Problemen met de implementatie van domeincontrollers oplossen

  • Artikel

Dit artikel bevat gedetailleerde methodologie voor het oplossen van problemen met de configuratie en implementatie van domeincontrollers.

Van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016

Probeer onze virtuele agent : hiermee kunt u veelvoorkomende problemen met Active Directory-replicatie snel identificeren en oplossen.

Inleiding tot probleemoplossing

Diagram met de werkstroom voor het oplossen van problemen met de implementatie van domeincontrollers.

Ingebouwde logboeken voor probleemoplossing

De ingebouwde logboeken zijn het belangrijkste instrument voor het oplossen van problemen met promotie en degradatie van domeincontrollers. Al deze logboeken zijn standaard ingeschakeld en geconfigureerd voor maximale uitgebreidheid.

Fase Log
Windows PowerShell Serverbeheer- of ADDSDeployment-bewerkingen - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Installatie/promotie van de domeincontroller - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- \ Logboeken Windows Logs\System

- \toepassing LogboekenWindows-logboeken\

- \directoryservice voor logboeken van Logboekentoepassingen en services\

- \ Logboeken Applications and Services Logs\File Replication Service

- \ LOGBOEKEN Toepassings- en serviceslogboeken\DFS-replicatie
Forest- of domeinupgrade - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
Serverbeheer ADDSDeployment Windows PowerShell implementatie-engine - \ Logboeken Logboeken\ van toepassingen en servicesmicrosoft\Windows\DirectoryServices-deployment\operationeel
Windows Servicing - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Hulpprogramma's en opdrachten voor het oplossen van problemen met de configuratie van domeincontrollers

Als u problemen wilt oplossen die niet worden uitgelegd door de logboeken, gebruikt u de volgende hulpprogramma's als uitgangspunt:

Algemene methodologie voor het oplossen van problemen met de configuratie van domeincontrollers

  1. Heeft een syntaxisprobleem de fout veroorzaakt?

    1. Hebt u verkeerd getypt of bent u vergeten een argument op te geven aan ADDSDeployment Windows PowerShell? Als u bijvoorbeeld ADDSDeployment gebruikt Windows PowerShell, bent u vergeten het vereiste argument -domainname met een geldige naam toe te voegen?
    2. Bekijk de uitvoer van de Windows PowerShell console zorgvuldig om precies te zien waarom het niet lukt om de opgegeven opdrachtregel te parseren.

  2. Is de fout een vereiste fout?

    1. Veel fouten die voorheen als fatale promotieresultaten verschenen, worden nu voorkomen door de controle van vereisten.
    2. Bekijk de tekst van de vereiste fouten zorgvuldig en bieden de benodigde richtlijnen om de meeste problemen op te lossen, omdat het beheerde scenario's zijn.

  3. Is de fout bij de promotie en dus fataal?

    1. Bekijk de resultaten zorgvuldig: veel fouten hebben verklaringen, zoals ongeldige wachtwoorden, netwerknaamomzetting of kritieke offlinedomeincontrollers.

    2. Bekijk de Dcpromoui.log en dcpromo.log op de fouten die in de uitvoer worden weergegeven en werk vervolgens terug om aanwijzingen te zien waarom de fout is opgetreden.

      1. Altijd vergelijken met een werkend voorbeeldlogboek
      2. Controleer de ADPrep-logboeken alleen op fouten als de resultaten wijzen op een probleem met het uitbreiden van het schema of het voorbereiden van het forest of domein.
      3. Controleer het DirectoryServices-Deployment gebeurtenislogboek alleen op fouten als de Dcpromoui.log geen details bevat of willekeurig eindigt vanwege een niet-verwerkte uitzondering in het configuratieproces.

    3. Bekijk de gebeurtenislogboeken directoryservices, het systeem en de toepassing op andere indicatoren van een configuratieprobleem. Vaak is de promotie van de domeincontroller slechts een symptoom van een andere onjuiste netwerkconfiguratie die van invloed zou zijn op alle gedistribueerde systemen.

    4. Gebruik dcdiag.exe en repadmin.exe om de algehele foreststatus te valideren en subtiele onjuiste configuraties aan te geven die verdere promotie van domeincontrollers kunnen voorkomen.

    5. Gebruik AutoRuns.exe, Taakbeheer of MSinfo32.exe om de computer te onderzoeken op software van derden die mogelijk storen.

      Verwijder software van derden (schakel de software niet uit; dit verhindert het laden van stuurprogramma's niet).

    6. Installeer NetMon 3.4 op de computer die niet ook de domeincontroller van de replicatiepartner kan promoveren en analyseer het promotieproces met dubbelzijdige netwerkopnamen.

      1. Vergelijk dit met uw werkomgeving om te begrijpen hoe een gezonde promotie eruitziet en waar deze mislukt.
      2. Op dit moment zijn de fouten waarschijnlijk te maken met de forestobjecten, niet-standaard beveiligingswijzigingen of het netwerk, en deze nieuwe domeincontroller is het slachtoffer van onjuiste configuraties in DNS, firewalls, hostinbraakbeveiligingssoftware of andere externe factoren.

Problemen met gebeurtenissen en foutberichten oplossen

Promotie en degradatie van domeincontrollers retourneren altijd een code aan het einde van de bewerking en in tegenstelling tot de meeste programma's, retourneren ze niet nul voor succes. Als u de code aan het einde van de configuratie van een domeincontroller wilt zien, hebt u verschillende opties:

  1. Wanneer u Serverbeheer gebruikt, bekijkt u de promotieresultaten 10 seconden voordat automatisch opnieuw wordt opgestart.

  2. Wanneer u ADDSDeployment Windows PowerShell gebruikt, controleert u de promotieresultaten in de 10 seconden voorafgaand aan automatisch opnieuw opstarten. U kunt er ook voor kiezen om niet automatisch opnieuw op te starten na voltooiing. Voeg de format-list pijplijn toe om de uitvoer beter leesbaar te maken. Bijvoorbeeld:

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Fouten in de validatie en verificatie van vereisten gaan niet door met opnieuw opstarten, dus ze zijn in alle gevallen zichtbaar. Bijvoorbeeld:

    Schermopname van de fouten in de validatie en verificatie van vereisten.

  3. Bekijk in elk scenario de dcpromo.log en dcpromoui.log.

    Opmerking

    Sommige van de onderstaande fouten zijn niet meer mogelijk vanwege wijzigingen in de configuratie van het besturingssysteem en de domeincontroller in latere besturingssystemen. De nieuwe ADDSDeployment-Windows PowerShell-codes voorkomt ook bepaalde fouten, maar dit dcpromo.exe /unattend is niet het geval. Dit is een andere overtuigende reden om al uw huidige automatisering over te schakelen van de afgeschafte DCPromo naar ADDSDeployment Windows PowerShell.

Succescodes voor promotie en degradatie

Foutcode Uitleg Opmerking
1 Afsluiten, geslaagd U moet nog steeds opnieuw opstarten. Dit geeft alleen aan dat de vlag voor automatisch opnieuw opstarten is verwijderd.
2 Afsluiten, geslaagd, moet opnieuw worden opgestart
3 Afsluiten, geslaagd, met een niet-kritieke fout Dit wordt meestal weergegeven bij het retourneren van de waarschuwing voor DNS-delegering. Als u DNS-delegering niet configureert, gebruikt u:

-creatednsdelegation:$false.
4 Afsluiten, geslaagd, met een niet-kritieke fout, moet opnieuw worden opgestart Dit wordt meestal weergegeven bij het retourneren van de waarschuwing voor DNS-delegering. Als u DNS-delegering niet configureert, gebruikt u:

-creatednsdelegation:$false.

Promotie- en degradatiefoutcodes

Promotie en degradatie retourneren de volgende foutcodes. Er is waarschijnlijk ook een uitgebreid foutbericht; Lees altijd de hele fout zorgvuldig, niet alleen het numerieke gedeelte.

Foutcode Uitleg Voorgestelde oplossing
11 Promotie van domeincontrollers wordt al uitgevoerd Voer niet meer dan één exemplaar van domeincontrollerpromotie tegelijk uit voor dezelfde doelcomputer.
12 Gebruiker moet beheerder zijn Meld u aan als lid van de ingebouwde groep Administrators en zorg ervoor dat u zich verheft met UAC.
13 Certificeringsinstantie is geïnstalleerd U kunt deze domeincontroller niet degraderen, omdat het ook een certificeringsinstantie is. Verwijder de CA niet voordat u het gebruik zorgvuldig hebt geïnventariseerd. Als er certificaten worden uitgegeven, veroorzaakt het verwijderen van de rol een storing. Het uitvoeren van CA's op domeincontrollers wordt afgeraden.
14 Wordt uitgevoerd in de modus voor veilig opstarten Start de server op in de normale modus.
15 De rolwijziging wordt uitgevoerd of moet opnieuw worden opgestart U moet de server opnieuw opstarten (vanwege eerdere configuratiewijzigingen) vóór de promotie.
16 Wordt uitgevoerd op het verkeerde platform Deze fout wordt waarschijnlijk niet weergegeven.
17 Er bestaan geen NTFS 5-stations Deze fout is niet mogelijk in Windows Server 2012, waarvoor ten minste %systemdrive% is geformatteerd met NTFS.
18 Onvoldoende ruimte in windir Maak ruimte vrij op het volume %systemdrive% met behulp vancleanmgr.exe.
19 Naamswijziging in behandeling, moet opnieuw worden opgestart Start de server opnieuw op.
20 Computernaam is ongeldige syntaxis Wijzig de naam van de computer met een geldige naam.
21 Deze domeincontroller heeft FSMO-rollen, is een GC en/of is een DNS-server Toevoegen -demoteoperationmasterrole bij gebruik van -forceremoval.
22 TCP/IP moet zijn geïnstalleerd of werkt niet Controleer of TCP/IP op de computer is geconfigureerd, gebonden en correct werkt.
23 DNS-client moet eerst worden geconfigureerd Stel een primaire DNS-server in bij het toevoegen van een nieuwe domeincontroller aan een domein.
24 Opgegeven referenties zijn ongeldig of ontbreken vereiste elementen Controleer of uw gebruikersnaam en wachtwoord juist zijn.
25 Domeincontroller voor het opgegeven domein kan niet worden gevonden Valideer DNS-clientinstellingen, firewallregels.
26 Lijst met domeinen kan niet worden gelezen uit het forest Valideer DNS-clientinstellingen, LDAP-functionaliteit, firewallregels.
27 Ontbrekende domeinnaam Geef een domein op bij het promoveren of degraderen.
28 Ongeldige domeinnaam Kies een andere, geldige DNS-domeinnaam bij het promoveren.
29 Bovenliggend domein bestaat niet Controleer het bovenliggende domein dat is opgegeven bij het maken van een nieuw onderliggend domein of structuurdomein.
30 Domein niet in forest Controleer de opgegeven domeinnaam.
31 Onderliggend domein bestaat al Geef een andere domeinnaam op.
32 Ongeldige NetBIOS-domeinnaam Geef een geldige NetBIOS-domeinnaam op.
33 Pad naar de IFM-bestanden is ongeldig Valideer uw pad naar de map Installeren vanaf media.
34 De IFM-database is slecht Gebruik de juiste Installatie van media voor dit besturingssysteem en deze rol (dezelfde versie van het besturingssysteem, hetzelfde type domeincontroller - RODC versus RWDC).
35 Ontbrekende SYSKEY Installeren vanaf media is versleuteld en u moet een geldige SYSKEY opgeven om deze te gebruiken.
37 Het pad voor de NTDS-database of de bijbehorende logboeken is ongeldig Wijzig het pad van database en logboeken naar een vast NTFS-volume, niet een toegewezen station of UNC-pad.
38 Volume heeft onvoldoende ruimte voor NTDS-database of logboeken Maak ruimte vrij met behulp vancleanmgr.exe, voeg meer schijfruimte toe, maak handmatig ruimte vrij door onnodige gegevens ergens anders te verplaatsen.
39 Pad voor SYSVOL is ongeldig Wijzig het pad van de SYSVOL-map in een vast NTFS-volume, niet een toegewezen station of UNC-pad.
40 Ongeldige sitenaam Geef een sitenaam op die bestaat.
41 U moet een wachtwoord opgeven voor de veilige modus Geef een wachtwoord op voor het DSRM-account. Dit mag niet leeg zijn, ongeacht hoe het wachtwoordbeleid is geconfigureerd.
42 Wachtwoord voor veilige modus voldoet niet aan criteria (alleen promotie) Geef een wachtwoord op voor het DSRM-account dat voldoet aan de geconfigureerde regels van het wachtwoordbeleid.
43 Beheer wachtwoord voldoet niet aan criteria (alleen degradatie) Geef een wachtwoord op voor het lokale beheerdersaccount dat voldoet aan de geconfigureerde regels van het wachtwoordbeleid.
44 De opgegeven naam voor het forest is ongeldig Geef een geldige DNS-domeinnaam voor foresthoofdmap op.
45 Er bestaat al een forest met de opgegeven naam Kies een andere dns-domeinnaam voor foresthoofdmap.
46 De opgegeven naam voor de structuur is ongeldig Geef een geldige structuur-DNS-domeinnaam op.
47 Er bestaat al een structuur met de opgegeven naam Kies een andere structuur dns-domeinnaam.
48 De naam van de structuur past niet in de foreststructuur Kies een andere structuur dns-domeinnaam.
49 Het opgegeven domein bestaat niet Controleer de domeinnaam die u hebt getypt.
50 Tijdens het degraderen is de laatste domeincontroller gedetecteerd, ook al is dat niet zo, of is de laatste domeincontroller opgegeven, maar dit is niet het Geef de laatste domeincontroller niet op in het domein (-lastdomaincontrollerindomain), tenzij dit waar is. Gebruik -ignorelastdcindomainmismatch om te overschrijven als dit echt de laatste domeincontroller is en er metagegevens van de fantoomdomeincontroller zijn.
51 Er bestaan app-partities op deze domeincontroller Geef op om toepassingspartities te verwijderen (-removeapplicationpartitions).
52 Vereist opdrachtregelargument ontbreekt (dat wil gezegd, een antwoordbestand moet worden opgegeven op de opdrachtregel) Alleen te zien met dcpromo /unattend, dat is afgeschaft. Raadpleeg oudere documentatie.
53 De promotie/degradatie is mislukt. De machine moet opnieuw worden opgestart om op te schonen Bekijk de uitgebreide fout en logboeken.
54 De promotie/degradatie is mislukt Bekijk de uitgebreide fout en logboeken.
55 De promotie/degradatie is geannuleerd door de gebruiker Bekijk de uitgebreide fout en logboeken.
56 De promotie/degradatie is geannuleerd door de gebruiker. De machine moet opnieuw worden opgestart om op te schonen Bekijk de uitgebreide fout en logboeken.
58 Een sitenaam moet worden opgegeven tijdens rodc-promotie U moet een site opgeven voor een RODC, deze detecteert niet automatisch een site zoals een RWDC.
59 Tijdens het degraderen is deze domeincontroller de laatste DNS-server voor een van de zones Geef op dat dit de laatste DNS-server in het domein is of gebruik -ignorelastdnsserverfordomain.
60 Een domeincontroller met Windows Server 2008 of hoger moet aanwezig zijn in het domein om RODC te promoten Promoot ten minste één beschrijfbare domeincontroller voor Windows Server 2008 of hoger.
61 U kunt Active Directory Domain Services met DNS niet installeren in een bestaand domein dat nog geen DNS host Deze fout kan niet worden weergegeven.
62 Het antwoordbestand heeft geen sectie [DCInstall] Alleen te zien met dcpromo /unattend, dat is afgeschaft. Raadpleeg oudere documentatie.
63 Forestfunctionaliteitsniveau is lager dan windows server 2003 Verhoog het functionaliteitsniveau van het forest naar ten minste Windows Server 2003 Native. Windows 2000 en Windows NT 4.0 worden niet langer ondersteund.
64 Promo is mislukt omdat binaire detectie van onderdelen is mislukt Installeer de AD DS-rol.
65 Promo is mislukt omdat binaire installatie van onderdelen is mislukt Installeer de AD DS-rol.
66 Promo is mislukt omdat de detectie van het besturingssysteem is mislukt Bekijk de uitgebreide fout en logboeken; de server kan de versie van het besturingssysteem niet retourneren. Het is waarschijnlijk dat de computer opnieuw moet worden geïnstalleerd, omdat de algehele status ervan zeer verdacht is.
68 De replicatiepartner is ongeldig Gebruik repadmin.exe of de Windows PowerShell om de status van de Get-ADReplication\* partnerdomeincontroller te valideren.
69 De vereiste poort wordt al gebruikt door een andere toepassing Gebruik netstat.exe -anob om processen te vinden die onjuist zijn toegewezen aan gereserveerde AD DS-poorten.
70 De foresthoofddomeincontroller moet een GC zijn Alleen te zien met dcpromo /unattend, dat is afgeschaft. Raadpleeg oudere documentatie.
71 DNS-server is al geïnstalleerd Geef niet op om DNS (-installDNS) te installeren als de DNS-service al is geïnstalleerd.
72 Computer voert Extern bureaublad-services uit in niet-beheermodus U kunt deze domeincontroller niet promoveren, omdat het ook een RDS-server is die is geconfigureerd voor meer dan twee beheerdersgebruikers. Verwijder RDS niet voordat u het gebruik zorgvuldig inventariseert. Als het wordt gebruikt door toepassingen of eindgebruikers, veroorzaakt verwijdering een storing.
73 Het opgegeven functionaliteitsniveau van het forest is ongeldig. Geef een geldig forestfunctionaliteitsniveau op.
74 Het opgegeven functionaliteitsniveau van het domein is ongeldig. Geef een geldig domeinfunctionaliteitsniveau op.
75 Kan het standaardbeleid voor wachtwoordreplicatie niet bepalen. Controleer of het RODC-wachtwoordreplicatiebeleid bestaat en toegankelijk is.
76 Opgegeven gerepliceerde/niet-gerepliceerde beveiligingsgroepen zijn ongeldig Controleer of u geldige domein- en gebruikersaccounts hebt ingevoerd bij het opgeven van een wachtwoordreplicatiebeleid.
77 Het opgegeven argument is ongeldig Bekijk de uitgebreide fout en logboeken.
78 Kan Active Directory-forest niet onderzoeken Bekijk de uitgebreide fout en logboeken.
79 RODC kan niet worden gepromoveerd omdat rodcprep niet is uitgevoerd Gebruik Windows Server 2012 om het forest voor te bereiden of gebruik adprep.exe /rodcprep.
80 Domainprep is niet uitgevoerd Gebruik Windows Server 2012 om het domein voor te bereiden of gebruik adprep.exe /domainprep.
81 Forestprep is niet uitgevoerd Gebruik Windows Server 2012 om het forest voor te bereiden of gebruik adprep.exe /forestprep.
82 Forestschema komt niet overeen Gebruik Windows Server 2012 om het forest voor te bereiden of gebruik adprep.exe /forestprep.
83 Niet-ondersteunde SKU Deze fout wordt waarschijnlijk niet weergegeven.
84 Kan een domeincontrolleraccount niet detecteren Controleer of op bestaande domeincontrollers het juiste kenmerk voor gebruikersaccountbeheer is ingesteld.
85 Kan geen domeincontrolleraccount selecteren voor fase 2 Wordt geretourneerd als u 'Bestaand account gebruiken' opgeeft, maar er is geen account gevonden of er is een fout opgetreden tijdens het opzoeken van accounts. Zorg ervoor dat u het juiste gefaseerde RODC-account hebt opgegeven.
86 Fase 2-promotie moet worden uitgevoerd Wordt geretourneerd als u een extra domeincontroller promoveert, maar er een bestaand account bestaat en 'Opnieuw installeren toestaan' niet is opgegeven.
87 Er bestaat een domeincontrolleraccount van conflicterend type Wijzig de naam van de computer voordat u promoveert, als u niet probeert te koppelen aan een niet-in beslag gebrachte domeincontroller. U moet koppelen aan het niet-gebruikte domeincontrolleraccount met behulp van -useexistingaccount en het juiste alleen-lezen of beschrijfbare argument, afhankelijk van het accounttype.
88 De opgegeven serverbeheerder is niet geldig U hebt een ongeldig account opgegeven voor RODC-beheerdersdelegatie. Controleer of het opgegeven account een geldige gebruiker of groep is.
89 RID-master voor het opgegeven domein is offline. Gebruik netdom.exe query fsmo om de RID-master te detecteren. Breng het online en maak het toegankelijk voor de domeincontroller die u promoot.
90 De naamgevingsmaster van het domein is offline. Gebruik netdom.exe query fsmo om de naamgevingsmaster van het domein te detecteren. Breng het online en maak het toegankelijk voor de domeincontroller die u promoot.
91 Kan niet detecteren of het proces wow64 is Deze fout kan niet meer worden weergegeven, het besturingssysteem is 64-bits.
92 Wow64-proces wordt niet ondersteund Deze fout kan niet meer worden weergegeven, het besturingssysteem is 64-bits.
93 De domeincontrollerservice wordt niet uitgevoerd voor niet-afgedwongen degradatie Start de AD DS-service.
94 Het lokale beheerderswachtwoord voldoet niet aan de vereiste: leeg of niet vereist Geef een niet-leeg wachtwoord op en zorg ervoor dat het lokale wachtwoordbeleid een wachtwoord vereist.
95 Kan de laatste Windows Server 2008- of latere domeincontroller niet degraderen in het domein waar live RODC's bestaan U moet eerst alle RODC's degraderen voordat u alle beschrijfbare domeincontrollers van Windows Server 2008 of hoger kunt degraderen.
96 Kan binaire DS-bestanden niet verwijderen Alleen te zien met dcpromo /unattend, dat is afgeschaft. Raadpleeg oudere documentatie.
97 Versie van forestfunctionaliteitsniveau hoger dan die van het besturingssysteem van het onderliggende domein Geef een onderliggend domein op dat hetzelfde of hoger is dan het functionele forestniveau.
98 Binaire installatie/verwijdering van onderdelen wordt uitgevoerd. Alleen te zien met dcpromo /unattend, dat is afgeschaft. Raadpleeg oudere documentatie.
99 Het functionele niveau van het forest is te laag (fout is alleen Windows Server 2012) Verhoog het functionele niveau van het forest naar ten minste windows server 2003 systeemeigen. Windows 2000 en Windows NT 4.0 worden niet langer ondersteund.
100 Het functionaliteitsniveau van het domein is te laag (fout is alleen Windows Server 2012) Verhoog het functionele domeinniveau naar ten minste Windows Server 2003 systeemeigen. Windows 2000 en Windows NT 4.0 worden niet langer ondersteund.

Bekende problemen en veelvoorkomende ondersteuningsscenario's

Hier volgen veelvoorkomende problemen tijdens het Windows Server 2012 ontwikkelingsproces. Al deze problemen zijn 'standaard' en hebben een geldige tijdelijke oplossing of een meer geschikte techniek om ze in de eerste plaats te voorkomen. Veel van deze gedragingen zijn identiek in Windows Server 2008 R2 en oudere besturingssystemen, maar het herschrijven van AD DS-implementatie zorgt voor een verhoogde gevoeligheid voor problemen.

Probleem Als u een domeincontroller degraderen, blijft DNS zonder zones actief
Symptomen Server reageert nog steeds op DNS-aanvragen, maar heeft geen zonegegevens
Oplossing en notities Wanneer u de AD DS-rol verwijdert, verwijdert u ook de DNS-serverfunctie of stelt u de DNS-serverservice in op uitgeschakeld. Vergeet niet om de DNS-client naar een andere server dan zichzelf te verwijzen. Als u Windows PowerShell gebruikt, voert u het volgende uit nadat u de server hebt gedegraded:

Code- uninstall-windowsfeature dns

of

Code- set-service dns -starttype disabled
stop-service dns
Probleem Als u een Windows Server 2012 naar een bestaand domein met één label promoveren, wordt updatetopleveldomain=1 of allowsinglelabeldnsdomain=1 niet geconfigureerd
Symptomen Dynamische DNS-recordregistratie vindt niet plaats
Oplossing en notities Stel deze waarden in met behulp van het Netlogon- en DNS-groepsbeleid. Microsoft is begonnen met het blokkeren van het maken van een domein met één label in Windows Server 2008; U kunt ADMT of het hulpprogramma Voor het wijzigen van domein wijzigen in een goedgekeurde DNS-domeinstructuur.
Probleem Degradatie van laatste domeincontroller in een domein mislukt als er vooraf gemaakte, niet-inbezette RODC-accounts zijn
Symptomen Degradatie mislukt met bericht:

Dcpromo.General.54

Active Directory Domain Services kan geen andere Active Directory-domein controller vinden om de resterende gegevens over te dragen in de mappartitie CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

"De indeling van de opgegeven domeinnaam is ongeldig."
Oplossing en notities Verwijder alle resterende vooraf gemaakte RODC-accounts voordat u een domein degraderen met behulp van Dsa.msc of Ntdsutil.exe metagegevens opschonen.
Probleem Geautomatiseerde forest- en domeinvoorbereiding voert GPPREP niet uit
Symptomen Voor de planningsfunctionaliteit voor meerdere domeinen voor groepsbeleid, de resulterende RSOP-planningsmodus (Set of Policy), zijn bijgewerkte bestandssysteem- en Active Directory-machtigingen vereist voor bestaande gp's. Zonder Gpprep kunt u RSOP-planning niet in verschillende domeinen gebruiken.
Oplossing en notities Voer handmatig uit adprep.exe /gpprep voor alle domeinen die niet eerder zijn voorbereid voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Beheerders moeten GPPrep slechts eenmaal uitvoeren in de geschiedenis van een domein, niet bij elke upgrade. Het wordt niet uitgevoerd door automatische adprep, omdat als u al voldoende aangepaste machtigingen hebt ingesteld, alle SYSVOL-inhoud opnieuw repliceert op alle domeincontrollers.
Probleem Installeren vanaf media kan niet worden gecontroleerd wanneer er wordt verwijst naar een UNC-pad
Symptomen Fout geretourneerd:

Code: kan mediapad niet valideren. Uitzondering bij het aanroepen van 'GetDatabaseInfo' met '2'-argumenten. De map is niet geldig.
Oplossing en notities U moet IFM-bestanden opslaan op een lokale schijf, niet op een extern UNC-pad. Deze opzettelijke blokkering voorkomt gedeeltelijke serverpromotie vanwege een netwerkonderbreking.
Probleem Waarschuwing voor DNS-delegering wordt tweemaal weergegeven tijdens promotie van domeincontroller
Symptomen Waarschuwing wordt twee keer geretourneerd bij het promoveren met behulp van ADDSDeployment Windows PowerShell:

Code- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Oplossing en notities Negeren. ADDSDeployment Windows PowerShell geeft eerst de waarschuwing weer tijdens de controle van vereisten en vervolgens opnieuw tijdens de configuratie van de domeincontroller. Als u dns-delegering niet wilt configureren, gebruikt u het argument:

Code- -creatednsdelegation:$false

Sla de vereiste controles niet over om dit bericht te onderdrukken.
Probleem Het opgeven van UPN- of niet-domeinreferenties tijdens de configuratie retourneert misleidende fouten
Symptomen Serverbeheer retourneert de fout:

Code - Uitzonderingsoproep 'DNSOption' met '6'-argumenten

ADDSDeployment Windows PowerShell retourneert de fout:

Code- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Oplossing en notities Zorg ervoor dat u geldige domeinreferenties oplevert in de vorm van <domein>\<gebruiker>.
Probleem Het verwijderen van de DirectoryServices-DomainController-rol met behulp vanDism.exe leidt tot niet-opstartbare server
Symptomen Als uDism.exe gebruikt om de AD DS-rol te verwijderen voordat u een domeincontroller probleemloos degradeert, wordt de server niet meer normaal opgestart en wordt er een fout weergegeven:

Code - Status: 0x000000000
Info: er is een onverwachte fout opgetreden.
Oplossing en notities Start in de herstelmodus van Directory Services met shift+F8. Voeg de AD DS-rol terug en degradeer de domeincontroller geforceerd. U kunt ook de systeemstatus herstellen vanuit een back-up. Gebruik geenDism.exe voor het verwijderen van AD DS-rollen; het hulpprogramma heeft geen kennis van domeincontrollers.
Probleem Het installeren van een nieuw forest mislukt bij het instellen van forestmode op Win2012
Symptomen Promotie met behulp van ADDSDeployment Windows PowerShell retourneert de fout:

Code- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Oplossing en notities Geef geen functionele forestmodus van Win2012 op zonder ook een functionele domeinmodus van Win2012 op te geven. Hier volgt een voorbeeld dat zonder fouten werkt:

Code- -forestmode Win2012 -domainmode Win2012
Probleem Het selecteren van Verifiëren in het selectiegebied Installeren vanuit media lijkt niets te doen
Symptomen Wanneer u een pad naar een IFM-map opgeeft, retourneert het selecteren van de knop Verifiëren nooit een bericht of lijkt er iets te worden gedaan.
Oplossing en notities De knop Controleren retourneert alleen fouten als er problemen zijn. Anders kan de knop Volgende worden geselecteerd als u een IFM-pad hebt opgegeven. U moet Verifiëren selecteren om door te gaan als u IFM hebt geselecteerd.
Probleem Het degraderen met Serverbeheer geeft pas feedback als u klaar bent.
Symptomen Wanneer u Serverbeheer gebruikt om de AD DS-rol te verwijderen en een domeincontroller te degraderen, wordt er geen doorlopende feedback gegeven totdat de degradatie is voltooid of mislukt.
Oplossing en notities Dit is een beperking van Serverbeheer. Gebruik voor feedback DE CMDLET ADDSDeployment Windows PowerShell:

Code- Uninstall-addsdomaincontroller
Probleem Installeren vanuit Media Verify detecteert niet dat RODC-media zijn opgegeven voor beschrijfbare domeincontroller, of omgekeerd.
Symptomen Bij het promoten van een nieuwe domeincontroller met behulp van IFM en het verstrekken van onjuiste media aan IFM, zoals RODC-media voor een beschrijfbare domeincontroller of RWDC-media voor een RODC, retourneert de knop Verifiëren geen fout. Later mislukt de promotie met de fout:

Code: er is een fout opgetreden tijdens het configureren van deze computer als een domeincontroller.
De promotie Install-From-Media van een Read-Only DC kan niet worden gestart omdat de opgegeven brondatabase niet is toegestaan. Alleen databases van andere RODC's kunnen worden gebruikt voor IFM-promotie van een RODC.
Oplossing en notities Verifiëren valideert alleen de algehele integriteit van IFM. Geef niet het verkeerde IFM-type op aan een server. Start de server opnieuw op voordat u opnieuw promotie probeert te maken met de juiste media.
Probleem Het promoveren van een RODC naar een vooraf gemaakt computeraccount mislukt
Symptomen Wanneer u ADDSDeployment-Windows PowerShell gebruikt om een nieuwe RODC te promoten met een gefaseerd computeraccount, ontvangt u een foutbericht:

Code- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Oplossing en notities Geef geen parameters op die al zijn gedefinieerd voor een vooraf gemaakt RODC-account. Deze omvatten:

Code-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-sitenaam
-installdns
Probleem Als u 'Elke doelserver automatisch opnieuw opstarten indien nodig' deselecteert of selecteert, wordt er niets uitgevoerd
Symptomen Als u de Serverbeheer optie Elke doelserver automatisch opnieuw opstarten indien nodig bij het degraderen van een domeincontroller via functieverwijdering selecteert (of niet selecteert), wordt de server altijd opnieuw opgestart, ongeacht de keuze.
Oplossing en notities Dit is opzettelijk. Tijdens het degradatieproces wordt de server opnieuw gestart, ongeacht deze instelling.
Probleem Dcpromo.log toont '[fout] instellen van beveiliging op serverbestanden is mislukt met 2'
Symptomen De degradatie van een domeincontroller wordt zonder problemen voltooid, maar onderzoek van het dcpromo-logboek toont een fout aan:

Code- [error] setting security on server files failed with 2
Oplossing en notities Negeer, fout is verwacht en cosmetisch.
Probleem Vereiste adprep-controle mislukt met de fout 'Kan exchange-schemaconflictcontrole niet uitvoeren'
Symptomen Wanneer u probeert een Windows Server 2012-domeincontroller te promoveren naar een bestaand Windows Server 2003-, Windows Server 2008- of Windows Server 2008 R2-forest, mislukt de controle van de vereisten met de fout:

Code: verificatie van vereisten voor AD-voorbereiding is mislukt. Kan conflictcontrole voor Exchange-schema voor domeinnaam <> niet uitvoeren (uitzondering: de RPC-server is niet beschikbaar)

In de adprep.log wordt een fout weergegeven:

Code- Adprep couldn't retrieve data from the server <domain controller>

via Windows Management Instrumentation (WMI).
Oplossing en notities De nieuwe domeincontroller heeft geen toegang tot WMI via DCOM/RPC-protocollen voor de bestaande domeincontrollers. Tot nu toe zijn hiervoor drie oorzaken:

- Een firewallregel blokkeert de toegang tot de bestaande domeincontrollers.
- Het NETWORK SERVICE-account ontbreekt in de bevoegdheid 'Aanmelden als een service' (SeServiceLogonRight) op de bestaande domeincontrollers.
- NTLM is uitgeschakeld op domeincontrollers, met behulp van beveiligingsbeleid dat wordt beschreven in Inleiding tot de beperking van NTLM-verificatie.
Probleem Bij het maken van een nieuw AD DS-forest wordt altijd een DNS-waarschuwing weergegeven
Symptomen Wanneer u een nieuw AD DS-forest maakt en de DNS-zone op de nieuwe domeincontroller zelf maakt, ontvangt u altijd een waarschuwingsbericht:

Code: er is een fout gedetecteerd in de DNS-configuratie.
Geen van de DNS-servers die door deze computer worden gebruikt, heeft gereageerd binnen het time-outinterval.
(foutcode 0x000005B4 'ERROR_TIMEOUT')
Oplossing en notities Negeren. Deze waarschuwing is opzettelijk op de eerste domeincontroller in het hoofddomein van een nieuw forest, voor het geval u wilt verwijzen naar een bestaande DNS-server en -zone.
Probleem -whatif Windows PowerShell argument retourneert onjuiste DNS-servergegevens
Symptomen Als u het argument gebruikt bij het -whatif configureren van een domeincontroller met impliciet of expliciet -installdns:$true, wordt in de resulterende uitvoer het volgende weergegeven:

Code- DNS Server: No
Oplossing en notities Negeren. DNS is correct geïnstalleerd en geconfigureerd.
Probleem Na de promotie mislukt de aanmelding met 'Er is onvoldoende opslagruimte beschikbaar om deze opdracht te verwerken'
Symptomen Nadat u een nieuwe domeincontroller hebt gepromoot en u zich vervolgens hebt afgemeld en u interactief hebt geprobeerd aan te melden, ontvangt u een foutbericht:

Code: er is onvoldoende opslagruimte beschikbaar om deze opdracht te verwerken
Oplossing en notities De domeincontroller is niet opnieuw opgestart na promotie, vanwege een fout of omdat u het argument -norebootoncompletionADDSDeployment Windows PowerShell hebt opgegeven. Start de domeincontroller opnieuw.
Probleem De knop Volgende is niet beschikbaar op de pagina Opties voor domeincontrollers
Symptomen Hoewel u een wachtwoord hebt ingesteld, is de knop Volgende op de pagina Opties voor domeincontroller in Serverbeheer niet beschikbaar. Er wordt geen site vermeld in het menu Sitenaam .
Oplossing en notities U hebt meerdere AD DS-sites en ten minste één subnetten ontbreken; deze toekomstige domeincontroller behoort tot een van deze subnetten. U moet het subnet handmatig selecteren in het vervolgkeuzemenu Sitenaam. U moet ook alle AD-sites controleren met behulp van DSSITE. MSC of gebruik de volgende Windows PowerShell opdracht om alle sites te vinden die ontbreken subnetten:

Code - "get-adreplicationsite -filter * -property subnetten | where-object {!$_.subnets -eq "*"} | format-table name"
Probleem Promotie of degradatie mislukt met het bericht 'de service kan niet worden gestart'
Symptomen Als u een domeincontroller probeert te promoveren, degraderen of klonen, ontvangt u de volgende foutmelding:

Code: de service kan niet worden gestart omdat deze is uitgeschakeld of omdat er geen ingeschakelde apparaten aan zijn gekoppeld' (0x80070422)

De fout kan interactief, een gebeurtenis zijn of naar een logboek zijn geschreven, zoals dcpromoui.log of dcpromo.log.
Oplossing en notities De DS-functieserverservice (DsRoleSvc) is uitgeschakeld. Deze service wordt standaard geïnstalleerd tijdens de installatie van de AD DS-rol en ingesteld op het type Handmatig starten. Schakel deze service niet uit. Stel deze terug op Handmatig en sta toe dat de DS-rolbewerkingen op aanvraag worden gestart en gestopt. Dit gedrag is inherent aan het ontwerp van het product.
Probleem Serverbeheer waarschuwt nog steeds dat u DC moet promoveren
Symptomen Als u een domeincontroller promoveren met behulp van de afgeschafte dcpromo.exe /unattend of een upgrade uitvoert van een bestaande Windows Server 2008 R2-domeincontroller naar Windows Server 2012, Serverbeheer nog steeds de configuratietaak na de implementatie Deze server promoveren naar een domeincontroller.
Oplossing en notities selecteert u de waarschuwingskoppeling na de implementatie en het bericht verdwijnt voorgoed. Dit gedrag is cosmetisch en verwacht.
Probleem installatie van Serverbeheer implementatiescript ontbreekt
Symptomen Als u een domeincontroller promoveren met behulp van Serverbeheer en het Windows PowerShell-implementatiescript opslaat, bevat dit niet de cmdlet voor de installatie van de rol en argumenten (install-windowsfeature -name ad-domain-services -includemanagementtools). Zonder de rol kan de DC niet worden geconfigureerd.
Oplossing en notities Voeg die cmdlet en argumenten handmatig toe aan scripts. Dit gedrag is verwacht en volgens het ontwerp.
Probleem Serverbeheer implementatiescript heeft geen naam PS1
Symptomen Als u een domeincontroller promoveert met behulp van Serverbeheer en het Windows PowerShell-implementatiescript opslaat, krijgt het bestand een willekeurige tijdelijke naam en niet een PS1-bestand.
Oplossing en notities Wijzig de naam van het bestand handmatig. Dit gedrag is verwacht en volgens het ontwerp.
Probleem Dcpromo /unattend staat niet-ondersteunde functionele niveaus toe
Symptomen Als u een domeincontroller promoveren met behulp van dcpromo /unattend het volgende voorbeeldantwoordbestand:

Code-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Ja

AutoConfigDNS=Ja

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=Nee

DomainLevel=0

ForestLevel=0

Promotie mislukt met de volgende fouten in de dcpromoui.log:

Code - dcpromoui EA4.5B8 0089 13:31:50.783 Voer CArguments InSpec::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13:31:50.783 Waarde voor DomainLevel is 0

dcpromoui EA4.5B8 008B 13:31:50.783 Afsluitcode is 77

dcpromoui EA4.5B8 008C 13:31:50.783 Het opgegeven argument is ongeldig.

dcpromoui EA4.5B8 008D 13:31:50.783 sluiten logboek

dcpromoui EA4.5B8 0032 13:31:50.830 Afsluitcode is 77

Niveau 0 is Windows 2000. Dit wordt niet ondersteund in Windows Server 2012.
Oplossing en notities Gebruik de afgeschafte dcpromo /unattend niet en begrijp dat u hiermee ongeldige instellingen kunt opgeven die later mislukken. Dit gedrag is verwacht en volgens het ontwerp.
Probleem Promotie 'loopt vast' bij het maken van het NTDS-instellingenobject, wordt nooit voltooid
Symptomen Als u een replica-DC of RODC promoveert, bereikt de promotie 'NTDS-instellingenobject maken' en wordt nooit voortgezet of voltooid. De logboeken worden ook niet meer bijgewerkt.
Oplossing en notities Dit is een bekend probleem dat wordt veroorzaakt door het opgeven van referenties van het ingebouwde lokale beheerdersaccount met een overeenkomend wachtwoord voor het ingebouwde domeinbeheerdersaccount. Dit veroorzaakt een fout in de kerninstallatie-engine die geen fout geeft, maar in plaats daarvan voor onbepaalde tijd wacht (quasi-lus). Dit is verwacht - zij het onwenselijk - gedrag.

Ga als volgt te werk om de server te herstellen:

1. Start het opnieuw op.

1. Verwijder in AD het computeraccount van de serverlid (dit is nog geen DC-account)

2. Op die server geforceerd loskoppelen van het domein

3. Verwijder op die server de AD DS-rol.

4. Opnieuw opstarten

5. Lees de AD DS-rol en reattempt-promotie, waarbij u ervoor zorgt dat u altijd de <domein>\<admin> opgemaakte referenties opgeeft aan dc-promotie en niet alleen het ingebouwde lokale beheerdersaccount.