Résoudre les problèmes de déploiement de contrôleur de domaine

  • Article

Cet article décrit une méthodologie détaillée sur la résolution des problèmes de configuration et de déploiement du contrôleur de domaine.

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes courants de réplication Active Directory.

Présentation de la résolution des problèmes

Diagramme montrant le flux de travail pour la résolution des problèmes de déploiement de contrôleur de domaine.

Journaux intégrés pour la résolution des problèmes

Les journaux intégrés sont l’instrument le plus important pour résoudre les problèmes liés à la promotion et à la rétrogradation du contrôleur de domaine. Tous ces journaux sont activés et configurés pour un niveau de détail maximal par défaut.

Phase Log
opérations Windows PowerShell Gestionnaire de serveur ou ADDSDeployment - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Installation/promotion du contrôleur de domaine - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- \ observateur d'événementsSystème journaux Windows\

- \application observateur d'événementsWindows Logs\

- \ serviced’annuaire observateur d'événements Applications et journaux\ des services

- \ observateur d'événements Applications and Services Logs\File Replication Service

- \Réplication DFSdes journaux\d’applications et de servicesobservateur d'événements
Mise à niveau d’une forêt ou d’un domaine - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
Gestionnaire de serveur ADDSDeployment Windows PowerShell moteur de déploiement - \ observateur d'événements Applications et journaux\ des servicesMicrosoft\\Windows DirectoryServices-Deployment\Operational
Maintenance de Windows - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Outils et commandes pour résoudre les problèmes de configuration du contrôleur de domaine

Pour résoudre les problèmes non expliqués par les journaux, utilisez les outils suivants comme point de départ :

Méthodologie générale pour la résolution des problèmes de configuration du contrôleur de domaine

  1. Un problème de syntaxe a-t-il causé l’erreur ?

    1. Avez-vous mal tapé ou oublié de fournir un argument à ADDSDeployment Windows PowerShell ? Par exemple, si vous utilisez ADDSDeployment Windows PowerShell, avez-vous oublié d’ajouter l’argument -domainname requis avec un nom valide ?
    2. Examinez attentivement la sortie de la console Windows PowerShell pour voir exactement pourquoi elle ne parvient pas à analyser la ligne de commande fournie.

  2. L’erreur est-elle un échec de prérequis ?

    1. De nombreuses erreurs qui apparaissaient comme des résultats de promotion irrécupérables sont désormais évitées par l’outil de vérification des prérequis.
    2. Examinez attentivement le texte des erreurs requises, car elles fournissent les conseils nécessaires pour résoudre la plupart des problèmes, car il s’agit de scénarios contrôlés.

  3. L’erreur de promotion est-elle fatale ?

    1. Examinez attentivement les résultats : de nombreuses erreurs ont des explications telles que des mots de passe incorrects, la résolution de noms réseau ou des contrôleurs de domaine hors connexion critiques.

    2. Examinez les Dcpromoui.log et les dcpromo.log des erreurs affichées dans la sortie, puis revenez en arrière pour voir les raisons de l’échec.

      1. Toujours comparer à un exemple de journal fonctionnel
      2. Examinez les journaux ADPrep pour rechercher des erreurs uniquement si les résultats indiquent un problème d’extension du schéma ou de préparation de la forêt ou du domaine.
      3. Examinez le journal des événements DirectoryServices-Deployment à la recherche d’erreurs uniquement si le Dcpromoui.log manque de détails ou se termine arbitrairement en raison d’une exception non gérée dans le processus de configuration.

    3. Examinez les journaux des événements des services d’annuaire, du système et des applications pour rechercher d’autres indicateurs d’un problème de configuration. Souvent, la promotion du contrôleur de domaine n’est qu’un symptôme d’une autre configuration réseau incorrecte qui affecterait tous les systèmes distribués.

    4. Utilisez dcdiag.exe et repadmin.exe pour valider l’intégrité globale de la forêt et indiquer des erreurs de configuration subtiles susceptibles d’empêcher une promotion supplémentaire du contrôleur de domaine.

    5. Utilisez AutoRuns.exe, le Gestionnaire des tâches ou MSinfo32.exe pour examiner l’ordinateur à la recherche de logiciels tiers susceptibles d’interférer.

      Supprimez les logiciels tiers (ne désactivez pas le logiciel ; cela n’empêche pas le chargement des pilotes).

    6. Installez NetMon 3.4 sur l’ordinateur qui ne parvient pas à promouvoir le contrôleur de domaine partenaire de réplication et analysez le processus de promotion avec des captures réseau recto verso.

      1. Comparez cela à votre environnement de laboratoire de travail pour comprendre à quoi ressemble une promotion saine et où elle échoue.
      2. À ce stade, les erreurs sont probablement liées aux objets de forêt, aux modifications de sécurité non par défaut ou au réseau, et ce nouveau contrôleur de domaine est victime d’erreurs de configuration dans dns, pare-feu, logiciel de protection contre les intrusions de l’hôte ou d’autres facteurs externes.

Résolution des problèmes liés aux événements et aux messages d’erreur

La promotion et la rétrogradation du contrôleur de domaine retournent toujours un code à la fin de l’opération et, contrairement à la plupart des programmes, ne retournez pas zéro pour réussir. Pour voir le code à la fin d’une configuration de contrôleur de domaine, vous avez plusieurs options :

  1. Lorsque vous utilisez Gestionnaire de serveur, examinez les résultats de la promotion dans les 10 secondes précédant le redémarrage automatique.

  2. Lorsque vous utilisez ADDSDeployment Windows PowerShell, examinez les résultats de la promotion dans les 10 secondes précédant le redémarrage automatique. Vous pouvez également choisir de ne pas redémarrer automatiquement à l’achèvement. Vous devez ajouter le format-list pipeline pour faciliter la lecture de la sortie. Par exemple :

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Les erreurs de validation et de vérification des prérequis ne se poursuivent pas jusqu’à un redémarrage, de sorte qu’elles sont visibles dans tous les cas. Par exemple :

    Capture d’écran des erreurs dans la validation et la vérification des prérequis.

  3. Dans n’importe quel scénario, examinez les dcpromo.log et les dcpromoui.log.

    Remarque

    Certaines des erreurs répertoriées ci-dessous ne sont plus possibles en raison des modifications apportées au système d’exploitation et à la configuration du contrôleur de domaine dans les systèmes d’exploitation ultérieurs. Les nouveaux codes d’Windows PowerShell ADDSDeployment empêchent également certaines erreurs, mais ce n’est pas le dcpromo.exe /unattend cas . Il s’agit d’une autre raison convaincante de basculer toute votre automatisation actuelle du DCPromo déconseillé vers ADDSDeployment Windows PowerShell.

Codes de réussite de promotion et de rétrogradation

Code d’erreur Explication Remarque
1 Sortie, réussite Vous devez toujours redémarrer. Cela indique simplement que l’indicateur de redémarrage automatique a été supprimé.
2 Sortie, réussite, nécessité de redémarrer
3 Sortie, réussite, avec un échec non critique Généralement visible lors du renvoi de l’avertissement de délégation DNS. Si vous ne configurez pas la délégation DNS, utilisez :

-creatednsdelegation:$false.
4 Exit, success, with a noncritical failure, need to reboot Généralement visible lors du renvoi de l’avertissement de délégation DNS. Si vous ne configurez pas la délégation DNS, utilisez :

-creatednsdelegation:$false.

Codes d’échec de promotion et de rétrogradation

La promotion et la rétrogradation retournent les codes de message d’échec suivants. Il est également probable qu’il y ait un message d’erreur étendu ; lisez toujours attentivement l’ensemble de l’erreur, pas seulement la partie numérique.

Code d’erreur Explication Résolution suggérée
11 La promotion du contrôleur de domaine est déjà en cours d’exécution N’exécutez pas plusieurs instance de promotion de contrôleur de domaine en même temps pour le même ordinateur cible.
12 L’utilisateur doit être administrateur Connectez-vous en tant que membre du groupe Administrateurs intégré et vérifiez que vous effectuez une élévation avec UAC.
13 L’autorité de certification est installée Vous ne pouvez pas rétrograder ce contrôleur de domaine, car il s’agit également d’une autorité de certification. Ne supprimez pas l’autorité de certification avant d’inventorier soigneusement son utilisation. S’il émet des certificats, la suppression du rôle entraîne une panne. L’exécution d’autorités de certification sur les contrôleurs de domaine est déconseillée.
14 Exécution en mode de démarrage sans échec Démarrez le serveur en mode normal.
15 Le changement de rôle est en cours ou doit être redémarré Vous devez redémarrer le serveur (en raison de modifications de configuration antérieures) avant la promotion.
16 Exécution sur une plateforme incorrecte Il est peu probable que cette erreur soit générée.
17 Il n’existe aucun lecteur NTFS 5 Cette erreur n’est pas possible dans Windows Server 2012, ce qui nécessite au moins le format de %systemdrive% avec NTFS.
18 Espace insuffisant dans l’enroulement Libérez de l’espace sur le volume %systemdrive% à l’aide decleanmgr.exe.
19 Changement de nom en attente, doit être redémarré Redémarrez le serveur.
20 La syntaxe du nom de l’ordinateur n’est pas valide Renommez l’ordinateur avec un nom valide.
21 Ce contrôleur de domaine détient des rôles FSMO, est un gc et/ou est un serveur DNS Ajoutez -demoteoperationmasterrole lors de l’utilisation de -forceremoval.
22 TCP/IP doit être installé ou ne fonctionne pas Vérifiez que TCP/IP est configuré, lié et fonctionne correctement sur l’ordinateur.
23 Le client DNS doit d’abord être configuré Définissez un serveur DNS principal lors de l’ajout d’un nouveau contrôleur de domaine à un domaine.
24 Les informations d’identification fournies sont des éléments obligatoires non valides ou manquants Vérifiez que votre nom d’utilisateur et votre mot de passe sont corrects.
25 Impossible de localiser le contrôleur de domaine pour le domaine spécifié Valider les paramètres du client DNS et les règles de pare-feu.
26 Impossible de lire la liste des domaines à partir de la forêt Valider les paramètres du client DNS, la fonctionnalité LDAP et les règles de pare-feu.
27 Nom de domaine manquant Spécifiez un domaine lors de la promotion ou de la rétrogradation.
28 Nom de domaine incorrect Choisissez un autre nom de domaine DNS valide lors de la promotion.
29 Le domaine parent n’existe pas Vérifiez le domaine parent spécifié lors de la création d’un domaine enfant ou d’un domaine d’arborescence.
30 Domaine non dans la forêt Vérifiez le nom de domaine fourni.
31 Le domaine enfant existe déjà Spécifiez un autre nom de domaine.
32 Nom de domaine NetBIOS incorrect Spécifiez un nom de domaine NetBIOS valide.
33 Le chemin des fichiers IFM n’est pas valide Validez votre chemin d’accès au dossier Installer à partir du support.
34 La base de données IFM est incorrecte Utilisez l’option Installer à partir du support appropriée pour ce système d’exploitation et ce rôle (même version du système d’exploitation, même type de contrôleur de domaine - RODC et RWDC).
35 SYSKEY manquant L’option Installer à partir d’un média est chiffrée et vous devez fournir une clé SYSKEY valide pour l’utiliser.
37 Le chemin d’accès de la base de données NTDS ou de ses journaux n’est pas valide Remplacez le chemin d’accès de la base de données et des journaux par un volume NTFS fixe, et non un lecteur mappé ou un chemin UNC.
38 Le volume n’a pas assez d’espace pour la base de données ou les journaux NTDS Libérez de l’espace à l’aide decleanmgr.exe, ajoutez de l’espace disque et effacez manuellement l’espace en déplaçant les données inutiles ailleurs.
39 Le chemin d’accès pour SYSVOL n’est pas valide Remplacez le chemin du dossier SYSVOL par un volume NTFS fixe, et non par un lecteur mappé ou un chemin UNC.
40 Nom de site non valide Indiquez un nom de site qui existe.
41 Besoin de spécifier un mot de passe pour le mode sans échec Fournissez un mot de passe pour le compte DSRM. Il ne peut pas être vide, quelle que soit la façon dont la stratégie de mot de passe est configurée.
42 Le mot de passe en mode sans échec ne répond pas aux critères (promotion uniquement) Fournissez un mot de passe pour le compte DSRM qui répond aux règles configurées de la stratégie de mot de passe.
43 Administration mot de passe ne répond pas aux critères (rétrogradation uniquement) Fournissez un mot de passe pour le compte d’administrateur local qui répond aux règles configurées de la stratégie de mot de passe.
44 Le nom spécifié pour la forêt n’est pas valide Spécifiez un nom de domaine DNS racine de forêt valide.
45 Une forêt portant le nom spécifié existe déjà Choisissez un autre nom de domaine DNS racine de forêt.
46 Le nom spécifié pour l’arborescence n’est pas valide Spécifiez un nom de domaine DNS d’arborescence valide.
47 Une arborescence portant le nom spécifié existe déjà Choisissez un autre nom de domaine DNS d’arborescence.
48 Le nom de l’arborescence ne tient pas dans la structure de forêt Choisissez un autre nom de domaine DNS d’arborescence.
49 Le domaine spécifié n’existe pas Vérifiez votre nom de domaine typé.
50 Pendant la rétrogradation, le dernier contrôleur de domaine a été détecté même s’il ne l’est pas, ou le dernier contrôleur de domaine a été spécifié, mais il ne l’est pas Ne spécifiez pas Le dernier contrôleur de domaine dans le domaine (-lastdomaincontrollerindomain), sauf si c’est vrai. Utilisez -ignorelastdcindomainmismatch pour remplacer s’il s’agit vraiment du dernier contrôleur de domaine et s’il existe des métadonnées de contrôleur de domaine fantômes.
51 Des partitions d’application existent sur ce contrôleur de domaine Spécifiez pour Supprimer les partitions d’application (-removeapplicationpartitions).
52 L’argument de ligne de commande requis est manquant (autrement dit, un fichier de réponses doit être spécifié sur la ligne de commande) Uniquement visible avec dcpromo /unattend, ce qui est déconseillé. Consultez la documentation plus ancienne.
53 La promotion/rétrogradation a échoué, l’ordinateur doit être redémarré pour propre Examinez l’erreur étendue et les journaux.
54 La promotion/rétrogradation a échoué Examinez l’erreur étendue et les journaux.
55 La promotion/rétrogradation a été annulée par l’utilisateur Examinez l’erreur étendue et les journaux.
56 La promotion/rétrogradation a été annulée par l’utilisateur, l’ordinateur doit être redémarré pour propre Examinez l’erreur étendue et les journaux.
58 Un nom de site doit être spécifié pendant la promotion du contrôleur de domaine en lecture seule Vous devez spécifier un site pour un contrôleur de domaine en lecture seule. Il n’en détecte pas automatiquement un tel qu’un RWDC.
59 Pendant la rétrogradation, ce contrôleur de domaine est le dernier serveur DNS pour l’une de ses zones Spécifiez qu’il s’agit du dernier serveur DNS dans le domaine ou utilisez -ignorelastdnsserverfordomain.
60 Un contrôleur de domaine exécutant Windows Server 2008 ou version ultérieure doit être présent dans le domaine pour promouvoir le contrôleur de domaine en lecture seule Promouvoir au moins un contrôleur de domaine accessible en écriture de modèle Windows Server 2008 ou version ultérieure.
61 Vous ne pouvez pas installer services de domaine Active Directory avec DNS dans un domaine existant qui n’héberge pas encore DNS Impossible d’obtenir cette erreur.
62 Le fichier de réponses n’a pas de section [DCInstall] Uniquement visible avec dcpromo /unattend, ce qui est déconseillé. Consultez la documentation plus ancienne.
63 Le niveau fonctionnel de la forêt est inférieur à Windows Server 2003 Augmentez le niveau fonctionnel de la forêt à au moins Windows Server 2003 Native. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge.
64 Échec de la promotion, car la détection binaire du composant a échoué Installez le rôle AD DS.
65 Échec de la promotion car l’installation binaire du composant a échoué Installez le rôle AD DS.
66 Échec de la promotion car la détection du système d’exploitation a échoué Examinez l’erreur étendue et les journaux ; le serveur ne parvient pas à retourner sa version du système d’exploitation. Il est probable que l’ordinateur devra être réinstallé, car son intégrité globale est hautement suspecte.
68 Le partenaire de réplication n’est pas valide Utilisez repadmin.exe ou le Windows PowerShell pour valider l’intégrité Get-ADReplication\* du contrôleur de domaine partenaire.
69 Le port requis est déjà utilisé par une autre application Utilisez netstat.exe -anob pour localiser les processus qui sont incorrectement affectés à des ports AD DS réservés.
70 Le contrôleur de domaine racine de forêt doit être un gc Uniquement visible avec dcpromo /unattend, ce qui est déconseillé. Consultez la documentation plus ancienne.
71 Le serveur DNS est déjà installé Ne spécifiez pas d’installer DNS (-installDNS) si le service DNS est déjà installé.
72 L’ordinateur exécute les services Bureau à distance en mode non administrateur Vous ne pouvez pas promouvoir ce contrôleur de domaine, car il s’agit également d’un serveur RDS configuré pour plus de deux utilisateurs administrateurs. Ne supprimez pas les services Bureau à distance avant d’inventorier soigneusement son utilisation. S’il est utilisé par des applications ou des utilisateurs finaux, la suppression entraîne une panne.
73 Le niveau fonctionnel de forêt spécifié n’est pas valide. Spécifiez un niveau fonctionnel de forêt valide.
74 Le niveau fonctionnel de domaine spécifié n’est pas valide. Spécifiez un niveau fonctionnel de domaine valide.
75 Impossible de déterminer la stratégie de réplication de mot de passe par défaut. Vérifiez que la stratégie de réplication de mot de passe RODC existe et qu’elle est accessible.
76 Les groupes de sécurité répliqués/non répliqués spécifiés ne sont pas valides Vérifiez que vous avez tapé des comptes d’utilisateur et de domaine valides lors de la spécification d’une stratégie de réplication de mot de passe.
77 L’argument spécifié n’est pas valide Examinez l’erreur étendue et les journaux.
78 Échec de l’examen de la forêt Active Directory Examinez l’erreur étendue et les journaux.
79 Le contrôleur de domaine en lecture seule ne peut pas être promu, car rodcprep n’a pas été effectué Utilisez Windows Server 2012 pour préparer la forêt ou utilisez adprep.exe /rodcprep.
80 La préparation de domaine n’a pas été effectuée Utilisez Windows Server 2012 pour préparer le domaine ou utilisez adprep.exe /domainprep.
81 La préparation de la forêt n’a pas été effectuée Utilisez Windows Server 2012 pour préparer la forêt ou utilisez adprep.exe /forestprep.
82 Incompatibilité de schéma de forêt Utilisez Windows Server 2012 pour préparer la forêt ou utilisez adprep.exe /forestprep.
83 Référence SKU non prise en charge Il est peu probable que cette erreur soit générée.
84 Impossible de détecter un compte de contrôleur de domaine Vérifiez que les contrôleurs de domaine existants ont défini l’attribut de contrôle de compte d’utilisateur correct.
85 Impossible de sélectionner un compte de contrôleur de domaine pour l’étape 2 Retourné si vous spécifiez « Utiliser le compte existant », mais qu’aucun compte n’a été trouvé ou qu’une erreur s’est produite lors de la recherche du compte. Veillez à fournir le compte intermédiaire rodC approprié.
86 Nécessité d’exécuter la promotion de l’étape 2 Retourné si vous promouvez un contrôleur de domaine supplémentaire, mais qu’il existe un compte existant et que « Autoriser la réinstallation » n’a pas été spécifié.
87 Un compte de contrôleur de domaine de type conflictuel existe Renommez l’ordinateur avant de promouvoir, sinon en essayant de l’attacher à un contrôleur de domaine inoccupé. Vous devez attacher au compte de contrôleur de domaine inoccupé à l’aide -useexistingaccount de et de l’argument correct en lecture seule ou accessible en écriture, selon le type de compte.
88 L’administrateur de serveur spécifié n’est pas valide Vous avez spécifié un compte non valide pour la délégation d’administrateur du contrôleur de domaine en lecture seule. Vérifiez que le compte spécifié est un utilisateur ou un groupe valide.
89 Les master RID pour le domaine spécifié sont hors connexion. Utilisez netdom.exe query fsmo pour détecter les master RID. Mettez-le en ligne et rendez-le accessible au contrôleur de domaine que vous promomettez.
90 L’master de nommage de domaine est hors connexion. Utilisez netdom.exe query fsmo pour détecter le nommage de domaine master. Mettez-le en ligne et rendez-le accessible au contrôleur de domaine que vous promomettez.
91 Impossible de détecter si le processus est wow64 Impossible d’obtenir cette erreur plus, le système d’exploitation est 64 bits.
92 Le processus Wow64 n’est pas pris en charge Impossible d’obtenir cette erreur plus, le système d’exploitation est 64 bits.
93 Le service contrôleur de domaine n’est pas en cours d’exécution pour la rétrogradation non appliquée Démarrez le service AD DS.
94 Le mot de passe de l’administrateur local ne répond pas aux exigences : vide ou non requis Fournissez un mot de passe non vide et vérifiez que la stratégie de mot de passe locale requiert un mot de passe.
95 Impossible de rétrograder le dernier contrôleur de domaine Windows Server 2008 ou version ultérieure dans le domaine où il existe des contrôleurs de domaine en direct Vous devez d’abord rétrograder tous les contrôleurs de domaine en ligne avant de pouvoir rétrograder tous les contrôleurs de domaine accessibles en écriture Windows Server 2008 ou ultérieur.
96 Impossible de désinstaller les fichiers binaires DS Uniquement visible avec dcpromo /unattend, ce qui est déconseillé. Consultez la documentation plus ancienne.
97 Version de niveau fonctionnel de la forêt supérieure à celle du système d’exploitation de domaine enfant Fournissez un domaine enfant fonctionnel identique ou supérieur au niveau fonctionnel de la forêt.
98 L’installation/désinstallation binaire du composant est en cours. Uniquement visible avec dcpromo /unattend, ce qui est déconseillé. Consultez la documentation plus ancienne.
99 Le niveau fonctionnel de la forêt est trop faible (l’erreur est Windows Server 2012 uniquement) Augmentez le niveau fonctionnel de la forêt à au moins Windows Server 2003 natif. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge.
100 Le niveau fonctionnel du domaine est trop faible (l’erreur est Windows Server 2012 uniquement) Élever le niveau fonctionnel du domaine à au moins Windows Server 2003 natif. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge.

Problèmes connus et scénarios de support courants

Voici les problèmes courants rencontrés pendant le processus de développement Windows Server 2012. Tous ces problèmes sont « par conception » et ont une solution de contournement valide ou une technique plus appropriée pour les éviter en premier lieu. La plupart de ces comportements sont identiques dans Windows Server 2008 R2 et les systèmes d’exploitation plus anciens, mais la réécriture du déploiement AD DS apporte une sensibilité accrue aux problèmes.

Problème La rétrogradation d’un contrôleur de domaine laisse le DNS en cours d’exécution sans zone
Symptômes Le serveur répond toujours aux requêtes DNS, mais n’a pas d’informations sur la zone
Résolution et notes Lorsque vous supprimez le rôle AD DS, supprimez également le rôle Serveur DNS ou définissez le service Serveur DNS sur désactivé. N’oubliez pas de pointer le client DNS vers un autre serveur que lui-même. Si vous utilisez Windows PowerShell, exécutez la commande suivante après avoir rétrogradé le serveur :

Code- uninstall-windowsfeature dns

ou

Code- set-service dns -starttype disabled
stop-service dns
Problème La promotion d’un Windows Server 2012 dans un domaine à étiquette unique existant ne configure pas updatetopleveldomain=1 ou autoriselelabeldnsdomain=1
Symptômes L’inscription d’enregistrements dynamiques DNS ne se produit pas
Résolution et notes Définissez ces valeurs à l’aide des stratégies de groupe Netlogon et DNS. Microsoft a commencé à bloquer la création d’un domaine en une seule étiquette dans Windows Server 2008 ; vous pouvez utiliser ADMT ou l’outil de renommage de domaine pour passer à une structure de domaine DNS approuvée.
Problème La rétrogradation du dernier contrôleur de domaine dans un domaine échoue s’il existe des comptes RODC précréés et inoccupés
Symptômes La rétrogradation échoue avec le message :

Dcpromo.General.54

services de domaine Active Directory n’avez pas trouvé un autre contrôleur de domaine Active Directory pour transférer les données restantes dans la partition d’annuaire CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

« Le format du nom de domaine spécifié n’est pas valide. »
Résolution et notes Supprimez tous les autres comptes RODC précréés avant de rétrograder un domaine, à l’aide de Dsa.msc ou Ntdsutil.exe nettoyage des métadonnées.
Problème La préparation automatisée de la forêt et du domaine n’exécute pas GPPREP
Symptômes La fonctionnalité de planification inter-domaines pour stratégie de groupe, le mode de planification RSOP (Jeu de stratégies résultant) nécessite des autorisations de système de fichiers et Active Directory mises à jour pour la stratégie de groupe existante. Sans Gpprep, vous ne pouvez pas utiliser la planification RSOP entre les domaines.
Résolution et notes Exécutez adprep.exe /gpprep manuellement pour tous les domaines qui n’ont pas été préparés précédemment pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Les administrateurs ne doivent exécuter GPPrep qu’une seule fois dans l’historique d’un domaine, pas à chaque mise à niveau. Il n’est pas exécuté par adprep automatique, car si vous avez déjà défini des autorisations personnalisées adéquates, tout le contenu SYSVOL est répliqué sur tous les contrôleurs de domaine.
Problème Échec de la vérification de l’installation à partir d’un support lors du pointage vers un chemin UNC
Symptômes Erreur retournée :

Code : impossible de valider le chemin du média. Exception appelant « GetDatabaseInfo » avec « 2 » arguments. Le dossier n’est pas valide.
Résolution et notes Vous devez stocker les fichiers IFM sur un disque local, et non sur un chemin UNC distant. Ce bloc intentionnel empêche la promotion partielle du serveur en raison d’une interruption du réseau.
Problème Avertissement de délégation DNS affiché deux fois pendant la promotion du contrôleur de domaine
Symptômes Avertissement retourné deux fois lors de la promotion de l’utilisation d’ADDSDeployment Windows PowerShell :

Code- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Résolution et notes Ignorer. ADDSDeployment Windows PowerShell affiche d’abord l’avertissement lors de la vérification des prérequis, puis à nouveau lors de la configuration du contrôleur de domaine. Si vous ne souhaitez pas configurer la délégation DNS, utilisez l’argument :

Code- -creatednsdelegation:$false

N’ignorez pas les vérifications des prérequis afin de supprimer ce message.
Problème La spécification d’informations d’identification UPN ou non-domaine pendant la configuration retourne des erreurs trompeuses
Symptômes Gestionnaire de serveur retourne l’erreur :

Code - Exception appelant « DNSOption » avec des arguments « 6 »

ADDSDeployment Windows PowerShell retourne l’erreur :

Code- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Résolution et notes Vérifiez que vous fournissez des informations d’identification de domaine valides sous la forme domaine<>\<utilisateur>.
Problème La suppression du rôle DirectoryServices-DomainController à l’aide deDism.exe entraîne l’annulation du démarrage du serveur
Symptômes Si vous utilisezDism.exe pour supprimer le rôle AD DS avant de rétrograder normalement un contrôleur de domaine, le serveur ne démarre plus normalement et affiche une erreur :

Code - État : 0x000000000
Informations : une erreur inattendue s’est produite.
Résolution et notes Démarrez en mode de réparation des services d’annuaire à l’aide de Shift+F8. Rajoutez le rôle AD DS, puis rétrogradez de force le contrôleur de domaine. Vous pouvez également restaurer l’état du système à partir de la sauvegarde. N’utilisez pas Dism.exe pour la suppression de rôle AD DS ; l’utilitaire n’a aucune connaissance des contrôleurs de domaine.
Problème L’installation d’une nouvelle forêt échoue lors de la définition de forestmode sur Win2012
Symptômes La promotion à l’aide de ADDSDeployment Windows PowerShell retourne une erreur :

Code- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Résolution et notes Ne spécifiez pas un mode fonctionnel de forêt de Win2012 sans spécifier également un mode fonctionnel de domaine de Win2012. Voici un exemple qui fonctionne sans erreur :

Code- -forestmode Win2012 -domainmode Win2012
Problème La sélection de Vérifier dans la zone de sélection Installer à partir du support semble ne rien faire
Symptômes Lorsque vous spécifiez un chemin d’accès à un dossier IFM, la sélection du bouton Vérifier ne renvoie jamais de message ou semble faire quoi que ce soit.
Résolution et notes Le bouton Vérifier ne retourne des erreurs qu’en cas de problèmes. Sinon, le bouton Suivant est sélectionnable si vous avez fourni un chemin d’accès IFM. Vous devez sélectionner Vérifier pour continuer si vous avez sélectionné IFM.
Problème La rétrogradation avec Gestionnaire de serveur ne fournit pas de commentaires tant que vous n’avez pas terminé.
Symptômes Lors de l’utilisation de Gestionnaire de serveur pour supprimer le rôle AD DS et rétrograder un contrôleur de domaine, il n’y a aucun commentaire continu fourni tant que la rétrogradation n’est pas terminée ou échoue.
Résolution et notes Il s’agit d’une limitation de Gestionnaire de serveur. Pour obtenir des commentaires, utilisez ADDSDeployment Windows PowerShell applet de commande :

Code- Uninstall-addsdomaincontroller
Problème L’installation à partir de Media Verify ne détecte pas le média RODC fourni pour le contrôleur de domaine accessible en écriture, ou vice versa.
Symptômes Lors de la promotion d’un nouveau contrôleur de domaine à l’aide d’IFM et de la fourniture d’un média incorrect à IFM( par exemple, un média RODC pour un contrôleur de domaine accessible en écriture ou un média RWDC pour un contrôleur de domaine en lecture seule), le bouton Vérifier ne renvoie pas d’erreur. Plus tard, la promotion échoue avec l’erreur :

Code : une erreur s’est produite lors de la tentative de configuration de cet ordinateur en tant que contrôleur de domaine.
La promotion Install-From-Media d’un contrôleur de domaine Read-Only ne peut pas démarrer, car la base de données source spécifiée n’est pas autorisée. Seules les bases de données d’autres contrôleurs de domaine en lecture seule peuvent être utilisées pour la promotion IFM d’un contrôleur de domaine en lecture seule.
Résolution et notes Vérifier valide uniquement l’intégrité globale de l’IFM. Ne fournissez pas un type IFM incorrect à un serveur. Redémarrez le serveur avant de réessayer la promotion avec le média approprié.
Problème La promotion d’un contrôleur de domaine en lecture seule dans un compte d’ordinateur précréé échoue
Symptômes Lorsque vous utilisez ADDSDeployment Windows PowerShell pour promouvoir un nouveau contrôleur de domaine en lecture seule avec un compte d’ordinateur intermédiaire, recevez l’erreur :

Code- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Résolution et notes Ne fournissez pas de paramètres déjà définis sur un compte RODC précréé. Cela comprend :

Code-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-Sitename
-installdns
Problème Désélectionner/sélectionner « Redémarrer automatiquement chaque serveur de destination si nécessaire » ne fait rien
Symptômes Si vous sélectionnez (ou ne sélectionnez pas) l’option Gestionnaire de serveur Redémarrer automatiquement chaque serveur de destination si nécessaire lors de la rétrogradation d’un contrôleur de domaine par suppression de rôle, le serveur redémarre toujours, quel que soit le choix.
Résolution et notes C’est intentionnel. Le processus de rétrogradation redémarre le serveur, quel que soit ce paramètre.
Problème Dcpromo.log indique « [erreur] échec de la définition de la sécurité sur les fichiers serveur avec 2 »
Symptômes La rétrogradation d’un contrôleur de domaine se termine sans problème, mais l’examen du journal dcpromo indique une erreur :

Code- [error] setting security on server files failed with 2
Résolution et notes Ignorer, l’erreur est attendue et cosmétique.
Problème La case activée adprep requise échoue avec l’erreur « Impossible d’effectuer un case activée de conflit de schéma Exchange »
Symptômes Lorsque vous tentez de promouvoir un contrôleur de domaine Windows Server 2012 dans une forêt Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2 existante, la configuration requise case activée échoue avec une erreur :

Code - Échec de la vérification des prérequis pour la préparation d’AD. Impossible d’effectuer des case activée de conflit de schéma Exchange pour <le nom> de domaine (exception : le serveur RPC n’est pas disponible)

Le adprep.log affiche l’erreur :

Code- Adprep couldn't retrieve data from the server <domain controller>

via WMI (Windows Management Instrumentation).
Résolution et notes Le nouveau contrôleur de domaine ne peut pas accéder à WMI via les protocoles DCOM/RPC par rapport aux contrôleurs de domaine existants. À ce jour, il y a eu trois causes pour cela :

- Une règle de pare-feu bloque l’accès aux contrôleurs de domaine existants.
- Le compte NETWORK SERVICE est manquant dans le privilège « Connexion en tant que service » (SeServiceLogonRight) sur les contrôleurs de domaine existants.
- NTLM est désactivé sur les contrôleurs de domaine, à l’aide des stratégies de sécurité décrites dans Introduction de la restriction de l’authentification NTLM.
Problème La création d’une forêt AD DS affiche toujours un avertissement DNS
Symptômes Lorsque vous créez une forêt AD DS et que vous créez la zone DNS sur le nouveau contrôleur de domaine pour lui-même, vous recevez toujours un message d’avertissement :

Code : une erreur a été détectée dans la configuration DNS.
Aucun des serveurs DNS utilisés par cet ordinateur n’a répondu dans l’intervalle de délai d’expiration.
(code d’erreur 0x000005B4 « ERROR_TIMEOUT »)
Résolution et notes Ignorer. Cet avertissement est intentionnel sur le premier contrôleur de domaine dans le domaine racine d’une nouvelle forêt, au cas où vous aviez l’intention de pointer vers un serveur et une zone DNS existants.
Problème -whatif Windows PowerShell argument retourne des informations de serveur DNS incorrectes
Symptômes Si vous utilisez l’argument lors de la -whatif configuration d’un contrôleur de domaine avec implicite ou explicite -installdns:$true, la sortie résultante affiche :

Code- DNS Server: No
Résolution et notes Ignorer. DNS est installé et configuré correctement.
Problème Après la promotion, l’ouverture de session échoue avec « Espace de stockage insuffisant disponible pour traiter cette commande »
Symptômes Une fois que vous avez promu un nouveau contrôleur de domaine, que vous vous êtes connecté et que vous avez tenté de vous connecter de manière interactive, vous recevez l’erreur :

Code : le stockage disponible est insuffisant pour traiter cette commande
Résolution et notes Le contrôleur de domaine n’a pas été redémarré après la promotion, soit en raison d’une erreur, soit parce que vous avez spécifié l’argument -norebootoncompletionADDSDeployment Windows PowerShell . Redémarrez le contrôleur de domaine.
Problème Le bouton Suivant n’est pas disponible dans la page Options du contrôleur de domaine
Symptômes Même si vous avez défini un mot de passe, le bouton Suivant de la page Options du contrôleur de domaine dans Gestionnaire de serveur n’est pas disponible. Aucun site n’est répertorié dans le menu Nom du site.
Résolution et notes Vous avez plusieurs sites AD DS et au moins un des sous-réseaux manquants . ce futur contrôleur de domaine appartient à l’un de ces sous-réseaux. Vous devez sélectionner manuellement le sous-réseau dans le menu déroulant Nom du site. Vous devez également consulter tous les sites AD à l’aide de DSSITE. Msc ou utilisez la commande Windows PowerShell suivante pour rechercher tous les sous-réseaux manquants de sites :

Code - « get-adreplicationsite -filter * -property subnets | where-object { !$_.subnets -eq « *"} | format-nom de la table »
Problème La promotion ou la rétrogradation échoue avec le message « le service ne peut pas être démarré »
Symptômes Si vous tentez la promotion, la rétrogradation ou le clonage d’un contrôleur de domaine, vous recevez l’erreur :

Code : le service ne peut pas être démarré, soit parce qu’il est désactivé, soit parce qu’aucun appareil n’est associé » (0x80070422)

L’erreur peut être interactive, événement ou écrite dans un journal comme dcpromoui.log ou dcpromo.log.
Résolution et notes Le service serveur de rôles DS (DsRoleSvc) est désactivé. Par défaut, ce service est installé pendant l’installation du rôle AD DS et défini sur un type de démarrage manuel. Ne désactivez pas ce service. Définissez-le sur Manuel et autorisez les opérations de rôle DS à démarrer et à l’arrêter à la demande. Ce comportement est inhérent au produit.
Problème Gestionnaire de serveur avertit toujours que vous devez promouvoir le contrôleur de domaine
Symptômes Si vous promouvez un contrôleur de domaine à l’aide du dcpromo.exe /unattend déconseillé ou si vous mettez à niveau un contrôleur de domaine Windows Server 2008 R2 existant en place vers Windows Server 2012, Gestionnaire de serveur affiche toujours la tâche de configuration post-déploiement Promouvoir ce serveur en contrôleur de domaine.
Résolution et notes sélectionnez le lien d’avertissement post-déploiement et le message disparaîtra pour de bon. Ce comportement est cosmétique et attendu.
Problème installation de rôle manquante du script de déploiement Gestionnaire de serveur
Symptômes Si vous promouvez un contrôleur de domaine à l’aide de Gestionnaire de serveur et enregistrez le script de déploiement Windows PowerShell, il n’inclut pas l’applet de commande et les arguments d’installation de rôle (install-windowsfeature -name ad-domain-services -includemanagementtools). Sans le rôle, le contrôleur de domaine ne peut pas être configuré.
Résolution et notes Ajoutez manuellement cette applet de commande et ces arguments à tous les scripts. Ce comportement est attendu et par nature.
Problème Gestionnaire de serveur script de déploiement n’est pas nommé PS1
Symptômes Si vous promouvez un contrôleur de domaine à l’aide de Gestionnaire de serveur et enregistrez le script de déploiement Windows PowerShell, le fichier est nommé avec un nom temporaire aléatoire et non en tant que fichier PS1.
Résolution et notes Renommez manuellement le fichier. Ce comportement est attendu et par nature.
Problème Dcpromo /unattend autorise les niveaux fonctionnels non pris en charge
Symptômes Si vous promouvez un contrôleur de domaine à l’aide dcpromo /unattend de l’exemple de fichier de réponses suivant :

Code-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Yes

AutoConfigDNS=Yes

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=No

DomainLevel=0

ForestLevel=0

La promotion échoue avec les erreurs suivantes dans le dcpromoui.log :

Code - dcpromoui EA4.5B8 0089 13 :31 :50.783 Enter CArgumentsSpec ::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13 :31 :50.783 La valeur de DomainLevel est 0

dcpromoui EA4.5B8 008B 13 :31 :50.783 Le code de sortie est 77

dcpromoui EA4.5B8 008C 13 :31 :50.783 L’argument spécifié n’est pas valide.

dcpromoui EA4.5B8 008D 13 :31 :50.783 journal de fermeture

dcpromoui EA4.5B8 0032 13 :31 :50.830 Le code de sortie est 77

Le niveau 0 est Windows 2000, qui n’est pas pris en charge dans Windows Server 2012.
Résolution et notes N’utilisez pas le déconseillé dcpromo /unattend et comprenez qu’il vous permet de spécifier des paramètres non valides qui échouent ultérieurement. Ce comportement est attendu et par nature.
Problème La promotion « se bloque » lors de la création de l’objet de paramètres NTDS, ne se termine jamais
Symptômes Si vous promouvez un contrôleur de domaine ou un contrôleur de domaine réplica, la promotion atteint « création d’un objet de paramètres NTDS » et ne se poursuit jamais ou ne se termine jamais. Les journaux d’activité cessent également de se mettre à jour.
Résolution et notes Il s’agit d’un problème connu dû à la fourniture des informations d’identification du compte administrateur local intégré avec un mot de passe correspondant au compte d’administrateur de domaine intégré. Cela provoque une défaillance dans le moteur d’installation de base qui n’a pas d’erreur, mais qui attend indéfiniment (quasi-boucle). Ce comportement est attendu , bien que indésirable.

Pour corriger le serveur :

1. Redémarrez-le.

1. Dans AD, supprimez le compte d’ordinateur membre de ce serveur (il ne s’agit pas encore d’un compte de contrôleur de domaine)

2. Sur ce serveur, disjoindre de force du domaine

3. Sur ce serveur, supprimez le rôle AD DS.

4. Redémarrer

5. Lisez le rôle AD DS et relancez la promotion, en veillant à toujours fournir les <informations d’identification au format domaine>\<administrateur> à la promotion du contrôleur de domaine et pas seulement au compte d’administrateur local intégré.