odradzamy korzystanie z pasujących haseł administratora na serwerach członkowskich i koncie administratora domeny. Hasła lokalne są łatwiej naruszone niż konta usług AD DS, a znajomość pasujących haseł administratora zapewnia pełny dostęp administracyjny przedsiębiorstwa.