Rozwiązywanie problemów z wdrażaniem kontrolera domeny
W tym artykule opisano szczegółową metodologię rozwiązywania problemów z konfiguracją i wdrażaniem kontrolera domeny.
Dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016
Wypróbuj naszego agenta wirtualnego — może on pomóc w szybkim identyfikowaniu i rozwiązywaniu typowych problemów z replikacją usługi Active Directory.
Wprowadzenie do rozwiązywania problemów
Wbudowane dzienniki do rozwiązywania problemów
Wbudowane dzienniki są najważniejszym instrumentem rozwiązywania problemów z podwyższaniem poziomu kontrolera domeny i degradacją. Wszystkie te dzienniki są domyślnie włączone i skonfigurowane pod kątem maksymalnej szczegółowości.
Faza | Dziennika |
---|---|
operacje Windows PowerShell Menedżer serwera lub ADDSDeployment |
-
%systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
Instalacja/podwyższanie poziomu kontrolera domeny |
-
%systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - \ Podgląd zdarzeń Windows Logs\System - \ aplikacja dzienników Podgląd zdarzeńWindows\ - \ Podgląd zdarzeń Aplikacje i usługi — usługa katalogowa dzienników\ usług - \ usługareplikacji plikówPodgląd zdarzeń Applications and Services Logs\ - \ Podgląd zdarzeń Plikacje i dzienniki usług replikacji systemu plików\DFS |
Uaktualnianie lasu lub domeny |
-
%systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
aparat wdrażania Menedżer serwera ADDSDeployment Windows PowerShell | - \ Podgląd zdarzeń Aplikacje i dzienniki\ usługMicrosoft\Windows\DirectoryServices-Deployment\Operational |
Obsługa systemu Windows |
-
%systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
Narzędzia i polecenia do rozwiązywania problemów z konfiguracją kontrolera domeny
Aby rozwiązać problemy, które nie zostały wyjaśnione w dziennikach, użyj następujących narzędzi jako punktu początkowego:
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe, Menedżer zadań i MSInfo32.exe
- Network Monitor 3.4 (lub narzędzie do przechwytywania i analizy sieci innej firmy)
Ogólna metodologia rozwiązywania problemów z konfiguracją kontrolera domeny
Czy przyczyną błędu był problem ze składnią?
- Czy błędnie podano argument do Windows PowerShell ADDSDeployment? Jeśli na przykład używasz Windows PowerShell ADDSDeployment, nie pamiętasz dodawania wymaganego argumentu
-domainname
o prawidłowej nazwie? - Dokładnie przeanalizuj dane wyjściowe konsoli Windows PowerShell, aby dokładnie sprawdzić, dlaczego nie można przeanalizować dostarczonego wiersza polecenia.
- Czy błędnie podano argument do Windows PowerShell ADDSDeployment? Jeśli na przykład używasz Windows PowerShell ADDSDeployment, nie pamiętasz dodawania wymaganego argumentu
Czy błąd jest błędem wymagań wstępnych?
- Wiele błędów, które były wyświetlane jako wyniki podwyższenia poziomu krytycznego, jest teraz uniemożliwianych przez sprawdzanie wymagań wstępnych.
- Dokładnie przeanalizuj tekst błędów wymagań wstępnych, udostępniają one niezbędne wskazówki do rozwiązania większości problemów, ponieważ są to kontrolowane scenariusze.
Czy błąd podczas podwyższania poziomu jest krytyczny?
Dokładnie sprawdź wyniki: wiele błędów zawiera wyjaśnienia, takie jak nieprawidłowe hasła, rozpoznawanie nazw sieci lub krytyczne kontrolery domeny w trybie offline.
Przeanalizuj Dcpromoui.log i dcpromo.log pod kątem błędów wyświetlanych w danych wyjściowych, a następnie przejrzyj je wstecz, aby zobaczyć, dlaczego wystąpił błąd.
- Zawsze porównywanie z działającym dziennikiem przykładowym
- Sprawdź dzienniki ADPrep pod kątem błędów tylko wtedy, gdy wyniki wskazują na problem z rozszerzeniem schematu lub przygotowaniem lasu lub domeny.
- Sprawdź dziennik zdarzeń DirectoryServices-Deployment pod kątem błędów tylko wtedy, gdy Dcpromoui.log nie zawiera szczegółów lub kończy się dowolnie z powodu nieobsługiwanego wyjątku w procesie konfiguracji.
Sprawdź dzienniki zdarzeń usług katalogowych, systemowych i aplikacji pod kątem innych wskaźników problemu z konfiguracją. Często podwyższenie poziomu kontrolera domeny jest tylko objawem innej błędnej konfiguracji sieci, która miałaby wpływ na wszystkie systemy rozproszone.
Użyj dcdiag.exe i repadmin.exe , aby zweryfikować ogólną kondycję lasu i wskazać subtelne błędy konfiguracji, które mogą uniemożliwić dalsze podwyższanie poziomu kontrolera domeny.
Użyj AutoRuns.exe, Menedżera zadań lub MSinfo32.exe , aby sprawdzić komputer pod kątem oprogramowania innych firm, które może zakłócać.
Usuń oprogramowanie innej firmy (nie wyłączaj oprogramowania, co nie uniemożliwia ładowania sterowników).
Zainstaluj program NetMon 3.4 na komputerze, który nie może podwyższyć poziomu kontrolera domeny partnera replikacji, i przeanalizuj proces podwyższania poziomu za pomocą dwustronnych przechwytywania sieci.
- Porównaj to ze środowiskiem laboratorium roboczego, aby zrozumieć, jak wygląda promocja w dobrej kondycji i gdzie kończy się niepowodzeniem.
- W tym momencie błędy są prawdopodobnie związane z obiektami lasu, zmianami zabezpieczeń niezaufanymi lub siecią, a ten nowy kontroler domeny jest ofiarą błędnych konfiguracji w systemie DNS, zaporach, oprogramowaniu ochrony przed włamaniem do hosta lub innych czynnikach zewnętrznych.
Rozwiązywanie problemów ze zdarzeniami i komunikatami o błędach
Podwyższanie poziomu kontrolera domeny i obniżanie poziomu zawsze zwracają kod po zakończeniu operacji i w przeciwieństwie do większości programów nie zwracają wartości zero dla powodzenia. Aby wyświetlić kod na końcu konfiguracji kontrolera domeny, masz kilka opcji:
W przypadku korzystania z Menedżer serwera sprawdź wyniki podwyższania poziomu w ciągu 10 sekund przed automatycznym ponownym uruchomieniem.
W przypadku korzystania z Windows PowerShell ADDSDeployment sprawdź wyniki podwyższania poziomu w ciągu 10 sekund przed automatycznym ponownym uruchomieniem. Alternatywnie możesz nie uruchamiać się automatycznie po zakończeniu. Należy dodać potok,
format-list
aby ułatwić odczytywanie danych wyjściowych. Przykład:Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list
Błędy w weryfikacji i weryfikacji wymagań wstępnych nie są kontynuowane po ponownym uruchomieniu, więc są widoczne we wszystkich przypadkach. Przykład:
W każdym scenariuszu sprawdź dcpromo.log i dcpromoui.log.
Uwaga
Niektóre błędy wymienione poniżej nie są już możliwe z powodu zmian konfiguracji systemu operacyjnego i kontrolera domeny w późniejszych systemach operacyjnych. Nowe kody Windows PowerShell ADDSDeployment również zapobiegają niektórym błędom, ale
dcpromo.exe /unattend
nie. Jest to kolejny istotny powód, aby przełączyć całą bieżącą automatyzację z przestarzałego modelu DCPromo na Windows PowerShell ADDSDeployment.
Kody powodzenia podwyższania poziomu i obniżania poziomu
Kod błędu | Objaśnienie | Uwaga |
---|---|---|
1 | Zakończenie, powodzenie | Nadal musisz przeprowadzić ponowny rozruch. Wystarczy tylko, że flaga automatycznego ponownego uruchomienia została usunięta. |
2 | Zakończenie, powodzenie, konieczność ponownego uruchomienia | |
3 | Zakończenie, powodzenie z błędem niekrytycznym | Zwykle widoczne podczas zwracania ostrzeżenia delegowania DNS. Jeśli delegowanie DNS nie zostanie skonfigurowane, użyj:
|
4 | Zakończenie, powodzenie z błędem niekrytycznym, konieczność ponownego uruchomienia | Zwykle widoczne podczas zwracania ostrzeżenia delegowania DNS. Jeśli delegowanie DNS nie zostanie skonfigurowane, użyj:
|
Kody błędów podwyższania poziomu i obniżania poziomu
Podwyższenie poziomu i degradacja zwracają następujące kody komunikatów o błędach. Istnieje również prawdopodobieństwo, że zostanie wyświetlony rozszerzony komunikat o błędzie; zawsze uważnie odczytaj cały błąd, a nie tylko część liczbową.
Kod błędu | Objaśnienie | Sugerowane rozwiązanie |
---|---|---|
11 | Podwyższanie poziomu kontrolera domeny jest już uruchomione | Nie uruchamiaj jednocześnie więcej niż jednego wystąpienia podwyższania poziomu kontrolera domeny dla tego samego komputera docelowego. |
12 | Użytkownik musi być administratorem | Zaloguj się jako członek wbudowanej grupy Administratorzy i upewnij się, że podnosisz poziom uprawnień przy użyciu funkcji UAC. |
13 | Urząd certyfikacji jest zainstalowany | Nie można obniżyć poziomu tego kontrolera domeny, ponieważ jest on również urzędem certyfikacji. Nie usuwaj urzędu certyfikacji przed dokładnym spisem jego użycia. Jeśli wystawia certyfikaty, usunięcie roli spowoduje awarię. Nie zaleca się uruchamiania urzędów certyfikacji na kontrolerach domeny. |
14 | Uruchamianie w trybie bezpiecznego rozruchu | Uruchom serwer w trybie normalnym. |
15 | Zmiana roli jest w toku lub wymaga ponownego uruchomienia | Przed podwyższeniem poziomu należy ponownie uruchomić serwer (ze względu na wcześniejsze zmiany konfiguracji). |
16 | Uruchamianie na niewłaściwej platformie | Prawdopodobnie nie wystąpi ten błąd. |
17 | Nie istnieją żadne dyski NTFS 5 | Ten błąd nie jest możliwy w Windows Server 2012, co wymaga sformatowania co najmniej %systemdrive% przy użyciu systemu PLIKÓW NTFS. |
18 | Za mało miejsca w windir | Zwolnij miejsce na woluminie %systemdrive% przy użyciu cleanmgr.exe. |
19 | Oczekująca zmiana nazwy, wymaga ponownego uruchomienia | Uruchom ponownie serwer. |
20 | Nazwa komputera jest nieprawidłową składnią | Zmień nazwę komputera z prawidłową nazwą. |
21 | Ten kontroler domeny przechowuje role FSMO, jest GC i/lub jest serwerem DNS | Dodaj -demoteoperationmasterrole podczas korzystania z programu -forceremoval . |
22 | Protokół TCP/IP musi zostać zainstalowany lub nie działa | Sprawdź, czy komputer ma skonfigurowany, powiązany i działający poprawnie protokół TCP/IP. |
23 | Najpierw należy skonfigurować klienta DNS | Ustaw podstawowy serwer DNS podczas dodawania nowego kontrolera domeny do domeny. |
24 | Podane poświadczenia są nieprawidłowe lub brakuje wymaganych elementów | Sprawdź, czy nazwa użytkownika i hasło są poprawne. |
25 | Nie można odnaleźć kontrolera domeny dla określonej domeny | Zweryfikuj ustawienia klienta DNS, reguły zapory. |
26 | Nie można odczytać listy domen z lasu | Zweryfikuj ustawienia klienta DNS, funkcje LDAP, reguły zapory. |
27 | Brak nazwy domeny | Określ domenę podczas promowania lub obniżania poziomu. |
28 | Zła nazwa domeny | Wybierz inną, prawidłową nazwę domeny DNS podczas promowania. |
29 | Domena nadrzędna nie istnieje | Sprawdź domenę nadrzędną określoną podczas tworzenia nowej domeny podrzędnej lub domeny drzewa. |
30 | Domena nie jest w lesie | Sprawdź podaną nazwę domeny. |
31 | Domena podrzędna już istnieje | Określ inną nazwę domeny. |
32 | Nieprawidłowa nazwa domeny NetBIOS | Określ prawidłową nazwę domeny NetBIOS. |
33 | Ścieżka do plików IFM jest nieprawidłowa | Zweryfikuj ścieżkę do folderu Zainstaluj z nośnika. |
34 | Baza danych IFM jest nieprawidłowa | Użyj poprawnej instalacji z nośnika dla tego systemu operacyjnego i roli (tej samej wersji systemu operacyjnego, tego samego typu kontrolera domeny — KONTROLER RODC i RWDC). |
35 | Brak klucza SYSKEY | Instalacja z nośnika jest zaszyfrowana i musisz podać prawidłowy klucz SYSKEY, aby go używać. |
37 | Ścieżka bazy danych NTDS lub jej dzienników jest nieprawidłowa | Zmień ścieżkę bazy danych i dzienników na stały wolumin NTFS, a nie zamapowany dysk lub ścieżkę UNC. |
38 | Wolumin nie ma wystarczającej ilości miejsca dla bazy danych ntds lub dzienników | Zwolnij miejsce przy użyciu cleanmgr.exe, dodaj więcej miejsca na dysku, ręcznie wyczyść miejsce, przenosząc niepotrzebne dane gdzie indziej. |
39 | Ścieżka dla protokołu SYSVOL jest nieprawidłowa | Zmień ścieżkę folderu SYSVOL na stały wolumin NTFS, a nie zamapowany dysk lub ścieżkę UNC. |
40 | Nieprawidłowa nazwa witryny | Podaj nazwę witryny, która istnieje. |
41 | Należy określić hasło dla trybu awaryjnego | Podaj hasło dla konta DSRM, ale nie może być puste bez względu na sposób konfigurowania zasad haseł. |
42 | Hasło trybu awaryjnego nie spełnia kryteriów (tylko podwyższenie poziomu) | Podaj hasło dla konta DSRM, które spełnia skonfigurowane reguły zasad haseł. |
43 | Administracja hasło nie spełnia kryteriów (tylko degradacja) | Podaj hasło dla konta administratora lokalnego, które spełnia skonfigurowane reguły zasad haseł. |
44 | Określona nazwa lasu jest nieprawidłowa | Określ prawidłową nazwę głównej domeny DNS lasu. |
45 | Las o określonej nazwie już istnieje | Wybierz inną główną nazwę domeny DNS lasu. |
46 | Określona nazwa drzewa jest nieprawidłowa | Określ prawidłową nazwę domeny DNS drzewa. |
47 | Drzewo o określonej nazwie już istnieje | Wybierz inną nazwę domeny DNS drzewa. |
48 | Nazwa drzewa nie pasuje do struktury lasu | Wybierz inną nazwę domeny DNS drzewa. |
49 | Określona domena nie istnieje | Sprawdź wpisaną nazwę domeny. |
50 | Podczas obniżania poziomu wykryto ostatni kontroler domeny, mimo że nie jest lub określono ostatni kontroler domeny, ale nie jest on | Nie określaj ostatniego kontrolera domeny w domenie (-lastdomaincontrollerindomain ), chyba że jest to prawda. Użyj, -ignorelastdcindomainmismatch aby zastąpić, jeśli jest to naprawdę ostatni kontroler domeny i istnieją metadane kontrolera domeny fantomowej. |
51 | Partycje aplikacji istnieją na tym kontrolerze domeny | Określ, aby usunąć partycje aplikacji (-removeapplicationpartitions ). |
52 | Brak wymaganego argumentu wiersza polecenia (oznacza to, że plik odpowiedzi musi być określony w wierszu polecenia) | Widoczne tylko z elementem dcpromo /unattend , który jest przestarzały. Zobacz starszą dokumentację. |
53 | Podwyższenie poziomu/obniżenie poziomu nie powiodło się, należy ponownie uruchomić maszynę, aby wyczyścić | Sprawdź rozszerzony błąd i dzienniki. |
54 | Podwyższenie/obniżenie poziomu nie powiodło się | Sprawdź rozszerzony błąd i dzienniki. |
55 | Podwyższenie/degradacja została anulowana przez użytkownika | Sprawdź rozszerzony błąd i dzienniki. |
56 | Podwyższenie poziomu/degradacja została anulowana przez użytkownika, komputer musi zostać ponownie uruchomiony, aby wyczyścić | Sprawdź rozszerzony błąd i dzienniki. |
58 | Nazwa witryny musi być określona podczas podwyższania poziomu kontrolera RODC | Należy określić lokację kontrolera RODC, ale nie będzie ona automatycznie wykrywać lokacji, takiej jak RWDC. |
59 | Podczas obniżania poziomu ten kontroler domeny jest ostatnim serwerem DNS dla jednej ze swoich stref | Określ, że jest to ostatni serwer DNS w domenie lub użyj polecenia -ignorelastdnsserverfordomain . |
60 | Kontroler domeny z systemem Windows Server 2008 lub nowszym musi być obecny w domenie w celu promowania kontrolera RODC | Podwyższ poziom co najmniej jednego zapisywalnego kontrolera domeny z systemem Windows Server 2008 lub nowszym. |
61 | Nie można zainstalować Active Directory Domain Services z systemem DNS w istniejącej domenie, która jeszcze nie hostuje systemu DNS | Nie można uzyskać tego błędu. |
62 | Plik odpowiedzi nie ma sekcji [DCInstall] | Widoczne tylko z elementem dcpromo /unattend , który jest przestarzały. Zobacz starszą dokumentację. |
63 | Poziom funkcjonalności lasu znajduje się poniżej systemu Windows Server 2003 | Podnieś poziom funkcjonalności lasu do co najmniej systemu Windows Server 2003 Native. Systemy operacyjne Windows 2000 i Windows NT 4.0 nie są już obsługiwane. |
64 | Nie powiodło się, ponieważ wykrywanie binarne składnika nie powiodło się | Zainstaluj rolę usług AD DS. |
65 | Nie powiodło się, ponieważ instalacja binarna składnika nie powiodła się | Zainstaluj rolę usług AD DS. |
66 | Działanie promocyjne nie powiodło się, ponieważ wykrywanie systemu operacyjnego nie powiodło się | Sprawdź rozszerzony błąd i dzienniki; serwer nie może zwrócić wersji systemu operacyjnego. Jest prawdopodobne, że komputer będzie musiał zostać ponownie zainstalowany, ponieważ jego ogólna kondycja jest bardzo podejrzana. |
68 | Partner replikacji jest nieprawidłowy | Użyj repadmin.exe lub Get-ADReplication\* Windows PowerShell, aby zweryfikować kondycję kontrolera domeny partnera. |
69 | Wymagany port jest już używany przez inną aplikację | Służy netstat.exe -anob do lokalizowania procesów, które są niepoprawnie przypisane do zarezerwowanych portów usług AD DS. |
70 | Główny kontroler domeny lasu musi być kontrolerem GC | Widoczne tylko z elementem dcpromo /unattend , który jest przestarzały. Zobacz starszą dokumentację. |
71 | Serwer DNS jest już zainstalowany | Nie określaj, aby zainstalować usługę DNS (-installDNS ), jeśli usługa DNS jest już zainstalowana. |
72 | Na komputerze są uruchomione usługi pulpitu zdalnego w trybie innym niż administrator | Nie można podwyższyć poziomu tego kontrolera domeny, ponieważ jest to również serwer usług pulpitu zdalnego skonfigurowany dla więcej niż dwóch użytkowników administracyjnych. Nie usuwaj usług pulpitu zdalnego przed dokładnym spisem jego użycia. Jeśli jest on używany przez aplikacje lub użytkowników końcowych, usunięcie spowoduje awarię. |
73 | Określony poziom funkcjonalności lasu jest nieprawidłowy. | Określ prawidłowy poziom funkcjonalności lasu. |
74 | Określony poziom funkcjonalności domeny jest nieprawidłowy. | Określ prawidłowy poziom funkcjonalności domeny. |
75 | Nie można określić domyślnych zasad replikacji haseł. | Sprawdź, czy zasady replikacji haseł kontrolera RODC istnieją i są dostępne. |
76 | Określone zreplikowane/niezreplikowane grupy zabezpieczeń są nieprawidłowe | Sprawdź, czy podczas określania zasad replikacji haseł wpisywano prawidłowe konta domeny i użytkowników. |
77 | Określony argument jest nieprawidłowy | Sprawdź rozszerzony błąd i dzienniki. |
78 | Nie można zbadać lasu usługi Active Directory | Sprawdź rozszerzony błąd i dzienniki. |
79 | Nie można podwyższyć poziomu kontrolera RODC, ponieważ rodcprep nie został wykonany | Użyj Windows Server 2012, aby przygotować las lub użyć polecenia adprep.exe /rodcprep . |
80 | Nie wykonano polecenia domainprep | Użyj Windows Server 2012, aby przygotować domenę lub użyć polecenia adprep.exe /domainprep . |
81 | Nie wykonano polecenia Forestprep | Użyj Windows Server 2012, aby przygotować las lub użyć polecenia adprep.exe /forestprep . |
82 | Niezgodność schematu lasu | Użyj Windows Server 2012, aby przygotować las lub użyć polecenia adprep.exe /forestprep . |
83 | Nieobsługiwana jednostka SKU | Prawdopodobnie nie wystąpi ten błąd. |
84 | Nie można wykryć konta kontrolera domeny | Sprawdź, czy istniejące kontrolery domeny mają poprawny zestaw atrybutów kontroli konta użytkownika. |
85 | Nie można wybrać konta kontrolera domeny dla etapu 2 | Zwrócone w przypadku określenia opcji "Użyj istniejącego konta", ale nie znaleziono konta lub wystąpił błąd podczas wyszukiwania konta. Upewnij się, że podano prawidłowe konto etapowe kontrolera RODC. |
86 | Konieczność uruchomienia promocji etapu 2 | Zwrócony w przypadku podwyższenia poziomu dodatkowego kontrolera domeny, ale istniejące konto istnieje i nie określono opcji "Zezwalaj na ponowną instalowanie". |
87 | Istnieje konto kontrolera domeny o typie powodującym konflikt | Zmień nazwę komputera przed podwyższeniem poziomu, jeśli nie spróbujesz dołączyć do niezajętego kontrolera domeny. Należy dołączyć do konta niezajętego kontrolera domeny przy użyciu -useexistingaccount i poprawny argument tylko do odczytu lub zapisu, w zależności od typu konta. |
88 | Określony administrator serwera jest nieprawidłowy | Określono nieprawidłowe konto delegowania administratora kontrolera RODC. Sprawdź, czy określone konto jest prawidłowym użytkownikiem lub grupą. |
89 | Główny identyfikator RID dla określonej domeny jest w trybie offline. | Służy netdom.exe query fsmo do wykrywania wzorca RID. Przełącz go w tryb online i udostępnij go kontrolerowi domeny, który promujesz. |
90 | Wzorzec nazewnictwa domeny jest w trybie offline. | Służy netdom.exe query fsmo do wykrywania wzorca nazewnictwa domen. Przełącz go w tryb online i udostępnij go kontrolerowi domeny, który promujesz. |
91 | Nie można wykryć, czy proces jest wow64 | Nie można już uzyskać tego błędu, system operacyjny jest 64-bitowy. |
92 | Proces Wow64 nie jest obsługiwany | Nie można już uzyskać tego błędu, system operacyjny jest 64-bitowy. |
93 | Usługa kontrolera domeny nie jest uruchomiona w przypadku niewymuszonej degradacji | Uruchom usługę AD DS. |
94 | Hasło administratora lokalnego nie spełnia wymagań: puste lub nie jest wymagane | Podaj niepuste hasło i upewnij się, że lokalne zasady haseł wymagają hasła. |
95 | Nie można obniżyć poziomu ostatniego kontrolera domeny systemu Windows Server 2008 lub nowszego w domenie, w której istnieją dynamiczne kontrolery RODC | Aby można było obniżyć poziom wszystkich kontrolerów domeny systemu Windows Server 2008 lub nowszych, należy najpierw obniżyć poziom wszystkich kontrolerów domeny z możliwością zapisu. |
96 | Nie można odinstalować plików binarnych usług DS | Widoczne tylko z elementem dcpromo /unattend , który jest przestarzały. Zobacz starszą dokumentację. |
97 | Wersja na poziomie funkcjonalności lasu wyższa niż wersja systemu operacyjnego domeny podrzędnej | Podaj domenę podrzędną funkcjonalną taką samą lub wyższą niż poziom funkcjonalności lasu. |
98 | Trwa instalowanie/odinstalowywanie składników binarnych. | Widoczne tylko z elementem dcpromo /unattend , który jest przestarzały. Zobacz starszą dokumentację. |
99 | Poziom funkcjonalności lasu jest zbyt niski (błąd jest Windows Server 2012 tylko) | Podnieś poziom funkcjonalności lasu do co najmniej natywnego systemu Windows Server 2003. Systemy operacyjne Windows 2000 i Windows NT 4.0 nie są już obsługiwane. |
100 | Poziom funkcjonalności domeny jest zbyt niski (błąd jest Windows Server 2012 tylko) | Podnieś poziom funkcjonalności domeny do co najmniej natywnego systemu Windows Server 2003. Systemy operacyjne Windows 2000 i Windows NT 4.0 nie są już obsługiwane. |
Znane problemy i typowe scenariusze pomocy technicznej
Poniżej przedstawiono typowe problemy występujące podczas procesu tworzenia Windows Server 2012. Wszystkie te problemy są "zgodnie z projektem" i mają prawidłowe obejście lub bardziej odpowiednią technikę, aby ich uniknąć. Wiele z tych zachowań jest identycznych w systemie Windows Server 2008 R2 i starszych systemach operacyjnych, ale ponowne zapisywanie wdrożenia usług AD DS zwiększa wrażliwość na problemy.
Problem | Obniżenie poziomu kontrolera domeny powoduje, że system DNS jest uruchomiony bez stref |
---|---|
Symptomy | Serwer nadal odpowiada na żądania DNS, ale nie ma informacji o strefie |
Rozpoznawanie i uwagi | Podczas usuwania roli usług AD DS usuń również rolę serwera DNS lub ustaw usługę serwera DNS na wyłączoną. Pamiętaj, aby wskazać klienta DNS na inny serwer niż on sam. Jeśli używasz Windows PowerShell, uruchom następujące polecenie po obniżce poziomu serwera: Kod- lub Kod- |
Problem | Podwyższanie poziomu Windows Server 2012 do istniejącej domeny z jedną etykietą nie powoduje skonfigurowania elementu updatetopleveldomain=1 ani parametru allowsinglelabeldnsdomain=1 |
---|---|
Symptomy | Rejestracja rekordu dynamicznego DNS nie występuje |
Rozpoznawanie i uwagi | Ustaw te wartości przy użyciu zasad grupy Netlogon i DNS. Firma Microsoft zaczęła blokować tworzenie domeny z jedną etykietą w systemie Windows Server 2008; Za pomocą narzędzia ADMT lub narzędzia do zmiany nazwy domeny można zmienić na zatwierdzoną strukturę domeny DNS. |
Problem | Obniżenie poziomu ostatniego kontrolera domeny w domenie kończy się niepowodzeniem, jeśli istnieją wstępnie utworzone, niezajęte konta kontrolera RODC |
---|---|
Symptomy | Degradacja kończy się niepowodzeniem z komunikatem:
Active Directory Domain Services nie można odnaleźć innego kontrolera domena usługi Active Directory w celu przesłania pozostałych danych w partycji katalogu CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com. "Format określonej nazwy domeny jest nieprawidłowy." |
Rozpoznawanie i uwagi | Usuń wszystkie pozostałe wstępnie utworzone konta kontrolera RODC przed obniżeniem poziomu domeny przy użyciu narzędzia Dsa.msc lub Ntdsutil.exe oczyszczania metadanych. |
Problem | Automatyczne przygotowywanie lasu i domeny nie uruchamia protokołu GPPREP |
---|---|
Symptomy | Funkcje planowania między domenami dla zasady grupy, tryb planowania wynikowego zestawu zasad (RSOP), wymagają zaktualizowanych uprawnień systemu plików i usługi Active Directory dla istniejącego obiektu zasad grupy. Bez zasad grupy nie można używać planowania RSOP w różnych domenach. |
Rozpoznawanie i uwagi | Uruchom adprep.exe /gpprep ręcznie dla wszystkich domen, które nie zostały wcześniej przygotowane dla systemu Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2. Administratorzy powinni uruchamiać narzędzie GPPrep tylko raz w historii domeny, a nie przy każdym uaktualnieniu. Nie jest on uruchamiany przez automatyczne narzędzie adprep, ponieważ jeśli masz już ustawione odpowiednie uprawnienia niestandardowe, spowoduje to ponowne replikowanie całej zawartości SYSVOL na wszystkich kontrolerach domeny. |
Problem | Nie można zweryfikować instalacji z nośnika w przypadku wskazywania ścieżki UNC |
---|---|
Symptomy | Zwrócony błąd: Kod — nie można zweryfikować ścieżki nośnika. Wyjątek wywołujący argument "GetDatabaseInfo" z argumentami "2". Folder jest nieprawidłowy. |
Rozpoznawanie i uwagi | Pliki IFM należy przechowywać na dysku lokalnym, a nie w zdalnej ścieżce UNC. Ten zamierzony blok uniemożliwia częściowe podwyższenie poziomu serwera z powodu przerwy w działaniu sieci. |
Problem | Ostrzeżenie delegowania DNS wyświetlane dwa razy podczas podwyższania poziomu kontrolera domeny |
---|---|
Symptomy | Ostrzeżenie zwrócone dwa razy podczas promowania przy użyciu Windows PowerShell ADDSDeployment: Kod- |
Rozpoznawanie i uwagi | Ignoruj. Funkcja ADDSDeployment Windows PowerShell wyświetla ostrzeżenie najpierw podczas sprawdzania wymagań wstępnych, a następnie ponownie podczas konfiguracji kontrolera domeny. Jeśli nie chcesz konfigurować delegowania DNS, użyj argumentu: Kod- Nie pomijaj sprawdzania wymagań wstępnych, aby pominąć ten komunikat. |
Problem | Określanie nazwy UPN lub poświadczeń innych niż domeny podczas konfiguracji zwraca błędy wprowadzające w błąd |
---|---|
Symptomy | Menedżer serwera zwraca błąd: Kod — wyjątek wywołujący "DNSOption" z argumentami "6" Funkcja ADDSDeployment Windows PowerShell zwraca błąd: Kod- |
Rozpoznawanie i uwagi | Upewnij się, że podajesz prawidłowe poświadczenia domeny w postaci <domeny>\<użytkownika>. |
Problem | Usuwanie roli DirectoryServices-DomainController przy użyciu Dism.exe prowadzi do nietowarzyskiego serwera |
---|---|
Symptomy | Jeśli używasz Dism.exe do usunięcia roli usług AD DS przed bezproblemowym obniżeniem poziomu kontrolera domeny, serwer nie uruchamia się normalnie i występuje błąd: Kod — stan: 0x000000000 |
Rozpoznawanie i uwagi | Rozruch w trybie naprawy usług katalogowych przy użyciu klawisza Shift+F8. Dodaj rolę usług AD DS z powrotem, a następnie wymuszone obniżenie poziomu kontrolera domeny. Alternatywnie przywróć stan systemu z kopii zapasowej. Nie używaj Dism.exe do usuwania roli usług AD DS; narzędzie nie ma wiedzy na temat kontrolerów domeny. |
Problem | Instalacja nowego lasu kończy się niepowodzeniem podczas ustawiania trybu lasu na Win2012 |
---|---|
Symptomy | Podwyższenie poziomu przy użyciu Windows PowerShell ADDSDeployment zwraca błąd: Kod-
|
Rozpoznawanie i uwagi | Nie określaj trybu funkcjonalnego lasu Win2012 bez określania trybu funkcjonalnego domeny Win2012. Oto przykład, który będzie działał bez błędów: Kod- |
Problem | Wybranie pozycji Weryfikuj w obszarze Wyboru Instalacji z nośnika wydaje się nie robić nic |
---|---|
Symptomy | Po określeniu ścieżki do folderu IFM wybranie przycisku Weryfikuj nigdy nie zwraca komunikatu lub wydaje się, że coś robi. |
Rozpoznawanie i uwagi | Przycisk Weryfikuj zwraca błędy tylko w przypadku wystąpienia problemów. W przeciwnym razie wybranie przycisku Dalej jest możliwe, jeśli podano ścieżkę IFM. Musisz wybrać pozycję Sprawdź , aby kontynuować, jeśli wybrano pozycję IFM. |
Problem | Obniżenie poziomu Menedżer serwera nie przekazuje opinii do momentu ukończenia. |
---|---|
Symptomy | W przypadku używania Menedżer serwera do usuwania roli usług AD DS i obniżania poziomu kontrolera domeny nie są przekazywane żadne bieżące opinie, dopóki degradacja nie zakończy się lub nie powiedzie się. |
Rozpoznawanie i uwagi | Jest to ograniczenie Menedżer serwera. Aby uzyskać opinię, użyj polecenia cmdlet ADDSDeployment Windows PowerShell: Kod- |
Problem | Instalacja z funkcji Media Verify nie wykrywa nośnika RODC udostępnionego dla zapisywalnego kontrolera domeny lub na odwrót. |
---|---|
Symptomy | Podczas promowania nowego kontrolera domeny przy użyciu modułu IFM i dostarczania nieprawidłowego nośnika do usługi IFM — na przykład nośnika RODC dla zapisywalnego kontrolera domeny lub nośnika RWDC dla kontrolera RODC — przycisk Weryfikacja nie zwraca błędu. Później podwyższenie poziomu nie powiedzie się z powodu błędu: Kod — wystąpił błąd podczas próby skonfigurowania tej maszyny jako kontrolera domeny. |
Rozpoznawanie i uwagi | Weryfikacja sprawdza tylko ogólną integralność modułu IFM. Nie podaj niewłaściwego typu IFM serwerowi. Uruchom ponownie serwer przed ponowną próbą podwyższenia poziomu przy użyciu odpowiedniego nośnika. |
Problem | Promowanie kontrolera RODC na wstępnie utworzonym koncie komputera kończy się niepowodzeniem |
---|---|
Symptomy | W przypadku korzystania z programu ADDSDeployment Windows PowerShell w celu promowania nowego kontrolera RODC z przygotowanym kontem komputera występuje błąd: Kod- |
Rozpoznawanie i uwagi | Nie podaj parametrów już zdefiniowanych na wstępnie utworzonym koncie kontrolera RODC. Obejmują one: Kod- |
Problem | Usunięcie zaznaczenia/wybranie opcji "Automatycznie uruchom każdy serwer docelowy automatycznie, jeśli jest to wymagane" nie robi nic |
---|---|
Symptomy | Jeśli wybierzesz (lub nie wybierzesz) opcję Menedżer serwera Automatycznie uruchom ponownie każdy serwer docelowy, jeśli jest to wymagane podczas obniżania poziomu kontrolera domeny poprzez usunięcie roli, serwer zawsze uruchamia się ponownie, niezależnie od wyboru. |
Rozpoznawanie i uwagi | Jest to zamierzone. Proces obniżania poziomu uruchamia serwer ponownie niezależnie od tego ustawienia. |
Problem | Dcpromo.log pokazuje wartość "[błąd] ustawianie zabezpieczeń plików serwera nie powiodło się z wartością 2" |
---|---|
Symptomy | Degradacja kontrolera domeny kończy się bez problemów, ale badanie dziennika dcpromo pokazuje błąd: Kod- |
Rozpoznawanie i uwagi | Ignoruj, błąd jest oczekiwany i kosmetyczny. |
Problem | Sprawdzanie wymagań wstępnych adprep kończy się niepowodzeniem z powodu błędu "Nie można wykonać sprawdzania konfliktu schematu programu Exchange" |
---|---|
Symptomy | Podczas próby podwyższenia poziomu kontrolera domeny Windows Server 2012 do istniejącego lasu systemu Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 sprawdzanie wymagań wstępnych kończy się niepowodzeniem z powodu błędu: Kod — weryfikacja wymagań wstępnych dotyczących przygotowywania usługi AD nie powiodła się. Nie można wykonać sprawdzania konfliktu schematu programu Exchange pod kątem nazwy> domeny (<wyjątek: serwer RPC jest niedostępny) W adprep.log jest wyświetlany błąd: Kod- za pośrednictwem instrumentacji zarządzania windows (WMI). |
Rozpoznawanie i uwagi | Nowy kontroler domeny nie może uzyskać dostępu do usługi WMI za pośrednictwem protokołów DCOM/RPC względem istniejących kontrolerów domeny. Do tej pory były trzy przyczyny tego: — Reguła zapory blokuje dostęp do istniejących kontrolerów domeny. |
Problem | Tworzenie nowego lasu usług AD DS zawsze wyświetla ostrzeżenie DNS |
---|---|
Symptomy | Podczas tworzenia nowego lasu usług AD DS i tworzenia strefy DNS na nowym kontrolerze domeny zawsze jest wyświetlany komunikat ostrzegawczy: Kod — wykryto błąd w konfiguracji DNS. |
Rozpoznawanie i uwagi | Ignoruj. To ostrzeżenie jest zamierzone na pierwszym kontrolerze domeny w domenie głównej nowego lasu, w przypadku, gdy zamierzasz wskazać istniejący serwer DNS i strefę. |
Problem |
-whatif Windows PowerShell argument zwraca nieprawidłowe informacje o serwerze DNS |
---|---|
Symptomy | Jeśli używasz argumentu -whatif podczas konfigurowania kontrolera domeny z niejawnym lub jawnym -installdns:$true elementem , wynikowe dane wyjściowe pokazują:Kod- |
Rozpoznawanie i uwagi | Ignoruj. System DNS jest poprawnie zainstalowany i skonfigurowany. |
Problem | Po podwyższeniu poziomu logowanie kończy się niepowodzeniem z komunikatem "Za mało miejsca do przetworzenia tego polecenia" |
---|---|
Symptomy | Po podwyższeniu poziomu nowego kontrolera domeny, a następnie wylogowaniu się i próbie interaktywnego zalogowania się, zostanie wyświetlony błąd: Kod — za mało dostępnego miejsca do przetworzenia tego polecenia |
Rozpoznawanie i uwagi | Kontroler domeny nie został uruchomiony ponownie po podwyższeniu poziomu z powodu błędu lub dlatego, że określono argument -norebootoncompletion ADDSDeployment Windows PowerShell . Uruchom ponownie kontroler domeny. |
Problem | Przycisk Dalej nie jest dostępny na stronie Opcje kontrolera domeny |
---|---|
Symptomy | Mimo że ustawiono hasło, przycisk Dalej na stronie Opcje kontrolera domeny w Menedżer serwera nie jest dostępny. W menu Nazwa witryny nie ma żadnej witryny. |
Rozpoznawanie i uwagi | Istnieje wiele lokacji usług AD DS, a co najmniej jedna z nich nie ma podsieci; ten przyszły kontroler domeny należy do jednej z tych podsieci. Należy ręcznie wybrać podsieć z menu rozwijanego Nazwa witryny. Należy również przejrzeć wszystkie witryny usługi AD przy użyciu witryny DSSITE. MsC lub użyj następującego polecenia Windows PowerShell, aby znaleźć wszystkie witryny, w których brakuje podsieci: Kod — "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | format-table name" |
Problem | Podwyższanie poziomu lub degradacja kończy się niepowodzeniem z komunikatem "nie można uruchomić usługi" |
---|---|
Symptomy | W przypadku próby podwyższenia poziomu, degradacji lub klonowania kontrolera domeny wystąpi błąd: Kod — nie można uruchomić usługi, ponieważ jest wyłączona lub nie ma skojarzonych z nią włączonych urządzeń" (0x80070422) Błąd może być interaktywny, zdarzenie lub zapisywany w dzienniku, takim jak dcpromoui.log lub dcpromo.log. |
Rozpoznawanie i uwagi | Usługa DS Role Server (DsRoleSvc) jest wyłączona. Domyślnie ta usługa jest instalowana podczas instalacji roli usług AD DS i ustawiona na typ Uruchamianie ręczne. Nie wyłączaj tej usługi. Ustaw ją z powrotem na wartość Ręczne i zezwalaj operacjom roli DS na uruchamianie i zatrzymywanie ich na żądanie. Takie działanie jest celowe. |
Problem | Menedżer serwera nadal ostrzega, że musisz promować kontroler domeny |
---|---|
Symptomy | Jeśli podwyższysz poziom kontrolera domeny przy użyciu dcpromo.exe /unattend przestarzałego lub uaktualnionego istniejącego kontrolera domeny systemu Windows Server 2008 R2 w celu Windows Server 2012, Menedżer serwera nadal będzie wyświetlane zadanie konfiguracji po wdrożeniu Podwyższanie poziomu tego serwera do kontrolera domeny. |
Rozpoznawanie i uwagi | wybierz link ostrzegawczy po wdrożeniu, a komunikat zniknie na dobre. To zachowanie jest kosmetyczne i oczekiwane. |
Problem | Menedżer serwera brak instalacji skryptu wdrożenia roli |
---|---|
Symptomy | Jeśli podwyższysz poziom kontrolera domeny przy użyciu Menedżer serwera i zapiszesz skrypt wdrożenia Windows PowerShell, nie będzie on zawierał polecenia cmdlet instalacji roli i argumentów (install-windowsfeature -name ad-domain-services -includemanagementtools ). Bez roli kontrolera domeny nie można skonfigurować. |
Rozpoznawanie i uwagi | Ręcznie dodaj to polecenie cmdlet i argumenty do wszystkich skryptów. To zachowanie jest oczekiwane i zgodnie z projektem. |
Problem | Menedżer serwera skrypt wdrożenia nie ma nazwy PS1 |
---|---|
Symptomy | Jeśli podwyższysz poziom kontrolera domeny przy użyciu Menedżer serwera i zapiszesz skrypt wdrożenia Windows PowerShell, plik zostanie nazwany losową nazwą tymczasową, a nie jako plik PS1. |
Rozpoznawanie i uwagi | Ręcznie zmień nazwę pliku. To zachowanie jest oczekiwane i zgodnie z projektem. |
Problem | Dcpromo /unattend umożliwia nieobsługiwany poziom funkcjonalności |
---|---|
Symptomy | W przypadku podwyższania poziomu kontrolera domeny przy użyciu dcpromo /unattend następującego przykładowego pliku odpowiedzi:Kod- [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Tak AutoConfigDNS=Tak RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=Nie DomainLevel=0 ForestLevel=0 Podwyższanie poziomu kończy się niepowodzeniem z powodu następujących błędów w dcpromoui.log: Kod — dcpromoui EA4.5B8 0089 13:31:50.783 Wprowadź CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 Wartość domainLevel wynosi 0 dcpromoui EA4.5B8 008B 13:31:50.783 Kod zakończenia to 77 dcpromoui EA4.5B8 008C 13:31:50.783 Określony argument jest nieprawidłowy. dcpromoui EA4.5B8 008D 13:31:50.783 dziennik zamknięcia dcpromoui EA4.5B8 0032 13:31:50.830 Kod zakończenia to 77 Poziom 0 to windows 2000, który nie jest obsługiwany w Windows Server 2012. |
Rozpoznawanie i uwagi | Nie używaj przestarzałych dcpromo /unattend elementów i zrozum, że umożliwia ono określenie nieprawidłowych ustawień, które później kończą się niepowodzeniem. To zachowanie jest oczekiwane i zgodnie z projektem. |
Problem | Podwyższanie poziomu "zawiesza się" podczas tworzenia obiektu ustawień NTDS, nigdy nie kończy się |
---|---|
Symptomy | Jeśli podwyższysz poziom kontrolera domeny repliki lub kontrolera RODC, podwyższenie poziomu osiągnie wartość "tworzenie obiektu ustawień NTDS" i nigdy nie zostanie ukończone. Dzienniki również przestają być aktualizowane. |
Rozpoznawanie i uwagi | Jest to znany problem spowodowany podawaniem poświadczeń wbudowanego konta administratora lokalnego z pasującym hasłem do wbudowanego konta administratora domeny. Powoduje to awarię w podstawowym aparacie konfiguracji, który nie powoduje błędu, ale zamiast tego czeka w nieskończoność (quasi-loop). Jest to oczekiwane - choć niepożądane - zachowanie. Aby naprawić serwer: 1. Uruchom go ponownie. 1. W usłudze AD usuń konto komputera członkowskiego tego serwera (nie będzie ono jeszcze kontem kontrolera domeny) 2. Na tym serwerze siłą odłącz go od domeny 3. Na tym serwerze usuń rolę usług AD DS. 4. Ponowne uruchomienie 5. Odczytano rolę usług AD DS i ponownie rozpisano podwyższenie poziomu, zapewniając, że zawsze udostępniasz <poświadczenia sformatowane przez domenę>\<administratora> do podwyższenia poziomu kontrolera domeny, a nie tylko wbudowane konto administratora lokalnego. |