Il semble qu’il y ait un souci avec les deux derniers patchs mensuels, un nombre grandissant d’administrateurs signalant l’impossibilité de créer une nouvelle arborescence de domaine ou un nouveau domaine enfant en Windows Server 2016.
Depuis quelques temps, la promotion du premier serveur en 2016 se solde par une erreur : L’opération de réplication a rencontré une erreur dans la base de données.
Par ailleurs le fichier « C:\Windows\debug\DCPROMO.LOG » ne donne pas beaucoup d’indices :
10/22/2018 14:09:44 [INFO] Promotion request for domain controller of new domain 10/22/2018 14:09:44 [INFO] DnsDomainName casems.foret.local 10/22/2018 14:09:44 [INFO] FlatDomainName CASEMS 10/22/2018 14:09:44 [INFO] SiteName SITE 10/22/2018 14:09:44 [INFO] SystemVolumeRootPath C:\Windows\SYSVOL 10/22/2018 14:09:44 [INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS 10/22/2018 14:09:44 [INFO] ParentDnsDomainName foret.local 10/22/2018 14:09:44 [INFO] ParentServer dc2k12r2.foret.local 10/22/2018 14:09:44 [INFO] Account FORET\admin 10/22/2018 14:09:44 [INFO] Options 5243072 10/22/2018 14:09:44 [INFO] Validate supplied paths 10/22/2018 14:09:44 [INFO] Validating path C:\Windows\NTDS. 10/22/2018 14:09:44 [INFO] Path is a directory 10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive. 10/22/2018 14:09:44 [INFO] Validating path C:\Windows\NTDS. 10/22/2018 14:09:44 [INFO] Path is a directory 10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive. 10/22/2018 14:09:44 [INFO] Validating path C:\Windows\SYSVOL. 10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive. 10/22/2018 14:09:44 [INFO] Path is on an NTFS volume 10/22/2018 14:09:44 [INFO] Child domain creation -- check the new domain name is child of parent domain name. 10/22/2018 14:09:44 [INFO] Domain Creation -- check that the flat name is unique. 10/22/2018 14:09:50 [INFO] Start the worker task 10/22/2018 14:09:50 [INFO] Request for promotion returning 0 10/22/2018 14:09:50 [INFO] Using supplied domain controller: dc2k12r2.foret.local 10/22/2018 14:09:50 [INFO] Using supplied site: PACS 10/22/2018 14:09:50 [INFO] Forcing time sync 10/22/2018 14:09:50 [INFO] Synchronisation forcée avec dc2k12r2.foret.local 10/22/2018 14:09:52 [INFO] Lecture de la stratégie du domaine à partir du contrôleur de domaine dc2k12r2.foret.local 10/22/2018 14:09:52 [INFO] Arrêt du service NETLOGON 10/22/2018 14:09:52 [INFO] Arrêt du service NETLOGON 10/22/2018 14:09:52 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062) 10/22/2018 14:09:52 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state 10/22/2018 14:09:52 [INFO] StopService on NETLOGON returned 0 10/22/2018 14:09:52 [INFO] Configuring service NETLOGON to 1 returned 0 10/22/2018 14:09:52 [INFO] Stopped NETLOGON 10/22/2018 14:09:52 [INFO] Création du volume système C:\Windows\SYSVOL 10/22/2018 14:09:52 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 10/22/2018 14:09:52 [INFO] Préparation à la réplication de volume système en utilisant la racine C:\Windows\SYSVOL 10/22/2018 14:09:52 [INFO] Created the system volume 10/22/2018 14:09:52 [INFO] Copie du fichier de base de données initial C:\Windows\system32\ntds.dit du Service d’annuaire vers C:\Windows\NTDS\ntds.dit 10/22/2018 14:09:53 [INFO] Installation du service Active Directory 10/22/2018 14:09:53 [INFO] Calling NtdsInstall for casems.foret.local 10/22/2018 14:09:53 [INFO] Démarrage de l’installation des services de domaine Active Directory 10/22/2018 14:09:53 [INFO] Validation en cours des options fournies par l’utilisateur 10/22/2018 14:09:53 [INFO] Détermination en cours d’un site dans lequel installer 10/22/2018 14:09:53 [INFO] Analyse d’une forêt existante... 10/22/2018 14:09:53 [INFO] Configuration de l’ordinateur local pour héberger les services de domaine Active Directory 10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS Database / Traitement interne : 2013 Dans le cadre du processus d’initialisation, les services de domaine Active Directory recréent le nombre d’index suivant. Nombre d’index : 2 Index : LCL_ABVIEW_index0000040C +ATTb590468 LCL_ABVIEW_index00000409 +ATTb590468 10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS Database / Traitement interne : 2014 Les services de domaine Active Directory ont recréé le nombre d’index suivant. Index : 2 10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2120 Le serveur de services de domaine Active Directory ne prend pas en charge la Corbeille. Les objets supprimés peuvent être récupérés ; cependant, quand un objet est récupéré, certains de ses attributs peuvent être perdus. En outre, les attributs d’autres objets faisant référence à l’objet en cours de récupération peuvent aussi être perdus. 10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2405 Ce serveur des services de domaine Active Directory ne prend pas en charge la fonctionnalité facultative « Recycle Bin Feature ». 10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2405 Ce serveur des services de domaine Active Directory ne prend pas en charge la fonctionnalité facultative « Privileged Access Management Feature ». 10/22/2018 14:09:54 [INFO] Réplication en cours de la partition d’annuaire du schéma 10/22/2018 14:09:57 [INFO] EVENTLOG (Error): NTDS Replication / Réplication : 2140 Lors du traitement d’une demande de réplication des services de domaine Active Directory, les services de domaine Active Directory ont tenté de modifier la liste des fonctionnalités en option activées pour la forêt. Les services de domaine Active Directory sont en train d’activer ou de désactiver une ou plusieurs fonctionnalités en option. Par conséquent, les modifications apportées à la liste des fonctionnalités en option activées pour la forêt ne sont pas acceptées pour le moment, et la demande de réplication a donc échoué. Les services de domaine Active Directory vont interrompre temporairement cette demande de réplication. Une nouvelle tentative de demande de réplication sera effectuée ultérieurement. Détails de la demande : Objet en cours de modification : CN=BootMachine,O=Boot Attribut en cours de modification : msDS-EnabledFeature Valeur en cours de modification : 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a Fonctionnalité facultative : Recycle Bin Feature 10/22/2018 14:09:57 [INFO] EVENTLOG (Warning): NTDS General / Traitement interne : 1173 Internal event: Active Directory Domain Services has encountered the following exception and associated parameters. Exception: e0010002 Parameter: 20d9 Additional Data Error value: 8451 Internal ID: 11d0700 10/22/2018 14:09:57 [INFO] Error - Les services de domaine Active Directory n’ont pas pu répliquer la partition d’annuaire CN=Schema,CN=Configuration,DC=foret,DC=local du contrôleur de domaine Active Directory distant dc2k12r2.foret.local. (8451) 10/22/2018 14:09:57 [INFO] EVENTLOG (Error): NTDS General / Traitement interne : 1168 Internal error: An Active Directory Domain Services error has occurred. Additional Data Error value (decimal): -1073741823 Error value (hex): c0000001 Internal ID: 30017ac 10/22/2018 14:09:57 [INFO] EVENTLOG (Informational): NTDS General / Contrôle du service : 1004 Les services de domaine Active Directory ont été arrêtés correctement. 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS (DeleteRoot=0). 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Diagnostics (DeleteRoot=1). 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Diagnostics (DeleteRoot=1). 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Parameters (DeleteRoot=1). 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Parameters (DeleteRoot=1). 10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS (DeleteRoot=0). 10/22/2018 14:09:57 [INFO] NtdsInstall for casems.foret.local returned 8451 10/22/2018 14:09:57 [INFO] DsRolepInstallDs returned 8451 10/22/2018 14:09:57 [ERROR] Failed to install the directory service (8451) 10/22/2018 14:09:57 [ERROR] DsRolepFinishSysVolPropagation (Abort Promote) failed with 8001 10/22/2018 14:09:57 [WARNING] Failed to abort system volume installation (8001) 10/22/2018 14:09:57 [INFO] La tentative de promotion du contrôleur de domaine est terminée 10/22/2018 14:09:57 [INFO] Updating service status to 4 10/22/2018 14:09:57 [INFO] DsRolepSetOperationDone returned 0
Ainsi, après plusieurs essais infructueux (essayer un niveau fonctionnel 2012R2, installer le rôle serveur DNS avant, ne pas mettre le contrôleur catalogue global…), il s’avère que ce sont les KB4462917 (2018-10 Mise à jour cumulative pour Windows Server 2016 pour les systèmes x64) et KB4457127 (2018-09 Mise à jour cumulative pour Windows Server 2016 pour les systèmes x64) qui posent problème.
En fin de compte, les désinstaller avant la promotion débloque la situation.
Mise à jour du 29 octobre 2018 : Le service « Windows Servicing Division » de Microsoft a confirmé que le souci est reproductible chez eux. Il touche Windows Server 2016 et Windows Server 2019. La référence du bug est 89430915.
- Create a Root Domain DC
- Enable Recycle Bin at the root domain
- Create 2016 (RS1) image with 9C or 10B updates
- Attempt to promote Windows 2016 RS1 DC as a first DC in a new Child domain
Aussi, à cette étape ils vont analyser la cause du souci et vont chercher une solution. Le plus probable est que la solution sera implémentée dans une mise à jour prochaine.
Pour l’instant, ils ne peuvent proposer seulement des solutions de contournement.
Soit de :
- Promouvoir un DC 2012 pour la création d’un nouveau domaine enfant et puis d’ajouter un DC 2016 (*)
- Promouvoir un DC 2016 sans avoir installé le CU de septembre (KB4457127) et octobre (KB4462933, KB4462928, KB4462932)
Néanmoins, ils ne peuvent pas estimer le délai de l’équipe « Windows Servicing Division ». Le temps d’attente pouvant dépasser plus d’un mois.
(*) Finalement, cela ne marche pas non plus. Il faut obligatoirement un Windows Server 2016 sans patch pour pouvoir intégrer une forêt où la corbeille Active Directory est activée.
Bonjour,
J’ai eu le même problème, sachant que je n’ai aucun problème de réplication , je ne voyais pas d’ou venait le problème.
Votre article est intéressant car cela fait 4 jours que je tournes en rond
Je vais réinstaller complètement la VM
Merci