Erreur à la création d’un domaine enfant en Windows Server 2016

Il semble qu’il y ait un souci avec les deux derniers patchs mensuels, un nombre grandissant d’administrateurs signalant l’impossibilité de créer une nouvelle arborescence de domaine ou un nouveau domaine enfant en Windows Server 2016.

Depuis quelques temps, la promotion du premier serveur en 2016 se solde par une erreur : L’opération de réplication a rencontré une erreur dans la base de données.

Par ailleurs le fichier « C:\Windows\debug\DCPROMO.LOG » ne donne pas beaucoup d’indices :

10/22/2018 14:09:44 [INFO] Promotion request for domain controller of new domain
10/22/2018 14:09:44 [INFO] DnsDomainName casems.foret.local
10/22/2018 14:09:44 [INFO] FlatDomainName CASEMS
10/22/2018 14:09:44 [INFO] SiteName SITE
10/22/2018 14:09:44 [INFO] SystemVolumeRootPath C:\Windows\SYSVOL
10/22/2018 14:09:44 [INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
10/22/2018 14:09:44 [INFO] ParentDnsDomainName foret.local
10/22/2018 14:09:44 [INFO] ParentServer dc2k12r2.foret.local
10/22/2018 14:09:44 [INFO] Account FORET\admin
10/22/2018 14:09:44 [INFO] Options 5243072
10/22/2018 14:09:44 [INFO] Validate supplied paths
10/22/2018 14:09:44 [INFO] Validating path C:\Windows\NTDS.
10/22/2018 14:09:44 [INFO] Path is a directory
10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive.
10/22/2018 14:09:44 [INFO] Validating path C:\Windows\NTDS.
10/22/2018 14:09:44 [INFO] Path is a directory
10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive.
10/22/2018 14:09:44 [INFO] Validating path C:\Windows\SYSVOL.
10/22/2018 14:09:44 [INFO] Path is on a fixed disk drive.
10/22/2018 14:09:44 [INFO] Path is on an NTFS volume
10/22/2018 14:09:44 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
10/22/2018 14:09:44 [INFO] Domain Creation -- check that the flat name is unique.
10/22/2018 14:09:50 [INFO] Start the worker task
10/22/2018 14:09:50 [INFO] Request for promotion returning 0
10/22/2018 14:09:50 [INFO] Using supplied domain controller: dc2k12r2.foret.local
10/22/2018 14:09:50 [INFO] Using supplied site: PACS
10/22/2018 14:09:50 [INFO] Forcing time sync
10/22/2018 14:09:50 [INFO] Synchronisation forcée avec dc2k12r2.foret.local
10/22/2018 14:09:52 [INFO] Lecture de la stratégie du domaine à partir du contrôleur de domaine dc2k12r2.foret.local
10/22/2018 14:09:52 [INFO] Arrêt du service NETLOGON
10/22/2018 14:09:52 [INFO] Arrêt du service NETLOGON
10/22/2018 14:09:52 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
10/22/2018 14:09:52 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
10/22/2018 14:09:52 [INFO] StopService on NETLOGON returned 0
10/22/2018 14:09:52 [INFO] Configuring service NETLOGON to 1 returned 0
10/22/2018 14:09:52 [INFO] Stopped NETLOGON
10/22/2018 14:09:52 [INFO] Création du volume système C:\Windows\SYSVOL
10/22/2018 14:09:52 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 
10/22/2018 14:09:52 [INFO] Préparation à la réplication de volume système en utilisant la racine C:\Windows\SYSVOL
10/22/2018 14:09:52 [INFO] Created the system volume
10/22/2018 14:09:52 [INFO] Copie du fichier de base de données initial C:\Windows\system32\ntds.dit du Service d’annuaire vers C:\Windows\NTDS\ntds.dit
10/22/2018 14:09:53 [INFO] Installation du service Active Directory
10/22/2018 14:09:53 [INFO] Calling NtdsInstall for casems.foret.local
10/22/2018 14:09:53 [INFO] Démarrage de l’installation des services de domaine Active Directory
10/22/2018 14:09:53 [INFO] Validation en cours des options fournies par l’utilisateur
10/22/2018 14:09:53 [INFO] Détermination en cours d’un site dans lequel installer
10/22/2018 14:09:53 [INFO] Analyse d’une forêt existante...
10/22/2018 14:09:53 [INFO] Configuration de l’ordinateur local pour héberger les services de domaine Active Directory
10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS Database / Traitement interne : 2013
Dans le cadre du processus d’initialisation, les services de domaine Active Directory recréent le nombre d’index suivant.

Nombre d’index : 
2

Index : 
LCL_ABVIEW_index0000040C +ATTb590468 LCL_ABVIEW_index00000409 +ATTb590468

10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS Database / Traitement interne : 2014
Les services de domaine Active Directory ont recréé le nombre d’index suivant.

Index : 
2

10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2120
Le serveur de services de domaine Active Directory ne prend pas en charge la Corbeille. Les objets supprimés peuvent être récupérés ; cependant, quand un objet est récupéré, certains de ses attributs peuvent être perdus. En outre, les attributs d’autres objets faisant référence à l’objet en cours de récupération peuvent aussi être perdus.

10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2405
Ce serveur des services de domaine Active Directory ne prend pas en charge la fonctionnalité facultative « Recycle Bin Feature ».

10/22/2018 14:09:54 [INFO] EVENTLOG (Informational): NTDS General / Configuration interne : 2405
Ce serveur des services de domaine Active Directory ne prend pas en charge la fonctionnalité facultative « Privileged Access Management Feature ».

10/22/2018 14:09:54 [INFO] Réplication en cours de la partition d’annuaire du schéma
10/22/2018 14:09:57 [INFO] EVENTLOG (Error): NTDS Replication / Réplication : 2140
Lors du traitement d’une demande de réplication des services de domaine Active Directory, les services de domaine Active Directory ont tenté de modifier la liste des fonctionnalités en option activées pour la forêt. Les services de domaine Active Directory sont en train d’activer ou de désactiver une ou plusieurs fonctionnalités en option. Par conséquent, les modifications apportées à la liste des fonctionnalités en option activées pour la forêt ne sont pas acceptées pour le moment, et la demande de réplication a donc échoué. Les services de domaine Active Directory vont interrompre temporairement cette demande de réplication. Une nouvelle tentative de demande de réplication sera effectuée ultérieurement.
Détails de la demande :
Objet en cours de modification : CN=BootMachine,O=Boot
Attribut en cours de modification : msDS-EnabledFeature
Valeur en cours de modification : 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a
Fonctionnalité facultative : Recycle Bin Feature

10/22/2018 14:09:57 [INFO] EVENTLOG (Warning): NTDS General / Traitement interne : 1173
Internal event: Active Directory Domain Services has encountered the following exception and associated parameters.

Exception:
e0010002

Parameter:
20d9

Additional Data

Error value:
8451

Internal ID:
11d0700

10/22/2018 14:09:57 [INFO] Error - Les services de domaine Active Directory n’ont pas pu répliquer la partition d’annuaire CN=Schema,CN=Configuration,DC=foret,DC=local du contrôleur de domaine Active Directory distant dc2k12r2.foret.local. (8451)
10/22/2018 14:09:57 [INFO] EVENTLOG (Error): NTDS General / Traitement interne : 1168
Internal error: An Active Directory Domain Services error has occurred.

Additional Data

Error value (decimal):
-1073741823

Error value (hex):
c0000001

Internal ID:
30017ac

10/22/2018 14:09:57 [INFO] EVENTLOG (Informational): NTDS General / Contrôle du service : 1004
Les services de domaine Active Directory ont été arrêtés correctement.

10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS (DeleteRoot=0).
10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Diagnostics (DeleteRoot=1).
10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Diagnostics (DeleteRoot=1).
10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory tentent de supprimer de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Parameters (DeleteRoot=1).
10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS\Parameters (DeleteRoot=1).
10/22/2018 14:09:57 [INFO] Les services de domaine Active Directory ont supprimé de façon récursive la clé de Registre \Registry\Machine\System\CurrentControlSet\Services\NTDS (DeleteRoot=0).
10/22/2018 14:09:57 [INFO] NtdsInstall for casems.foret.local returned 8451
10/22/2018 14:09:57 [INFO] DsRolepInstallDs returned 8451
10/22/2018 14:09:57 [ERROR] Failed to install the directory service (8451)
10/22/2018 14:09:57 [ERROR] DsRolepFinishSysVolPropagation (Abort Promote) failed with 8001
10/22/2018 14:09:57 [WARNING] Failed to abort system volume installation (8001)
10/22/2018 14:09:57 [INFO] La tentative de promotion du contrôleur de domaine est terminée
10/22/2018 14:09:57 [INFO] Updating service status to 4
10/22/2018 14:09:57 [INFO] DsRolepSetOperationDone returned 0

Ainsi, après plusieurs essais infructueux (essayer un niveau fonctionnel 2012R2, installer le rôle serveur DNS avant, ne pas mettre le contrôleur catalogue global…), il s’avère que ce sont les KB4462917 (2018-10 Mise à jour cumulative pour Windows Server 2016 pour les systèmes x64) et KB4457127 (2018-09 Mise à jour cumulative pour Windows Server 2016 pour les systèmes x64) qui posent problème.

En fin de compte, les désinstaller avant la promotion débloque la situation.

Mise à jour du 29 octobre 2018 : Le service « Windows Servicing Division » de Microsoft a confirmé que le souci est reproductible chez eux. Il touche Windows Server 2016 et Windows Server 2019. La référence du bug est 89430915.

• Create a Root Domain DC
• Enable Recycle Bin at the root domain
• Create 2016 (RS1) image with 9C or 10B updates
• Attempt to promote Windows 2016 RS1 DC as a first DC in a new Child domain

Aussi, à cette étape ils vont analyser la cause du souci et vont chercher une solution. Le plus probable est que la solution sera implémentée dans une mise à jour prochaine.

Pour l’instant, ils ne peuvent proposer seulement des solutions de contournement.

Soit de :

• Promouvoir un DC 2012 pour la création d’un nouveau domaine enfant et puis d’ajouter un DC 2016 (*)
• Promouvoir un DC 2016 sans avoir installé le CU de septembre (KB4457127) et octobre (KB4462933, KB4462928, KB4462932)

Néanmoins, ils ne peuvent pas estimer le délai de l’équipe « Windows Servicing Division ». Le temps d’attente pouvant dépasser plus d’un mois.

(*) Finalement, cela ne marche pas non plus. Il faut obligatoirement un Windows Server 2016 sans patch pour pouvoir intégrer une forêt où la corbeille Active Directory est activée.