다음을 통해 공유


도메인 컨트롤러 배포 문제 해결

이 문서에서는 도메인 컨트롤러 구성 및 배포 문제 해결에 대한 자세한 방법을 설명합니다.

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

가상 에이전트 사용해 보기 - 일반적인 Active Directory 복제 문제를 신속하게 식별하고 해결하는 데 도움이 될 수 있습니다.

문제 해결 소개

도메인 컨트롤러 배포 문제 해결을 위한 워크플로를 보여 주는 다이어그램

문제 해결을 위한 기본 제공 로그

기본 제공 로그는 도메인 컨트롤러 승격 및 강등 문제를 해결하기 위한 가장 중요한 도구입니다. 이러한 모든 로그는 기본적으로 최대 세부 정보 표시를 위해 사용하도록 설정되고 구성됩니다.

단계 로그
서버 관리자 또는 ADDSDeployment Windows PowerShell 작업 - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*

도메인 컨트롤러 설치/승격 - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- \ 이벤트 뷰어Windows 로그\시스템

- \ 이벤트 뷰어Windows 로그\애플리케이션

- \ 이벤트 뷰어애플리케이션 및 서비스 로그\디렉터리 서비스

- \ 이벤트 뷰어애플리케이션 및 서비스 로그\파일 복제 서비스

- \ 이벤트 뷰어애플리케이션 및 서비스 로그\DFS 복제

포리스트 또는 도메인 업그레이드 - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*

서버 관리자 ADDSDeployment Windows PowerShell 배포 엔진 - \ 이벤트 뷰어애플리케이션 및 서비스 로그\Microsoft\Windows\DirectoryServices-Deployment\Operational
Windows 서비스 - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

도메인 컨트롤러 구성 문제 해결을 위한 도구 및 명령

로그에서 설명하지 않는 문제를 해결하려면 다음 도구를 시작점으로 사용합니다.

도메인 컨트롤러 구성 문제 해결을 위한 일반적인 방법론

  1. 구문 문제로 인해 오류가 발생했나요?

    1. ADDSDeployment Windows PowerShell 인수를 잘못 입력했거나 잊어 버렸나요? 예를 들어 ADDSDeployment Windows PowerShell 사용하는 경우 유효한 이름으로 필수 인수 -domainname 를 추가하는 것을 잊어 버렸나요?
    2. Windows PowerShell 콘솔 출력을 주의 깊게 검토하여 제공된 명령줄을 구문 분석하지 못하는 이유를 정확하게 확인합니다.
  2. 오류가 필수 구성 요소 오류인가요?

    1. 치명적인 승격 결과로 표시되었던 많은 오류는 이제 필수 구성 요소 검사기에서 방지됩니다.
    2. 필수 구성 요소 오류의 텍스트를 주의 깊게 검토합니다. 제어되는 시나리오인 대부분의 문제를 resolve 데 필요한 지침을 제공합니다.
  3. 프로모션 중 오류가 발생하므로 치명적입니까?

    1. 결과를 신중하게 검토합니다. 많은 오류에는 잘못된 암호, 네트워크 이름 확인 또는 중요한 오프라인 도메인 컨트롤러와 같은 설명이 있습니다.

    2. Dcpromoui.log 검사하고 dcpromo.log 출력에 표시된 오류를 검사한 다음 해당 오류에서 뒤로 작업하여 오류가 발생한 이유의 표시를 확인합니다.

      1. 항상 작업 샘플 로그와 비교
      2. 결과가 스키마를 확장하거나 포리스트 또는 도메인을 준비하는 데 문제가 있는 경우에만 ADPrep 로그에서 오류를 검사합니다.
      3. 구성 프로세스에서 처리되지 않은 예외로 인해 Dcpromoui.log 세부 정보가 없거나 임의로 끝나는 경우에만 DirectoryServices-Deployment 이벤트 로그에서 오류를 검사합니다.
    3. 디렉터리 서비스, 시스템 및 애플리케이션 이벤트 로그에서 구성 문제의 다른 지표를 검사합니다. 도메인 컨트롤러 승격은 모든 분산 시스템에 영향을 주는 다른 네트워크 잘못된 구성의 증상일 뿐입니다.

    4. dcdiag.exerepadmin.exe 사용하여 전체 포리스트 상태의 유효성을 검사하고 추가 도메인 컨트롤러 승격을 방지할 수 있는 미묘한 잘못된 구성을 나타냅니다.

    5. AutoRuns.exe, 작업 관리자 또는 MSinfo32.exe 사용하여 방해가 될 수 있는 타사 소프트웨어의 컴퓨터를 검사합니다.

      타사 소프트웨어를 제거합니다(소프트웨어를 사용하지 않도록 설정하지 마세요. 드라이버 로드를 방지하지는 않음).

    6. 복제 파트너 도메인 컨트롤러뿐만 아니라 승격에 실패한 컴퓨터에 NetMon 3.4를 설치하고 양면 네트워크 캡처를 사용하여 승격 프로세스를 분석합니다.

      1. 이를 작업 랩 환경과 비교하여 정상적인 승격의 모양과 실패 위치를 이해합니다.
      2. 이 시점에서 오류는 포리스트 개체, 기본이 아닌 보안 변경 또는 네트워크에서 발생할 수 있으며, 이 새 도메인 컨트롤러는 DNS, 방화벽, 호스트 침입 보호 소프트웨어 또는 기타 외부 요인의 잘못된 구성의 희생자입니다.

이벤트 및 오류 메시지 문제 해결

도메인 컨트롤러 승격 및 강등은 항상 작업이 끝날 때 코드를 반환하며 대부분의 프로그램과 달리 성공을 위해 0을 반환하지 않습니다. 도메인 컨트롤러 구성이 끝날 때 코드를 보려면 다음과 같은 몇 가지 옵션이 있습니다.

  1. 서버 관리자 사용하는 경우 자동 다시 부팅 전 10초 동안 승격 결과를 검토합니다.

  2. ADDSDeployment Windows PowerShell 사용하는 경우 자동 다시 부팅 전 10초 동안 승격 결과를 검사합니다. 또는 완료 시 자동으로 다시 시작하지 않도록 선택합니다. 출력을 format-list 더 쉽게 읽을 수 있도록 파이프라인을 추가해야 합니다. 예를 들면

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list
    

    필수 구성 요소 유효성 검사 및 확인 오류는 다시 부팅되지 않으므로 모든 경우에 표시됩니다. 예를 들면

    필수 구성 요소 유효성 검사 및 확인 오류의 스크린샷

  3. 모든 시나리오에서 dcpromo.log 검사하고 dcpromoui.log.

    참고

    아래에 나열된 오류 중 일부는 이후 운영 체제의 운영 체제 및 도메인 컨트롤러 구성 변경으로 인해 더 이상 불가능합니다. 새 ADDSDeployment Windows PowerShell 코드는 특정 오류를 방지하지만dcpromo.exe /unattend, 그렇지 않습니다. 이는 현재 자동화를 모두 사용되지 않는 DCPromo에서 ADDSDeployment Windows PowerShell 전환하는 또 다른 강력한 이유입니다.

승격 및 강등 성공 코드

오류 코드 설명 참고
1 종료, 성공 다시 부팅해야 합니다. 자동 다시 시작 플래그가 제거되었음을 참고합니다.
2 종료, 성공, 다시 부팅해야 함
3 종료, 성공, 비임계 실패 일반적으로 DNS 위임 경고를 반환할 때 표시됩니다. DNS 위임을 구성하지 않는 경우 다음을 사용합니다.

-creatednsdelegation:$false.

4 종료, 성공, 비임계 실패, 다시 부팅해야 일반적으로 DNS 위임 경고를 반환할 때 표시됩니다. DNS 위임을 구성하지 않는 경우 다음을 사용합니다.

-creatednsdelegation:$false.

승격 및 강등 실패 코드

승격 및 강등은 다음 오류 메시지 코드를 반환합니다. 확장된 오류 메시지도 있을 수 있습니다. 항상 숫자 부분뿐만 아니라 전체 오류를 주의 깊게 읽습니다.

오류 코드 설명 제안된 해결 방법
11 도메인 컨트롤러 승격이 이미 실행 중입니다. 동일한 대상 컴퓨터에 대해 둘 이상의 도메인 컨트롤러 승격 instance 동시에 실행하지 마세요.
12 사용자는 관리자여야 합니다. 기본 제공 Administrators 그룹의 구성원으로 로그온하고 UAC를 사용하여 상승하는지 확인합니다.
13 인증 기관이 설치됨 인증 기관이기도 하므로 이 도메인 컨트롤러를 강등할 수 없습니다. 사용량을 신중하게 인벤토리하기 전에 CA를 제거하지 마세요. 인증서를 발급하는 경우 역할을 제거하면 중단이 발생합니다. 도메인 컨트롤러에서 CA를 실행하는 것은 권장되지 않습니다.
14 안전 부팅 모드에서 실행 서버를 일반 모드로 부팅합니다.
15 역할 변경이 진행 중이거나 다시 부팅해야 함 승격하기 전에 서버를 다시 시작해야 합니다(이전 구성 변경으로 인해).
16 잘못된 플랫폼에서 실행 이 오류가 발생할 가능성이 없습니다.
17 NTFS 5 드라이브가 없음 이 오류는 NTFS를 사용하여 %systemdrive% 이상의 서식을 지정해야 하는 Windows Server 2012 불가능합니다.
18 윈디어의 공간이 부족합니다. cleanmgr.exe사용하여 %systemdrive% 볼륨의 공간을 확보합니다.
19 이름 변경 보류 중, 다시 부팅 필요 서버를 다시 부팅합니다.
20 컴퓨터 이름이 잘못된 구문입니다. 컴퓨터 이름을 유효한 이름으로 바꿉니다.
21 이 도메인 컨트롤러는 FSMO 역할을 보유하며 GC이거나 DNS 서버입니다. 를 사용할 -forceremoval때 를 추가 -demoteoperationmasterrole 합니다.
22 TCP/IP를 설치해야 하거나 작동하지 않음 컴퓨터에 TCP/IP가 구성되고, 바인딩되고, 올바르게 작동하는지 확인합니다.
23 DNS 클라이언트를 먼저 구성해야 합니다. 도메인에 새 도메인 컨트롤러를 추가할 때 주 DNS 서버를 설정합니다.
24 제공된 자격 증명이 잘못되었거나 필수 요소가 없습니다. 사용자 이름과 암호가 올바른지 확인합니다.
25 지정된 도메인의 도메인 컨트롤러를 찾을 수 없습니다. DNS 클라이언트 설정, 방화벽 규칙의 유효성을 검사합니다.
26 포리스트에서 도메인 목록을 읽을 수 없습니다. DNS 클라이언트 설정, LDAP 기능, 방화벽 규칙의 유효성을 검사합니다.
27 누락된 도메인 이름 승격 또는 강등 시 도메인을 지정합니다.
28 잘못된 도메인 이름 승격할 때 다른 유효한 DNS 도메인 이름을 선택합니다.
29 부모 도메인이 없습니다. 새 자식 도메인 또는 트리 도메인을 만들 때 지정된 부모 도메인을 확인합니다.
30 포리스트에 없는 도메인 제공된 도메인 이름을 확인합니다.
31 자식 도메인이 이미 있음 다른 도메인 이름을 지정합니다.
32 잘못된 NetBIOS 도메인 이름 유효한 NetBIOS 도메인 이름을 지정합니다.
33 IFM 파일의 경로가 잘못되었습니다. Media에서 설치 폴더에 대한 경로의 유효성을 검사합니다.
34 IFM 데이터베이스가 잘못되었습니다. 이 운영 체제 및 역할(동일한 운영 체제 버전, 동일한 유형의 도메인 컨트롤러 - RODC 및 RWDC)에 대해 올바른 미디어 설치를 사용합니다.
35 누락된 SYSKEY Media에서 설치가 암호화되고 이를 사용하려면 유효한 SYSKEY를 제공해야 합니다.
37 NTDS 데이터베이스 또는 해당 로그에 대한 경로가 잘못되었습니다. 데이터베이스 및 로그의 경로를 매핑된 드라이브 또는 UNC 경로가 아닌 고정 NTFS 볼륨으로 변경합니다.
38 볼륨에 NTDS 데이터베이스 또는 로그를 위한 충분한 공간이 없습니다. cleanmgr.exe사용하여 공간을 확보하고, 디스크 공간을 더 추가하고, 불필요한 데이터를 다른 곳으로 이동하여 공간을 수동으로 지웁 수 있습니다.
39 SYSVOL에 대한 경로가 잘못되었습니다. SYSVOL 폴더의 경로를 매핑된 드라이브 또는 UNC 경로가 아닌 고정 NTFS 볼륨으로 변경합니다.
40 잘못된 사이트 이름 존재하는 사이트 이름을 제공합니다.
41 안전 모드에 대한 암호를 지정해야 합니다. DSRM 계정에 대한 암호를 입력합니다. 암호 정책이 구성된 방식에 관계없이 비워 둘 수 없습니다.
42 안전 모드 암호가 조건을 충족하지 않음(승격에만 해당) 암호 정책의 구성된 규칙을 충족하는 DSRM 계정에 대한 암호를 제공합니다.
43 관리 암호가 조건을 충족하지 않음(강등만 해당) 암호 정책의 구성된 규칙을 충족하는 로컬 관리자 계정에 대한 암호를 제공합니다.
44 포리스트에 대해 지정된 이름이 잘못되었습니다. 유효한 포리스트 루트 DNS 도메인 이름을 지정합니다.
45 지정된 이름의 포리스트가 이미 있습니다. 다른 포리스트 루트 DNS 도메인 이름을 선택합니다.
46 트리의 지정된 이름이 잘못되었습니다. 유효한 트리 DNS 도메인 이름을 지정합니다.
47 지정된 이름의 트리가 이미 있습니다. 다른 트리 DNS 도메인 이름을 선택합니다.
48 트리 이름이 포리스트 구조에 맞지 않음 다른 트리 DNS 도메인 이름을 선택합니다.
49 지정된 도메인이 없습니다. 형식화된 도메인 이름을 확인합니다.
50 강등하는 동안 마지막 도메인 컨트롤러가 아닌 경우에도 검색되었거나 마지막 도메인 컨트롤러가 지정되었지만 그렇지 않습니다. True가 아니면 도메인(-lastdomaincontrollerindomain)에서 마지막 도메인 컨트롤러를 지정하지 마세요. 를 사용하여 -ignorelastdcindomainmismatch 이것이 실제로 마지막 도메인 컨트롤러이고 가상 도메인 컨트롤러 메타데이터가 있는 경우 를 재정의합니다.
51 앱 파티션이 이 도메인 컨트롤러에 있음 를 지정하여 애플리케이션 파티션 (-removeapplicationpartitions)을 제거합니다.
52 필수 명령줄 인수가 없습니다(즉, 명령줄에 응답 파일을 지정해야 합니다). 에서만 볼 dcpromo /unattend수 있으며 더 이상 사용되지 않습니다. 이전 설명서를 참조하세요.
53 승격/강등에 실패했습니다. 클린 컴퓨터를 다시 부팅해야 합니다. 확장된 오류 및 로그를 검사합니다.
54 승격/강등 실패 확장된 오류 및 로그를 검사합니다.
55 사용자가 승격/강등을 취소했습니다. 확장된 오류 및 로그를 검사합니다.
56 사용자가 승격/강등을 취소했습니다. 클린 컴퓨터를 다시 부팅해야 합니다. 확장된 오류 및 로그를 검사합니다.
58 RODC 승격 중에 사이트 이름을 지정해야 합니다. RODC에 대한 사이트를 지정해야 하며 RWDC와 같은 사이트를 자동으로 검색하지 않습니다.
59 강등하는 동안 이 도메인 컨트롤러는 해당 영역 중 하나에 대한 마지막 DNS 서버입니다. 이 가 도메인의 마지막 DNS 서버 인지 지정하거나 를 사용합니다 -ignorelastdnsserverfordomain.
60 RODC를 승격하려면 Windows Server 2008 이상을 실행하는 도메인 컨트롤러가 도메인에 있어야 합니다. 하나 이상의 Windows Server 2008 이상 모델 쓰기 가능한 도메인 컨트롤러를 승격합니다.
61 DNS를 아직 호스트하지 않는 기존 도메인에는 DNS를 사용하여 Active Directory Domain Services 설치할 수 없습니다. 이 오류를 가져올 수 없습니다.
62 응답 파일에 [DCInstall] 섹션이 없습니다. 에서만 볼 dcpromo /unattend수 있으며 더 이상 사용되지 않습니다. 이전 설명서를 참조하세요.
63 포리스트 기능 수준이 Windows Server 2003보다 낮습니다. 포리스트 기능 수준을 Windows Server 2003 Native 이상으로 높입니다. Windows 2000 및 Windows NT 4.0은 더 이상 지원되지 않는 운영 체제입니다.
64 구성 요소 이진 검색에 실패하여 프로모션 실패 AD DS 역할을 설치합니다.
65 구성 요소 이진 설치에 실패하여 프로모션 실패 AD DS 역할을 설치합니다.
66 운영 체제 검색에 실패하여 프로모션 실패 확장된 오류 및 로그를 검사합니다. 서버가 운영 체제 버전을 반환하지 못했습니다. 전반적인 상태가 매우 의심스러기 때문에 컴퓨터를 다시 설치해야 할 가능성이 높습니다.
68 복제 파트너가 잘못되었습니다. repadmin.exe 또는 Get-ADReplication\* Windows PowerShell 사용하여 파트너 도메인 컨트롤러 상태의 유효성을 검사합니다.
69 필수 포트는 다른 애플리케이션에서 이미 사용 중입니다. 를 사용하여 netstat.exe -anob 예약된 AD DS 포트에 잘못 할당된 프로세스를 찾습니다.
70 포리스트 루트 도메인 컨트롤러는 GC여야 합니다. 에서만 볼 dcpromo /unattend수 있으며 더 이상 사용되지 않습니다. 이전 설명서를 참조하세요.
71 DNS 서버가 이미 설치되어 있습니다. DNS 서비스가 이미 설치된 경우 DNS(-installDNS)를 설치하도록 지정하지 마세요.
72 컴퓨터가 비고급 모드에서 원격 데스크톱 서비스를 실행하고 있습니다. 두 명 이상의 관리 사용자를 위해 구성된 RDS 서버이기도 하므로 이 도메인 컨트롤러를 승격할 수 없습니다. 사용량을 신중하게 인벤토리하기 전에 RDS를 제거하지 마세요. 애플리케이션 또는 최종 사용자가 사용하는 경우 제거로 인해 중단이 발생합니다.
73 지정된 포리스트 기능 수준이 잘못되었습니다. 유효한 포리스트 기능 수준을 지정합니다.
74 지정된 도메인 기능 수준이 잘못되었습니다. 유효한 도메인 기능 수준을 지정합니다.
75 기본 암호 복제 정책을 확인할 수 없습니다. RODC 암호 복제 정책이 존재하고 액세스할 수 있는지 확인합니다.
76 지정된 복제/복제되지 않은 보안 그룹이 잘못되었습니다. 암호 복제 정책을 지정할 때 유효한 도메인 및 사용자 계정에 입력되었는지 확인합니다.
77 지정된 인수가 잘못되었습니다. 확장된 오류 및 로그를 검사합니다.
78 Active Directory 포리스트를 검사하지 못했습니다. 확장된 오류 및 로그를 검사합니다.
79 rodcprep이 수행되지 않았으므로 RODC를 승격할 수 없습니다. Windows Server 2012 사용하여 포리스트를 준비하거나 를 사용합니다adprep.exe /rodcprep.
80 Domainprep이 수행되지 않았습니다. Windows Server 2012 사용하여 도메인을 준비하거나 를 사용합니다adprep.exe /domainprep.
81 Forestprep이 수행되지 않았습니다. Windows Server 2012 사용하여 포리스트를 준비하거나 를 사용합니다adprep.exe /forestprep.
82 포리스트 스키마 불일치 Windows Server 2012 사용하여 포리스트를 준비하거나 를 사용합니다adprep.exe /forestprep.
83 지원되지 않는 SKU 이 오류가 발생할 가능성이 없습니다.
84 도메인 컨트롤러 계정을 검색할 수 없음 기존 도메인 컨트롤러에 올바른 사용자 계정 컨트롤 특성 집합이 있는지 확인합니다.
85 2단계의 도메인 컨트롤러 계정을 선택할 수 없음 "기존 계정 사용"을 지정하지만 계정을 찾을 수 없거나 계정 조회 중에 오류가 발생하는 경우 반환됩니다. 올바른 RODC 단계별 계정을 제공했는지 확인합니다.
86 2단계 승격을 실행해야 합니다. 추가 도메인 컨트롤러를 승격하지만 기존 계정이 있고 "다시 설치 허용"이 지정되지 않은 경우 반환됩니다.
87 충돌하는 형식의 도메인 컨트롤러 계정이 있습니다. 비어 있는 도메인 컨트롤러에 연결하지 않으려면 승격하기 전에 컴퓨터 이름을 바꿉니다. 계정 유형에 따라 및 올바른 읽기 전용 또는 쓰기 가능한 인수를 사용하여 -useexistingaccount 비어 있는 도메인 컨트롤러 계정에 연결해야 합니다.
88 지정된 서버 관리자가 잘못되었습니다. RODC 관리자 위임에 대해 잘못된 계정을 지정했습니다. 지정된 계정이 유효한 사용자 또는 그룹인지 확인합니다.
89 지정된 도메인에 대한 RID master 오프라인 상태입니다. RID master 검색하는 데 사용합니다netdom.exe query fsmo. 온라인 상태로 만들고 홍보 중인 도메인 컨트롤러에 액세스할 수 있도록 합니다.
90 도메인 명명 master 오프라인 상태입니다. 을 사용하여 netdom.exe query fsmo 도메인 명명 master 검색합니다. 온라인 상태로 만들고 홍보 중인 도메인 컨트롤러에 액세스할 수 있도록 합니다.
91 프로세스가 wow64인지 검색하지 못했습니다. 더 이상 이 오류를 가져올 수 없습니다. 운영 체제는 64비트입니다.
92 Wow64 프로세스는 지원되지 않습니다. 더 이상 이 오류를 가져올 수 없습니다. 운영 체제는 64비트입니다.
93 도메인 컨트롤러 서비스가 강제 강등을 위해 실행되지 않음 AD DS 서비스를 시작합니다.
94 로컬 관리자 암호가 요구 사항을 충족하지 않음: 비어 있거나 필요하지 않음 비블랭크 암호를 제공하고 로컬 암호 정책에 암호가 필요한지 확인합니다.
95 라이브 RODC가 있는 도메인에서 마지막 Windows Server 2008 이상 도메인 컨트롤러를 강등할 수 없음 모든 Windows Server 2008 이상의 쓰기 가능한 도메인 컨트롤러를 강등하려면 먼저 모든 RODC를 강등해야 합니다.
96 DS 이진 파일을 제거할 수 없음 에서만 볼 dcpromo /unattend수 있으며 더 이상 사용되지 않습니다. 이전 설명서를 참조하세요.
97 자식 도메인 운영 체제보다 높은 포리스트 기능 수준 버전 포리스트 기능 수준보다 같거나 더 높은 자식 도메인 기능을 제공합니다.
98 구성 요소 이진 설치/제거가 진행 중입니다. 에서만 볼 dcpromo /unattend수 있으며 더 이상 사용되지 않습니다. 이전 설명서를 참조하세요.
99 포리스트 기능 수준이 너무 낮음(오류는 Windows Server 2012만 해당) 포리스트 기능 수준을 Windows Server 2003 네이티브 이상으로 올립니다. Windows 2000 및 Windows NT 4.0은 더 이상 지원되지 않는 운영 체제입니다.
100 도메인 기능 수준이 너무 낮음(오류는 Windows Server 2012만 해당) 도메인 기능 수준을 Windows Server 2003 네이티브 이상으로 높입니다. Windows 2000 및 Windows NT 4.0은 더 이상 지원되지 않는 운영 체제입니다.

알려진 문제 및 일반적인 지원 시나리오

다음은 Windows Server 2012 개발 프로세스 중에 발생하는 일반적인 문제입니다. 이러한 모든 문제는 "의도적으로"이며 처음에 이를 방지하기 위한 유효한 해결 방법 또는 더 적절한 기술을 가지고 있습니다. 이러한 동작의 대부분은 Windows Server 2008 R2 및 이전 운영 체제에서 동일하지만 AD DS 배포를 다시 작성하면 문제에 대한 민감도가 높아집니다.

문제 도메인 컨트롤러를 강등하면 DNS가 영역 없이 실행됩니다.
증상 서버는 여전히 DNS 요청에 응답하지만 영역 정보가 없습니다.
해결 방법 및 참고 사항 AD DS 역할을 제거할 때 DNS 서버 역할도 제거하거나 DNS 서버 서비스를 사용하지 않도록 설정합니다. DNS 클라이언트를 자체보다 다른 서버로 지정해야 합니다. Windows PowerShell 사용하는 경우 서버를 강등한 후 다음을 실행합니다.

코드- uninstall-windowsfeature dns

또는

코드- set-service dns -starttype disabled
stop-service dns

문제 Windows Server 2012 기존 단일 레이블 도메인으로 승격해도 updatetopleveldomain=1 또는 allowsinglelabeldnsdomain=1이 구성되지 않습니다.
증상 DNS 동적 레코드 등록이 발생하지 않음
해결 방법 및 참고 사항 Netlogon 및 DNS 그룹 정책을 사용하여 이러한 값을 설정합니다. Microsoft는 Windows Server 2008에서 단일 레이블 도메인 만들기를 차단하기 시작했습니다. ADMT 또는 도메인 이름 바꾸기 도구를 사용하여 승인된 DNS 도메인 구조로 변경할 수 있습니다.
문제 미리 만들어진 비어 있는 RODC 계정이 있는 경우 도메인에서 마지막 도메인 컨트롤러의 강등이 실패합니다.
증상 메시지와 함께 강등이 실패합니다.

Dcpromo.General.54

Active Directory Domain Services 디렉터리 파티션 CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com에서 나머지 데이터를 전송할 다른 Active Directory 도메인 컨트롤러를 찾을 수 없습니다.

"지정된 도메인 이름의 형식이 잘못되었습니다."

해결 방법 및 참고 사항 Dsa.msc 또는 Ntdsutil.exe 메타데이터 정리를 사용하여 도메인을 강등하기 전에 미리 만든 나머지 RODC 계정을 제거합니다.
문제 자동화된 포리스트 및 도메인 준비가 GPPREP를 실행하지 않음
증상 그룹 정책 대한 도메인 간 계획 기능인 RSOP(결과 정책 집합) 계획 모드에는 기존 GP에 대한 업데이트된 파일 시스템 및 Active Directory 권한이 필요합니다. Gpprep이 없으면 도메인 간에 RSOP 계획을 사용할 수 없습니다.
해결 방법 및 참고 사항 이전에 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2에 대해 준비되지 않은 모든 도메인에 대해 수동으로 실행 adprep.exe /gpprep 합니다. 관리자는 모든 업그레이드가 아닌 도메인 기록에서 GPPrep을 한 번만 실행해야 합니다. 이미 적절한 사용자 지정 권한을 설정한 경우 모든 SYSVOL 콘텐츠가 모든 도메인 컨트롤러에서 다시 복제되므로 자동 adprep에서 실행되지 않습니다.
문제 UNC 경로를 가리킬 때 미디어에서 설치가 확인되지 않습니다.
증상 오류가 반환되었습니다.

코드 - 미디어 경로의 유효성을 검사할 수 없습니다. "2" 인수를 사용하여 "GetDatabaseInfo"를 호출하는 예외입니다. 폴더가 잘못되었습니다.

해결 방법 및 참고 사항 원격 UNC 경로가 아닌 로컬 디스크에 IFM 파일을 저장해야 합니다. 이 의도적인 블록은 네트워크 중단으로 인한 부분 서버 승격을 방지합니다.
문제 도메인 컨트롤러 승격 중에 두 번 표시되는 DNS 위임 경고
증상 ADDSDeployment Windows PowerShell 사용하여 승격할 때 경고가 두 번 반환되었습니다.

코드- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.

해결 방법 및 참고 사항 무시. ADDSDeployment Windows PowerShell 필수 구성 요소 확인 중에 먼저 경고를 표시한 다음 도메인 컨트롤러를 구성하는 동안 다시 경고를 표시합니다. DNS 위임을 구성하지 않으려면 인수를 사용합니다.

코드- -creatednsdelegation:$false

이 메시지를 표시하지 않으려면 필수 구성 요소 검사를 건너뛰지 마세요.

문제 구성 중에 UPN 또는 비도메인 자격 증명을 지정하면 잘못된 오류가 반환됩니다.
증상 서버 관리자 오류를 반환합니다.

코드 - "6" 인수를 사용하여 "DNSOption"을 호출하는 예외

ADDSDeployment Windows PowerShell 오류를 반환합니다.

코드- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.

해결 방법 및 참고 사항 도메인\<사용자 형식으로 <유효한 도메인> 자격 증명을 제공하고 있는지 확인합니다>.
문제 Dism.exe사용하여 DirectoryServices-DomainController 역할을 제거하면 부팅할 수 없는 서버가 발생합니다.
증상 도메인 컨트롤러를 정상적으로 강등하기 전에 Dism.exe 사용하여 AD DS 역할을 제거하는 경우 서버는 더 이상 정상적으로 부팅되지 않고 오류가 표시됩니다.

코드 - 상태: 0x000000000
정보: 예기치 않은 오류가 발생했습니다.

해결 방법 및 참고 사항 Shift+F8을 사용하여 디렉터리 서비스 복구 모드로 부팅합니다. AD DS 역할을 다시 추가한 다음 도메인 컨트롤러를 강제로 강등합니다. 또는 백업에서 시스템 상태를 복원합니다. AD DS 역할 제거에 Dism.exe 사용하지 마세요. 유틸리티에는 도메인 컨트롤러에 대한 지식이 없습니다.
문제 forestmode를 Win2012로 설정하면 새 포리스트 설치가 실패합니다.
증상 ADDSDeployment Windows PowerShell 사용하여 승격하면 오류가 반환됩니다.

코드- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.

해결 방법 및 참고 사항 Win2012의 도메인 기능 모드도 지정하지 않고 Win2012의 포리스트 기능 모드를 지정하지 마세요. 오류 없이 작동하는 예제는 다음과 같습니다.

코드- -forestmode Win2012 -domainmode Win2012

문제 미디어에서 설치 선택 영역에서 확인을 선택하면 아무 것도 수행하지 않는 것처럼 보입니다.
증상 IFM 폴더에 대한 경로를 지정하는 경우 확인 단추를 선택하면 메시지가 반환되지 않거나 아무 작업도 수행하지 않는 것처럼 보입니다.
해결 방법 및 참고 사항 확인 단추는 문제가 있는 경우에만 오류를 반환합니다. 그렇지 않으면 IFM 경로를 제공한 경우 다음 단추를 선택할 수 있습니다. IFM을 선택한 경우 확인을 선택하여 진행해야 합니다.
문제 서버 관리자 사용하여 강등해도 완료될 때까지 피드백이 제공되지 않습니다.
증상 서버 관리자 사용하여 AD DS 역할을 제거하고 도메인 컨트롤러를 강등하는 경우 강등이 완료되거나 실패할 때까지 지속적인 피드백이 제공되지 않습니다.
해결 방법 및 참고 사항 이는 서버 관리자 제한 사항입니다. 피드백의 경우 ADDSDeployment Windows PowerShell cmdlet을 사용합니다.

코드- Uninstall-addsdomaincontroller

문제 Media Verify에서 설치해도 쓰기 가능한 도메인 컨트롤러에 제공된 RODC 미디어가 검색되지 않거나 그 반대의 경우도 마찬가지입니다.
증상 IFM을 사용하여 새 도메인 컨트롤러를 승격하고 쓰기 가능한 도메인 컨트롤러의 RODC 미디어 또는 RODC용 RWDC 미디어와 같은 IFM에 잘못된 미디어를 제공하는 경우 확인 단추는 오류를 반환하지 않습니다. 나중에 다음과 같은 오류로 인해 승격이 실패합니다.

코드 - 이 컴퓨터를 도메인 컨트롤러로 구성하는 동안 오류가 발생했습니다.
지정된 원본 데이터베이스가 허용되지 않으므로 Read-Only DC의 미디어 설치 승격을 시작할 수 없습니다. 다른 RODC의 데이터베이스만 RODC의 IFM 승격에 사용할 수 있습니다.

해결 방법 및 참고 사항 IFM의 전체 무결성만 유효성을 검사하는지 확인합니다. 서버에 잘못된 IFM 형식을 제공하지 마세요. 올바른 미디어로 다시 승격을 시도하기 전에 서버를 다시 시작합니다.
문제 RODC를 미리 생성된 컴퓨터 계정으로 승격하지 못함
증상 ADDSDeployment Windows PowerShell 사용하여 스테이징된 컴퓨터 계정으로 새 RODC를 승격하는 경우 다음 오류를 수신합니다.

코드- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install

해결 방법 및 참고 사항 미리 생성된 RODC 계정에 이미 정의된 매개 변수를 제공하지 마세요. 다음이 포함되어 있습니다.

코드-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-Sitename
-installdns

문제 "필요한 경우 자동으로 각 대상 서버 다시 시작"을 선택 취소/선택하면 아무 작업도 수행되지 않습니다.
증상 서버 관리자 옵션을 선택하거나 선택하지 않으면 역할 제거를 통해 도메인 컨트롤러를 강등할 때 필요한 경우 각 대상 서버를 자동으로 다시 시작합니다.
해결 방법 및 참고 사항 이는 의도적인 것입니다. 강등 프로세스는 이 설정에 관계없이 서버를 다시 시작합니다.
문제 Dcpromo.log "[오류] 서버 파일의 보안 설정이 2로 실패했습니다."를 표시합니다.
증상 도메인 컨트롤러의 강등은 문제 없이 완료되지만 dcpromo 로그를 검사하면 오류가 표시됩니다.

코드- [error] setting security on server files failed with 2

해결 방법 및 참고 사항 무시합니다. 오류가 예상되고 코스메틱입니다.
문제 "Exchange 스키마 충돌 검사 수행할 수 없음" 오류와 함께 필수 구성 요소 adprep 검사 실패
증상 Windows Server 2012 도메인 컨트롤러를 기존 Windows Server 2003, Windows Server 2008 또는 Windows Server 2008 R2 포리스트로 승격하려고 하면 필수 구성 요소 검사 오류와 함께 실패합니다.

코드 - AD 준비에 대한 필수 구성 요소 확인에 실패했습니다. 도메인 <이름>에 대한 Exchange 스키마 충돌 검사 수행할 수 없음(예외: RPC 서버를 사용할 수 없음)

adprep.log 오류가 표시됩니다.

코드- Adprep couldn't retrieve data from the server <domain controller>

WMI(Windows Management Instrumentation)를 통해

해결 방법 및 참고 사항 새 도메인 컨트롤러는 기존 도메인 컨트롤러에 대해 DCOM/RPC 프로토콜을 통해 WMI에 액세스할 수 없습니다. 현재까지 다음과 같은 세 가지 원인이 있습니다.

- 방화벽 규칙은 기존 도메인 컨트롤러에 대한 액세스를 차단합니다.
- 네트워크 서비스 계정이 기존 도메인 컨트롤러의 "서비스로 로그온"(SeServiceLogonRight) 권한에서 누락되었습니다.
- NTLM은 NTLM 인증 제한 소개에 설명된 보안 정책을 사용하여 도메인 컨트롤러에서 사용하지 않도록 설정됩니다.

문제 새 AD DS 포리스트를 만들면 항상 DNS 경고가 표시됩니다.
증상 새 AD DS 포리스트를 만들고 새 도메인 컨트롤러에 DNS 영역을 직접 만들 때는 항상 경고 메시지가 표시됩니다.

코드 - DNS 구성에서 오류가 검색되었습니다.
이 컴퓨터에서 사용하는 DNS 서버가 시간 제한 간격 내에 응답하지 않았습니다.
(오류 코드 0x000005B4 "ERROR_TIMEOUT")

해결 방법 및 참고 사항 무시. 이 경고는 기존 DNS 서버 및 영역을 가리키려는 경우 새 포리스트의 루트 도메인에 있는 첫 번째 도메인 컨트롤러에서 의도적으로 수행됩니다.
문제 -whatif Windows PowerShell 인수가 잘못된 DNS 서버 정보를 반환합니다.
증상 암시적 또는 명시적 -installdns:$true-whatif 사용하여 도메인 컨트롤러를 구성할 때 인수를 사용하는 경우 결과 출력은 다음과 같습니다.

코드- DNS Server: No

해결 방법 및 참고 사항 무시. DNS가 설치되고 올바르게 구성됩니다.
문제 승격 후 "이 명령을 처리하는 데 사용할 수 있는 스토리지가 충분하지 않음"으로 로그온이 실패합니다.
증상 새 도메인 컨트롤러를 승격한 다음 로그오프하고 대화형으로 로그온하려고 하면 오류가 발생합니다.

코드 - 이 명령을 처리하는 데 사용할 수 있는 스토리지가 부족합니다.

해결 방법 및 참고 사항 승격 후 또는 ADDSDeployment Windows PowerShell 인수-norebootoncompletion를 지정했기 때문에 도메인 컨트롤러가 다시 부팅되지 않았습니다. 도메인 컨트롤러를 다시 시작합니다.
문제 다음 단추는 도메인 컨트롤러 옵션 페이지에서 사용할 수 없습니다.
증상 암호를 설정했더라도 서버 관리자 도메인 컨트롤러 옵션 페이지의 다음 단추를 사용할 수 없습니다. 사이트 이름 메뉴에 사이트가 나열되지 않습니다.
해결 방법 및 참고 사항 AD DS 사이트가 여러 개 있고 하나 이상의 서브넷이 누락되었습니다. 이 향후 도메인 컨트롤러는 해당 서브넷 중 하나에 속합니다. 사이트 이름 드롭다운 메뉴에서 서브넷을 수동으로 선택해야 합니다. 또한 DSSITE를 사용하여 모든 AD 사이트를 검토해야 합니다. MSC 또는 다음 Windows PowerShell 명령을 사용하여 서브넷이 누락된 모든 사이트를 찾습니다.

코드 - "get-adreplicationsite -filter * -property 서브넷 | where-object {!$_.subnets -eq "*"} | format-table name"

문제 "서비스를 시작할 수 없습니다"라는 메시지와 함께 승격 또는 강등 실패
증상 도메인 컨트롤러의 승격, 강등 또는 복제를 시도하면 다음 오류가 발생합니다.

코드 - 서비스가 사용하지 않도록 설정되었거나 연결된 디바이스가 없으므로 서비스를 시작할 수 없습니다." (0x80070422)

오류는 대화형, 이벤트 또는 dcpromoui.log 또는 dcpromo.log 같은 로그에 기록될 수 있습니다.

해결 방법 및 참고 사항 DS 역할 서버 서비스(DsRoleSvc)를 사용할 수 없습니다. 기본적으로 이 서비스는 AD DS 역할 설치 중에 설치되고 수동 시작 유형으로 설정됩니다. 이 서비스를 사용하지 않도록 설정하지 마세요. 다시 수동으로 설정하고 DS 역할 작업이 요청 시 시작 및 중지되도록 허용합니다. 이것은 의도적으로 설계된 동작입니다.
문제 서버 관리자 여전히 DC를 홍보해야 한다고 경고합니다.
증상 사용되지 dcpromo.exe /unattend 않는 을 사용하여 도메인 컨트롤러를 승격하거나 기존 Windows Server 2008 R2 도메인 컨트롤러를 Windows Server 2012 업그레이드하는 경우 서버 관리자 배포 후 구성 작업을 표시합니다. 이 서버를 도메인 컨트롤러로 승격합니다.
해결 방법 및 참고 사항 배포 후 경고 링크를 선택하면 메시지가 사라집니다. 이 동작은 코스메틱이며 예상됩니다.
문제 역할 설치가 누락된 배포 스크립트 서버 관리자
증상 서버 관리자 사용하여 도메인 컨트롤러를 승격하고 Windows PowerShell 배포 스크립트를 저장하는 경우 역할 설치 cmdlet 및 인수(install-windowsfeature -name ad-domain-services -includemanagementtools)가 포함되지 않습니다. 역할이 없으면 DC를 구성할 수 없습니다.
해결 방법 및 참고 사항 해당 cmdlet 및 인수를 모든 스크립트에 수동으로 추가합니다. 이 동작은 의도적으로 예상됩니다.
문제 서버 관리자 배포 스크립트의 이름이 PS1이 아닙니다.
증상 서버 관리자 사용하여 도메인 컨트롤러를 승격하고 Windows PowerShell 배포 스크립트를 저장하는 경우 파일의 이름은 PS1 파일이 아닌 임의 임시 이름으로 지정됩니다.
해결 방법 및 참고 사항 파일의 이름을 수동으로 바꿉니다. 이 동작은 의도적으로 예상됩니다.
문제 Dcpromo /unattend는 지원되지 않는 기능 수준을 허용합니다.
증상 다음 샘플 응답 파일과 함께 을 사용하여 dcpromo /unattend 도메인 컨트롤러를 승격하는 경우:

코드-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=예

AutoConfigDNS=예

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=아니요

DomainLevel=0

ForestLevel=0

dcpromoui.log 다음 오류로 인해 승격이 실패합니다.

코드 - dcpromoui EA4.5B8 0089 13:31:50.783 CArgumentsSpec::ValidateArgument DomainLevel 입력

dcpromoui EA4.5B8 008A 13:31:50.783 DomainLevel 값은 0입니다.

dcpromoui EA4.5B8 008B 13:31:50.783 종료 코드는 77입니다.

dcpromoui EA4.5B8 008C 13:31:50.783 지정된 인수가 잘못되었습니다.

dcpromoui EA4.5B8 008D 13:31:50.783 닫는 로그

dcpromoui EA4.5B8 0032 13:31:50.830 종료 코드는 77

수준 0은 Windows Server 2012 지원되지 않는 Windows 2000입니다.

해결 방법 및 참고 사항 사용되지 dcpromo /unattend 않는 를 사용하지 말고 나중에 실패하는 잘못된 설정을 지정할 수 있음을 이해합니다. 이 동작은 의도적으로 예상됩니다.
문제 NTDS 설정 개체를 만들 때 승격 "중단"되며 완료되지 않습니다.
증상 복제본(replica) DC 또는 RODC를 승격하는 경우 승격은 "NTDS 설정 개체 만들기"에 도달하고 계속 진행하거나 완료하지 않습니다. 로그도 업데이트를 중지합니다.
해결 방법 및 참고 사항 이는 기본 제공 로컬 관리자 계정의 자격 증명과 기본 제공 도메인 관리자 계정에 일치하는 암호를 제공하여 발생하는 알려진 문제입니다. 이로 인해 핵심 설치 엔진에서 오류가 발생하지 않고 무기한 대기합니다(준 루프). 바람직하지는 않지만 동작이 필요합니다.

서버를 수정하려면 다음을 수행합니다.

1. 다시 부팅합니다.

1. AD에서 해당 서버의 구성원 컴퓨터 계정을 삭제합니다(아직 DC 계정이 아님).

2. 해당 서버에서 도메인에서 강제로 연결 해제

3. 해당 서버에서 AD DS 역할을 제거합니다.

4. 다시 부팅

5. AD DS 역할을 읽고 승격을 다시 시도하여 기본 제공 로컬 관리자 계정뿐만 아니라 항상 도메인>\<관리자> 형식의 자격 증명을 DC 승격에 제공합니다<.