Risolvere i problemi di distribuzione del controller di dominio
Questo articolo illustra la metodologia dettagliata per la risoluzione dei problemi di configurazione e distribuzione del controller di dominio.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Provare l'agente virtuale : consente di identificare e risolvere rapidamente i problemi comuni di replica di Active Directory.
Introduzione alla risoluzione dei problemi
Log predefiniti per la risoluzione dei problemi
I log predefiniti sono lo strumento più importante per la risoluzione dei problemi relativi alla promozione e all'abbassamento di livello del controller di dominio. Tutti questi log sono abilitati e configurati per la massima dettaglio per impostazione predefinita.
Fase | Log |
---|---|
operazioni Windows PowerShell Server Manager o ADDSDeployment |
-
%systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
Installazione/promozione del controller di dominio |
-
%systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - \ Visualizzatore eventi Sistema log di\Windows - \ applicazione Visualizzatore eventiWindows Logs\ - \ Servizio directory registri \ applicazioni e serviziVisualizzatore eventi - \ servizio replica file log applicazioni e servizi\di Visualizzatore eventi - \ Replica DFS Visualizzatore eventi Applicazioni e log dei\ servizi |
Aggiornamento della foresta o del dominio |
-
%systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
motore di distribuzione Windows PowerShell SERVER MANAGER ADDSDeployment | - \ Visualizzatore eventi Registri applicazioni e servizi\Microsoft\Windows\DirectoryServices-Deployment\Operational |
Manutenzione di Windows |
-
%systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
Strumenti e comandi per la risoluzione dei problemi di configurazione del controller di dominio
Per risolvere i problemi non spiegati dai log, usare gli strumenti seguenti come punto di partenza:
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe, Gestione attività e MSInfo32.exe
- Network Monitor 3.4 (o uno strumento di analisi e acquisizione di rete di terze parti)
Metodologia generale per la risoluzione dei problemi di configurazione del controller di dominio
L'errore è stato causato da un problema di sintassi?
- È stato digitato o dimenticato di fornire un argomento a ADDSDeployment Windows PowerShell? Ad esempio, se si usa ADDSDeployment Windows PowerShell, si è dimenticato di aggiungere l'argomento
-domainname
obbligatorio con un nome valido? - Esaminare attentamente l'output della console di Windows PowerShell per vedere esattamente perché non riesce ad analizzare la riga di comando fornita.
- È stato digitato o dimenticato di fornire un argomento a ADDSDeployment Windows PowerShell? Ad esempio, se si usa ADDSDeployment Windows PowerShell, si è dimenticato di aggiungere l'argomento
L'errore è un errore dei prerequisiti?
- Molti errori visualizzati come risultati di promozione irreversibili vengono ora impediti dal controllo dei prerequisiti.
- Esaminare attentamente il testo degli errori dei prerequisiti, che forniscono le indicazioni necessarie per risolvere la maggior parte dei problemi, in quanto sono scenari controllati.
L'errore nella promozione e quindi irreversibile?
Esaminare attentamente i risultati: molti errori includono spiegazioni, ad esempio password non corrette, risoluzione dei nomi di rete o controller di dominio offline critici.
Esaminare il Dcpromoui.log e dcpromo.log per individuare gli errori visualizzati nell'output, quindi tornare indietro per visualizzare le indicazioni sul motivo per cui si è verificato l'errore.
- Confronta sempre con un log di esempio funzionante
- Esaminare i log di ADPrep per individuare gli errori solo se i risultati indicano un problema durante l'estensione dello schema o la preparazione della foresta o del dominio.
- Esaminare il registro eventi DirectoryServices-Deployment per individuare gli errori solo se il Dcpromoui.log non dispone di dettagli o termina arbitrariamente a causa di un'eccezione non gestita nel processo di configurazione.
Esaminare i log eventi di Servizi directory, Sistema e Applicazione per individuare altri indicatori di un problema di configurazione. Spesso, la promozione del controller di dominio è solo un sintomo di altri errori di configurazione della rete che potrebbero interessare tutti i sistemi distribuiti.
Usare dcdiag.exe e repadmin.exe per convalidare l'integrità complessiva della foresta e indicare errori di configurazione che potrebbero impedire ulteriori promozioni del controller di dominio.
Usare AutoRuns.exe, Gestione attività o MSinfo32.exe per esaminare il computer alla ricerca di software di terze parti che potrebbero interferire.
Rimuovere software di terze parti (non disabilitare il software, che non impedisce il caricamento dei driver).
Installare NetMon 3.4 nel computer che non riesce a alzare di livello e il controller di dominio del partner di replica e analizzare il processo di promozione con acquisizioni di rete a doppio lato.
- Confrontarlo con l'ambiente del lab di lavoro per comprendere l'aspetto di una promozione integro e la posizione in cui ha esito negativo.
- A questo punto, è probabile che gli errori si verifichino con gli oggetti foresta, le modifiche di sicurezza non predefinite o la rete e questo nuovo controller di dominio è vittima di configurazioni errate in DNS, firewall, software di protezione dalle intrusioni host o altri fattori esterni.
Risoluzione dei problemi relativi a eventi e messaggi di errore
La promozione e l'abbassamento di livello del controller di dominio restituiscono sempre un codice alla fine dell'operazione e, a differenza della maggior parte dei programmi, non restituiscono zero per l'esito positivo. Per visualizzare il codice alla fine della configurazione di un controller di dominio, sono disponibili diverse opzioni:
Quando si usa Server Manager, esaminare i risultati della promozione nei 10 secondi precedenti al riavvio automatico.
Quando si usa ADDSDeployment Windows PowerShell, esaminare i risultati dell'innalzamento di livello nei 10 secondi precedenti al riavvio automatico. In alternativa, scegliere di non riavviare automaticamente al completamento. È consigliabile aggiungere la
format-list
pipeline per semplificare la lettura dell'output. Ad esempio:Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list
Gli errori nella convalida e nella verifica dei prerequisiti non continuano a essere riavviate, quindi sono visibili in tutti i casi. Ad esempio:
In qualsiasi scenario esaminare le dcpromo.log e dcpromoui.log.
Nota
Alcuni degli errori elencati di seguito non sono più possibili a causa delle modifiche alla configurazione del sistema operativo e del controller di dominio nei sistemi operativi successivi. I nuovi codici di Windows PowerShell ADDSDeployment impediscono anche determinati errori, ma
dcpromo.exe /unattend
non lo fanno. Questo è un altro motivo interessante per passare dall'automazione corrente da DCPromo deprecato a ADDSDeployment Windows PowerShell.
Codici di successo per la promozione e l'abbassamento di livello
Codice errore | Spiegazione | Nota |
---|---|---|
1 | Exit, success | È comunque necessario riavviare, questo solo nota che il flag di riavvio automatico è stato rimosso. |
2 | Uscita, esito positivo, necessità di riavvio | |
3 | Exit, success, with a noncritical failure | In genere viene visualizzato quando si restituisce l'avviso di delega DNS. Se non si configura la delega DNS, usare:
|
4 | Exit, success, with a noncritical failure, need to reboot | In genere viene visualizzato quando si restituisce l'avviso di delega DNS. Se non si configura la delega DNS, usare:
|
Codici di errore di innalzamento di livello e abbassamento di livello
La promozione e l'abbassamento di livello restituiscono i codici di messaggio di errore seguenti. È anche probabile che sia presente un messaggio di errore esteso; leggere sempre attentamente l'intero errore, non solo la parte numerica.
Codice errore | Spiegazione | Risoluzione suggerita |
---|---|---|
11 | L'innalzamento di livello del controller di dominio è già in esecuzione | Non eseguire più istanze di promozione del controller di dominio contemporaneamente per lo stesso computer di destinazione. |
12 | L'utente deve essere amministratore | Accedere come membro del gruppo Administrators predefinito e assicurarsi di essere elevati con Controllo dell'account utente. |
13 | Autorità di certificazione installata | Non è possibile abbassare di livello questo controller di dominio, perché è anche un'autorità di certificazione. Non rimuovere la CA prima di inventariarne attentamente l'utilizzo. Se emette certificati, la rimozione del ruolo causerà un'interruzione. L'esecuzione di CA nei controller di dominio è sconsigliata. |
14 | Esecuzione in modalità di avvio sicuro | Avviare il server in modalità normale. |
15 | La modifica del ruolo è in corso o richiede il riavvio | È necessario riavviare il server (a causa di modifiche di configurazione precedenti) prima dell'innalzamento di livello. |
16 | Esecuzione su una piattaforma errata | Non è probabile che venga visualizzato questo errore. |
17 | Nessuna unità NTFS 5 esistente | Questo errore non è possibile in Windows Server 2012, che richiede che almeno %systemdrive% sia formattato con NTFS. |
18 | Spazio insufficiente nel windir | Liberare spazio nel volume %systemdrive% usando cleanmgr.exe. |
19 | Modifica del nome in sospeso, è necessario riavviare | Riavviare il server. |
20 | Sintassi del nome del computer non valida | Rinominare il computer con un nome valido. |
21 | Questo controller di dominio contiene i ruoli FSMO, è un GC e/o è un server DNS | Aggiungere -demoteoperationmasterrole quando si usa -forceremoval . |
22 | TCP/IP deve essere installato o non funziona | Verificare che TCP/IP sia configurato, associato e funzionante correttamente nel computer. |
23 | Il client DNS deve essere configurato per primo | Impostare un server DNS primario quando si aggiunge un nuovo controller di dominio a un dominio. |
24 | Le credenziali specificate non sono valide o mancano elementi obbligatori | Verificare che il nome utente e la password siano corretti. |
25 | Non è stato possibile individuare il controller di dominio per il dominio specificato | Convalidare le impostazioni del client DNS, le regole del firewall. |
26 | Impossibile leggere l'elenco dei domini dalla foresta | Convalidare le impostazioni del client DNS, la funzionalità LDAP, le regole del firewall. |
27 | Nome di dominio mancante | Specificare un dominio durante la promozione o l'abbassamento di livello. |
28 | Nome di dominio non valido | Scegliere un nome di dominio DNS diverso e valido durante la promozione. |
29 | Il dominio padre non esiste | Verificare il dominio padre specificato durante la creazione di un nuovo dominio figlio o di un dominio albero. |
30 | Dominio non incluso nella foresta | Verificare il nome di dominio specificato. |
31 | Dominio figlio già esistente | Specificare un nome di dominio diverso. |
32 | Nome di dominio NetBIOS non valido | Specificare un nome di dominio NetBIOS valido. |
33 | Percorso dei file IFM non valido | Convalidare il percorso della cartella Installa dal supporto. |
34 | Il database IFM non è valido | Usare l'installazione corretta da supporti per questo sistema operativo e ruolo (stessa versione del sistema operativo, stesso tipo di controller di dominio - RODC rispetto a RWDC). |
35 | SYSKEY mancante | L'installazione da supporti è crittografata ed è necessario fornire un SYSKEY valido per usarlo. |
37 | Percorso del database NTDS o dei relativi log non valido | Modificare il percorso del database e dei log in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC. |
38 | Il volume non ha spazio sufficiente per i log o il database NTDS | Liberare spazio usando cleanmgr.exe, aggiungere più spazio su disco, cancellare manualmente lo spazio spostando i dati non necessari altrove. |
39 | Il percorso per SYSVOL non è valido | Modificare il percorso della cartella SYSVOL in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC. |
40 | Nome sito non valido | Specificare un nome di sito esistente. |
41 | È necessario specificare una password per la modalità provvisoria | Specificare una password per l'account DSRM. Non può essere vuota indipendentemente dalla configurazione dei criteri password. |
42 | La password in modalità provvisoria non soddisfa i criteri (solo promozione) | Specificare una password per l'account DSRM che soddisfi le regole configurate dei criteri password. |
43 | Amministrazione password non soddisfa i criteri (solo abbassamento di livello) | Specificare una password per l'account amministratore locale che soddisfi le regole configurate dei criteri password. |
44 | Il nome specificato per la foresta non è valido | Specificare un nome di dominio DNS radice della foresta valido. |
45 | Esiste già una foresta con il nome specificato | Scegliere un nome di dominio DNS radice della foresta diverso. |
46 | Il nome specificato per l'albero non è valido | Specificare un nome di dominio DNS ad albero valido. |
47 | Esiste già un albero con il nome specificato | Scegliere un nome di dominio DNS ad albero diverso. |
48 | Il nome dell'albero non rientra nella struttura della foresta | Scegliere un nome di dominio DNS ad albero diverso. |
49 | Il dominio specificato non esiste | Verificare il nome di dominio tipizzato. |
50 | Durante l'abbassamento di livello, è stato rilevato l'ultimo controller di dominio anche se non lo è, o l'ultimo controller di dominio è stato specificato, ma non lo è | Non specificare l'ultimo controller di dominio nel dominio (-lastdomaincontrollerindomain ) a meno che non sia vero. Usare -ignorelastdcindomainmismatch per eseguire l'override se si tratta effettivamente dell'ultimo controller di dominio e sono presenti metadati del controller di dominio fantasma. |
51 | Le partizioni dell'app esistono in questo controller di dominio | Specificare per rimuovere le partizioni dell'applicazione (-removeapplicationpartitions ). |
52 | L'argomento obbligatorio della riga di comando è mancante(ovvero è necessario specificare un file di risposte nella riga di comando) | Viene visualizzato solo con dcpromo /unattend , che è deprecato. Vedere la documentazione precedente. |
53 | L'innalzamento di livello/abbassamento di livello non è riuscito, il computer deve essere riavviato per eseguire la pulizia | Esaminare l'errore esteso e i log. |
54 | Promozione/abbassamento di livello non riuscita | Esaminare l'errore esteso e i log. |
55 | La promozione/abbassamento di livello è stata annullata dall'utente | Esaminare l'errore esteso e i log. |
56 | La promozione/abbassamento di livello è stata annullata dall'utente, il computer deve essere riavviato per eseguire la pulizia | Esaminare l'errore esteso e i log. |
58 | È necessario specificare un nome di sito durante la promozione del controller di dominio di sola lettura | È necessario specificare un sito per un controller di dominio di sola lettura, che non ne rileverà automaticamente uno come un RWDC. |
59 | Durante l'abbassamento di livello, questo controller di dominio è l'ultimo server DNS per una delle relative zone | Specificare che si tratta dell'ultimo server DNS nel dominio o usare -ignorelastdnsserverfordomain . |
60 | Un controller di dominio che esegue Windows Server 2008 o versione successiva deve essere presente nel dominio per promuovere controller di dominio di sola lettura | Alzare di livello almeno un controller di dominio scrivibile del modello Windows Server 2008 o versione successiva. |
61 | Non è possibile installare Active Directory Domain Services con DNS in un dominio esistente che non ospita già DNS | Non è possibile ottenere questo errore. |
62 | Il file di risposte non ha una sezione [DCInstall] | Viene visualizzato solo con dcpromo /unattend , che è deprecato. Vedere la documentazione precedente. |
63 | Il livello di funzionalità della foresta è inferiore a Windows Server 2003 | Aumentare il livello di funzionalità della foresta almeno a Windows Server 2003 Native. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati. |
64 | Promo non riuscita perché il rilevamento binario dei componenti non è riuscito | Installare il ruolo Active Directory Domain Services. |
65 | Promo non riuscita perché l'installazione binaria del componente non è riuscita | Installare il ruolo Active Directory Domain Services. |
66 | Promo non riuscita perché il rilevamento del sistema operativo non è riuscito | Esaminare l'errore esteso e i log; il server non riesce a restituire la versione del sistema operativo. È probabile che il computer dovrà essere reinstallato, in quanto la sua integrità complessiva è altamente sospetta. |
68 | Il partner di replica non è valido | Usare repadmin.exe o il Windows PowerShell per convalidare l'integrità Get-ADReplication\* del controller di dominio partner. |
69 | La porta richiesta è già in uso da un'altra applicazione | Usare netstat.exe -anob per individuare i processi assegnati in modo errato alle porte riservate di Active Directory Domain Services. |
70 | Il controller di dominio radice della foresta deve essere un gc | Viene visualizzato solo con dcpromo /unattend , che è deprecato. Vedere la documentazione precedente. |
71 | Il server DNS è già installato | Non specificare di installare DNS (-installDNS ) se il servizio DNS è già installato. |
72 | Il computer esegue Servizi Desktop remoto in modalità non amministratore | Non è possibile alzare di livello questo controller di dominio, perché è anche un server Servizi Desktop remoto configurato per più di due utenti amministratori. Non rimuovere Servizi Desktop remoto prima di analizzarne attentamente l'utilizzo. Se viene usato da applicazioni o utenti finali, la rimozione causerà un'interruzione. |
73 | Il livello di funzionalità della foresta specificato non è valido. | Specificare un livello di funzionalità della foresta valido. |
74 | Il livello di funzionalità del dominio specificato non è valido. | Specificare un livello di funzionalità di dominio valido. |
75 | Impossibile determinare i criteri di replica delle password predefiniti. | Verificare che i criteri di replica delle password del controller di dominio di sola lettura esistano ed siano accessibili. |
76 | I gruppi di sicurezza replicati/non replicati specificati non sono validi | Verificare di aver digitato account utente e dominio validi quando si specificano criteri di replica delle password. |
77 | L'argomento specificato non è valido | Esaminare l'errore esteso e i log. |
78 | Impossibile esaminare la foresta di Active Directory | Esaminare l'errore esteso e i log. |
79 | RodC non può essere promosso perché rodcprep non è stato eseguito | Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /rodcprep . |
80 | Domainprep non è stato eseguito | Usare Windows Server 2012 per preparare il dominio o usare adprep.exe /domainprep . |
81 | Forestprep non è stato eseguito | Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep . |
82 | Mancata corrispondenza dello schema della foresta | Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep . |
83 | SKU non supportato | Non è probabile che venga visualizzato questo errore. |
84 | Impossibile rilevare un account controller di dominio | Verificare che i controller di dominio esistenti abbiano impostato l'attributo di controllo dell'account utente corretto. |
85 | Impossibile selezionare un account controller di dominio per la fase 2 | Restituito se si specifica "Usa account esistente", ma non è stato trovato alcun account o si è verificato un errore durante la ricerca dell'account. Assicurarsi di aver fornito l'account a fasi del controller di dominio di sola lettura corretto. |
86 | È necessario eseguire la promozione della fase 2 | Restituito se si alza di livello un controller di dominio aggiuntivo ma esiste un account esistente e non è stato specificato "Consenti reinstallazione". |
87 | Esiste un account controller di dominio di tipo in conflitto | Rinominare il computer prima di alzare di livello, se non si tenta di connettersi a un controller di dominio non occupato. È necessario collegarsi all'account del controller di dominio non occupato usando -useexistingaccount e l'argomento di sola lettura o scrivibile corretto, a seconda del tipo di account. |
88 | L'amministratore del server specificato non è valido | È stato specificato un account non valido per la delega dell'amministratore del controller di dominio di sola lettura. Verificare che l'account specificato sia un utente o un gruppo valido. |
89 | Il master RID per il dominio specificato è offline. | Usare netdom.exe query fsmo per rilevare il master RID. Portarlo online e renderlo accessibile al controller di dominio che si sta promuovendo. |
90 | Il master di denominazione dei domini è offline. | Usare netdom.exe query fsmo per rilevare il master di denominazione del dominio. Portarlo online e renderlo accessibile al controller di dominio che si sta promuovendo. |
91 | Impossibile rilevare se il processo è wow64 | Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit. |
92 | Il processo Wow64 non è supportato | Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit. |
93 | Il servizio controller di dominio non è in esecuzione per l'abbassamento di livello non forzato | Avviare il servizio Active Directory Domain Services. |
94 | La password dell'amministratore locale non soddisfa i requisiti: vuoto o non obbligatorio | Specificare una password non vuota e assicurarsi che i criteri password locali richiedano una password. |
95 | Non è possibile abbassare di livello l'ultimo controller di dominio di Windows Server 2008 o versione successiva nel dominio in cui sono presenti controller di dominio live | È necessario abbassare di livello tutti i controller di dominio prima di abbassare di livello tutti i controller di dominio scrivibili di Windows Server 2008 o versioni successive. |
96 | Impossibile disinstallare i file binari DS | Viene visualizzato solo con dcpromo /unattend , che è deprecato. Vedere la documentazione precedente. |
97 | Versione del livello di funzionalità della foresta superiore a quella del sistema operativo del dominio figlio | Specificare un dominio figlio che funzioni allo stesso livello o superiore al livello di funzionalità della foresta. |
98 | Installazione/disinstallazione binaria del componente in corso. | Viene visualizzato solo con dcpromo /unattend , che è deprecato. Vedere la documentazione precedente. |
99 | Il livello di funzionalità della foresta è troppo basso (l'errore è solo Windows Server 2012) | Aumentare il livello di funzionalità della foresta almeno a Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati. |
100 | Il livello di funzionalità del dominio è troppo basso (l'errore è Windows Server 2012 solo) | Aumentare il livello di funzionalità del dominio almeno a Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati. |
Problemi noti e scenari di supporto comuni
Di seguito sono riportati i problemi comuni riscontrati durante il processo di sviluppo Windows Server 2012. Tutti questi problemi sono "in base alla progettazione" e hanno una soluzione alternativa valida o una tecnica più appropriata per evitarli in primo luogo. Molti di questi comportamenti sono identici in Windows Server 2008 R2 e nei sistemi operativi meno recenti, ma la riscrittura della distribuzione di Active Directory Domain Services aumenta la sensibilità ai problemi.
Problema | L'abbassamento di livello di un controller di dominio lascia il DNS in esecuzione senza zone |
---|---|
Sintomi | Il server risponde ancora alle richieste DNS, ma non dispone di informazioni sulla zona |
Risoluzione e note | Quando si rimuove il ruolo Active Directory Domain Services, rimuovere anche il ruolo Server DNS o impostare il servizio Server DNS su disabilitato. Ricordarsi di puntare il client DNS a un altro server diverso da se stesso. Se si usa Windows PowerShell, eseguire quanto segue dopo aver abbassato di livello il server: Codice- oppure Codice- |
Problema | La promozione di un Windows Server 2012 in un dominio con etichetta singola esistente non configura updatetopleveldomain=1 o consenteinglelabeldnsdomain=1 |
---|---|
Sintomi | La registrazione dei record dinamici DNS non viene eseguita |
Risoluzione e note | Impostare questi valori usando i criteri di gruppo Netlogon e DNS. Microsoft ha iniziato a bloccare la creazione di un dominio con etichetta singola in Windows Server 2008; è possibile usare ADMT o lo strumento di ridenominazione del dominio per passare a una struttura di dominio DNS approvata. |
Problema | L'abbassamento di livello dell'ultimo controller di dominio in un dominio ha esito negativo se sono presenti account controller di dominio di sola lettura creati in precedenza e non occupati |
---|---|
Sintomi | L'abbassamento di livello non riesce con il messaggio:
Active Directory Domain Services non è stato possibile trovare un altro controller di Dominio di Active Directory per trasferire i dati rimanenti nella partizione di directory CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com. "Il formato del nome di dominio specificato non è valido." |
Risoluzione e note | Rimuovere eventuali account rodc creati in precedenza prima di abbassare di livello un dominio, usando Dsa.msc o Ntdsutil.exe pulizia dei metadati. |
Problema | La preparazione automatica della foresta e del dominio non esegue GPPREP |
---|---|
Sintomi | La funzionalità di pianificazione tra domini per Criteri di gruppo, la modalità di pianificazione rsop (Resultant Set of Policy) richiede autorizzazioni aggiornate per il file system e Active Directory per criteri di gruppo esistenti. Senza Gpprep, non è possibile usare la pianificazione RSOP tra domini. |
Risoluzione e note | Eseguire adprep.exe /gpprep manualmente per tutti i domini non preparati in precedenza per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Gli amministratori devono eseguire GPPrep una sola volta nella cronologia di un dominio, non con ogni aggiornamento. Non viene eseguito da adprep automatico perché se hai già impostato autorizzazioni personalizzate adeguate, tutto il contenuto SYSVOL verrà replicato nuovamente in tutti i controller di dominio. |
Problema | L'installazione dai supporti non riesce a verificare quando si punta a un percorso UNC |
---|---|
Sintomi | Errore restituito: Codice: non è stato possibile convalidare il percorso multimediale. Eccezione che chiama "GetDatabaseInfo" con argomenti "2". La cartella non è valida. |
Risoluzione e note | È necessario archiviare i file IFM in un disco locale, non in un percorso UNC remoto. Questo blocco intenzionale impedisce l'innalzamento di livello parziale del server a causa di un'interruzione della rete. |
Problema | Avviso di delega DNS visualizzato due volte durante l'innalzamento di livello del controller di dominio |
---|---|
Sintomi | Avviso restituito due volte durante la promozione tramite ADDSDeployment Windows PowerShell: Codice- |
Risoluzione e note | Ignorare. ADDSDeployment Windows PowerShell visualizza prima l'avviso durante il controllo dei prerequisiti, quindi di nuovo durante la configurazione del controller di dominio. Se non si vuole configurare la delega DNS, usare l'argomento : Codice- Non ignorare i controlli dei prerequisiti per eliminare questo messaggio. |
Problema | Se si specificano credenziali UPN o non di dominio durante la configurazione, vengono restituiti errori fuorvianti |
---|---|
Sintomi | Server Manager restituisce l'errore: Codice - Eccezione che chiama "DNSOption" con argomenti "6" ADDSDeployment Windows PowerShell restituisce l'errore: Codice- |
Risoluzione e note | Assicurarsi di fornire credenziali di dominio valide sotto forma di <dominio>\<utente>. |
Problema | La rimozione del ruolo DirectoryServices-DomainController tramite Dism.exe porta a un server non avviabile |
---|---|
Sintomi | Se si usaDism.exe per rimuovere il ruolo Active Directory Domain Services prima di abbassare di livello un controller di dominio normalmente, il server non viene più avviato normalmente e viene visualizzato un errore: Codice - Stato: 0x000000000 |
Risoluzione e note | Eseguire l'avvio in modalità di ripristino di Servizi directory usando maiusc+F8. Aggiungere nuovamente il ruolo Active Directory Domain Services e quindi abbassare forzatamente il controller di dominio. In alternativa, ripristinare lo stato del sistema dal backup. Non usare Dism.exe per la rimozione del ruolo di Active Directory Domain Services. l'utilità non è a conoscenza dei controller di dominio. |
Problema | L'installazione di una nuova foresta non riesce quando si imposta forestmode su Win2012 |
---|---|
Sintomi | La promozione tramite ADDSDeployment Windows PowerShell restituisce un errore: Codice-
|
Risoluzione e note | Non specificare una modalità funzionale della foresta di Win2012 senza specificare anche una modalità funzionale del dominio di Win2012. Ecco un esempio che funzionerà senza errori: Codice- |
Problema | Se si seleziona Verifica nell'area di selezione Installa da supporti, non viene visualizzata alcuna operazione |
---|---|
Sintomi | Quando si specifica un percorso di una cartella IFM, la selezione del pulsante Verifica non restituisce mai un messaggio o sembra eseguire qualsiasi operazione. |
Risoluzione e note | Il pulsante Verifica restituisce errori solo in caso di problemi. In caso contrario, rende selezionabile il pulsante Avanti se è stato specificato un percorso IFM. È necessario selezionare Verifica per continuare se è stato selezionato IFM. |
Problema | L'abbassamento di livello con Server Manager non fornisce commenti e suggerimenti fino al completamento. |
---|---|
Sintomi | Quando si usa Server Manager per rimuovere il ruolo Active Directory Domain Services e abbassare di livello un controller di dominio, non viene fornito alcun feedback continuo fino al completamento o all'esito negativo dell'abbassamento di livello. |
Risoluzione e note | Si tratta di una limitazione delle Server Manager. Per commenti e suggerimenti, usare il cmdlet ADDSDeployment Windows PowerShell: Codice- |
Problema | L'installazione da Verifica supporti non rileva il supporto del controller di dominio di sola lettura fornito per il controller di dominio scrivibile o viceversa. |
---|---|
Sintomi | Quando si promuove un nuovo controller di dominio usando IFM e si fornisce un supporto non corretto a IFM, ad esempio un supporto del controller di dominio di sola lettura per un controller di dominio scrivibile o un supporto RWDC per un controller di dominio di sola lettura, il pulsante Verifica non restituisce un errore. In seguito, l'innalzamento di livello non riesce con errore: Codice: si è verificato un errore durante il tentativo di configurare il computer come controller di dominio. |
Risoluzione e note | Verifica convalida solo l'integrità complessiva di IFM. Non fornire il tipo IFM errato a un server. Riavviare il server prima di provare di nuovo la promozione con il supporto corretto. |
Problema | La promozione di un controller di dominio di sola lettura in un account computer precreato non riesce |
---|---|
Sintomi | Quando si usa ADDSDeployment Windows PowerShell per alzare di livello un nuovo controller di dominio di sola lettura con un account computer a fasi, ricevere l'errore: Codice- |
Risoluzione e note | Non specificare parametri già definiti in un account controller di dominio di sola lettura precreato. tra cui: Codice- |
Problema | Deselezionare/selezionare "Riavvia automaticamente ogni server di destinazione se necessario" non esegue alcuna operazione |
---|---|
Sintomi | Se si seleziona o non si seleziona l'opzione Server Manager Riavviare automaticamente ogni server di destinazione se necessario quando si abbassa di livello un controller di dominio tramite la rimozione del ruolo, il server viene sempre riavviato, indipendentemente dalla scelta. |
Risoluzione e note | Questo è intenzionale. Il processo di abbassamento di livello riavvia il server indipendentemente da questa impostazione. |
Problema | Dcpromo.log mostra "[errore] impostazione della sicurezza nei file del server non riuscita con 2" |
---|---|
Sintomi | L'abbassamento di livello di un controller di dominio viene completato senza problemi, ma l'esame del log dcpromo mostra un errore: Codice- |
Risoluzione e note | Ignora, l'errore è previsto e cosmetico. |
Problema | Il controllo adprep dei prerequisiti non riesce con l'errore "Impossibile eseguire il controllo dei conflitti dello schema di Exchange" |
---|---|
Sintomi | Quando si tenta di alzare di livello un controller di dominio Windows Server 2012 in una foresta esistente di Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il controllo dei prerequisiti non riesce con errore: Codice: la verifica dei prerequisiti per la preparazione di Active Directory non è riuscita. Impossibile eseguire il controllo dei conflitti dello schema di Exchange per il nome> di dominio di dominio <(eccezione: il server RPC non è disponibile) Il adprep.log mostra l'errore: Codice- tramite Strumentazione gestione Windows (WMI). |
Risoluzione e note | Il nuovo controller di dominio non può accedere a WMI tramite protocolli DCOM/RPC sui controller di dominio esistenti. Fino ad oggi, ci sono state tre cause per questo: - Una regola del firewall blocca l'accesso ai controller di dominio esistenti. |
Problema | La creazione di una nuova foresta di Servizi di dominio Active Directory mostra sempre l'avviso DNS |
---|---|
Sintomi | Quando si crea una nuova foresta di Servizi di dominio Active Directory e si crea la zona DNS nel nuovo controller di dominio, viene sempre visualizzato un messaggio di avviso: Codice: è stato rilevato un errore nella configurazione DNS. |
Risoluzione e note | Ignorare. Questo avviso è intenzionale nel primo controller di dominio del dominio radice di una nuova foresta, nel caso in cui si intende puntare a un server DNS e a una zona esistenti. |
Problema |
-whatif Windows PowerShell argomento restituisce informazioni non corrette sul server DNS |
---|---|
Sintomi | Se si usa l'argomento durante la -whatif configurazione di un controller di dominio con implicito o esplicito -installdns:$true , l'output risultante mostra:Codice- |
Risoluzione e note | Ignorare. DNS è installato e configurato correttamente. |
Problema | Dopo l'innalzamento di livello, l'accesso non riesce con "Non è disponibile spazio di archiviazione sufficiente per elaborare questo comando" |
---|---|
Sintomi | Dopo aver innalzato di livello un nuovo controller di dominio e quindi aver effettuato la disconnessione e aver tentato l'accesso in modo interattivo, viene visualizzato un errore: Codice: spazio di archiviazione insufficiente per elaborare questo comando |
Risoluzione e note | Il controller di dominio non è stato riavviato dopo l'innalzamento di livello, a causa di un errore o perché è stato specificato l'argomento -norebootoncompletion ADDSDeployment Windows PowerShell . Riavviare il controller di dominio. |
Problema | Il pulsante Avanti non è disponibile nella pagina Opzioni controller di dominio |
---|---|
Sintomi | Anche se è stata impostata una password, il pulsante Avanti nella pagina Opzioni controller di dominio in Server Manager non è disponibile. Nessun sito elencato nel menu Nome sito . |
Risoluzione e note | Sono presenti più siti di Servizi di dominio Active Directory e almeno una subnet è mancante; questo controller di dominio futuro appartiene a una di queste subnet. È necessario selezionare manualmente la subnet dal menu a discesa Nome sito. È anche consigliabile esaminare tutti i siti di Active Directory usando DSSITE. MSC o usare il comando Windows PowerShell seguente per trovare tutte le subnet mancanti per tutti i siti: Codice - "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | format-table name" |
Problema | La promozione o l'abbassamento di livello non riesce con il messaggio "Il servizio non può essere avviato" |
---|---|
Sintomi | Se si tenta di promuovere, abbassare di livello o clonare un controller di dominio, viene visualizzato un errore: Codice: il servizio non può essere avviato, perché è disabilitato o non ha dispositivi abilitati associati ad esso" (0x80070422) L'errore può essere interattivo, un evento o scritto in un log come dcpromoui.log o dcpromo.log. |
Risoluzione e note | Il servizio DS Role Server (DsRoleSvc) è disabilitato. Per impostazione predefinita, questo servizio viene installato durante l'installazione del ruolo di Active Directory Domain Services e impostato su un tipo di avvio manuale. Non disabilitare questo servizio. Impostarlo di nuovo su Manuale e consentire alle operazioni del ruolo DS di avviarlo e arrestarlo su richiesta. Si tratta di un comportamento legato alla progettazione del prodotto. |
Problema | Server Manager avvisa ancora che è necessario alzare di livello dc |
---|---|
Sintomi | Se si alza di livello un controller di dominio usando il controller di dominio deprecato dcpromo.exe /unattend o si aggiorna un controller di dominio di Windows Server 2008 R2 esistente per Windows Server 2012, Server Manager mostra comunque l'attività di configurazione post-distribuzione Alzare di livello questo server a un controller di dominio. |
Risoluzione e note | selezionare il collegamento di avviso post-distribuzione e il messaggio scomparirà per sempre. Questo comportamento è cosmetico e previsto. |
Problema | Server Manager l'installazione del ruolo mancante nello script di distribuzione |
---|---|
Sintomi | Se si alza di livello un controller di dominio usando Server Manager e si salva lo script di distribuzione Windows PowerShell, non include il cmdlet e gli argomenti di installazione del ruolo (install-windowsfeature -name ad-domain-services -includemanagementtools ). Senza il ruolo, il controller di dominio non può essere configurato. |
Risoluzione e note | Aggiungere manualmente il cmdlet e gli argomenti a qualsiasi script. Questo comportamento è previsto e dalla progettazione. |
Problema | Server Manager script di distribuzione non è denominato PS1 |
---|---|
Sintomi | Se si alza di livello un controller di dominio usando Server Manager e si salva lo script di distribuzione Windows PowerShell, il file viene denominato con un nome temporaneo casuale e non come file PS1. |
Risoluzione e note | Rinominare manualmente il file. Questo comportamento è previsto e dalla progettazione. |
Problema | Dcpromo /unattend consente livelli di funzionalità non supportati |
---|---|
Sintomi | Se si alza di livello un controller di dominio usando dcpromo /unattend con il file di risposte di esempio seguente:Codice- [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Sì AutoConfigDNS=Sì RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=No DomainLevel=0 ForestLevel=0 L'innalzamento di livello ha esito negativo con gli errori seguenti nella dcpromoui.log: Codice - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 Il valore per DomainLevel è 0 dcpromoui EA4.5B8 008B 13:31:50.783 Codice di uscita è 77 dcpromoui EA4.5B8 008C 13:31:50.783 L'argomento specificato non è valido. dcpromoui EA4.5B8 008D 13:31:50.783 log di chiusura dcpromoui EA4.5B8 0032 13:31:50.830 Codice di uscita è 77 Il livello 0 è Windows 2000, che non è supportato in Windows Server 2012. |
Risoluzione e note | Non usare il deprecato dcpromo /unattend e comprendere che consente di specificare impostazioni non valide che in un secondo momento non riescono. Questo comportamento è previsto e dalla progettazione. |
Problema | La promozione "si blocca" durante la creazione dell'oggetto impostazioni NTDS, non viene mai completata |
---|---|
Sintomi | Se si alza di livello un controller di dominio di replica o un controller di dominio di sola lettura, la promozione raggiunge "creazione dell'oggetto impostazioni NTDS" e non procede o non viene mai completata. Anche i log interrompono l'aggiornamento. |
Risoluzione e note | Si tratta di un problema noto causato dalla fornitura di credenziali dell'account amministratore locale predefinito con una password corrispondente all'account amministratore di dominio predefinito. Questo causa un errore nel motore di configurazione principale che non genera errori, ma attende all'infinito (quasi ciclo). Questo comportamento è previsto, anche se indesiderabile. Per correggere il server: 1. Riavviarlo. 1. In AD eliminare l'account computer membro del server (non sarà ancora un account controller di dominio) 2. In tale server, forzatamente disgiunti dal dominio 3. In tale server rimuovere il ruolo Active Directory Domain Services. 4. Riavvio 5. È stato letto il ruolo di Active Directory Domain Services e si è verificato un nuovo tentativo di promozione, assicurandosi di fornire sempre le <credenziali formattate dominio>\<amministratore> per la promozione del controller di dominio e non solo l'account amministratore locale predefinito. |