Solucionar problemas de implantação do controlador de domínio

  • Artigo

Este artigo aborda a metodologia detalhada sobre como solucionar problemas de configuração e implantação do controlador de domínio.

Aplica-se a: Windows Server 2022, Windows Server 2019 Windows Server 2016

Experimente nosso Agente Virtual – ele pode ajudá-lo a identificar e corrigir rapidamente problemas comuns de replicação do Active Directory.

Introdução à solução de problemas

Diagrama que mostra o fluxo de trabalho para solucionar problemas de implantação do controlador de domínio.

Logs internos para solução de problemas

Os logs internos são o instrumento mais importante para solucionar problemas com promoção e rebaixamento do controlador de domínio. Todos esses logs estão habilitados e configurados para verbosidade máxima por padrão.

Fase Log
operações Windows PowerShell Gerenciador do Servidor ou ADDSDeployment - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Instalação/promoção do controlador de domínio - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- \Sistema de logs Visualizador de Eventos Windows\

- \Aplicativo Visualizador de Eventos Windows Logs\

- \ Visualizador de Eventos Applications and Services Logs\Directory Service

- Serviço de\Replicação de Arquivos Visualizador de Eventos Applications and Services Logs\

- \Replicação do DFS Visualizador de Eventos Applications and Services\
Atualização de floresta ou domínio - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
Gerenciador do Servidor mecanismo de implantação do WINDOWS POWERSHELL ADDSDeployment - \ Visualizador de Eventos Applications and Services Logs\Microsoft\Windows\DirectoryServices-Deployment\Operational
Serviço do Windows - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Ferramentas e comandos para solucionar problemas da configuração do controlador de domínio

Para solucionar problemas não explicados pelos logs, use as seguintes ferramentas como ponto de partida:

  • Dcdiag.exe
  • Repadmin.exe
  • AutoRuns.exe, Gerenciador de Tarefas e MSInfo32.exe
  • Monitor de Rede 3.4 (ou uma ferramenta de análise e captura de rede de terceiros)

Metodologia geral para solucionar problemas da configuração do controlador de domínio

  1. Um problema de sintaxe causou o erro?

    1. Você errou o tipo ou esqueceu de fornecer um argumento ao ADDSDeployment Windows PowerShell? Por exemplo, se usar ADDDeployment Windows PowerShell, você esqueceu de adicionar o argumento -domainname necessário com um nome válido?
    2. Examine a saída do console Windows PowerShell cuidadosamente para ver exatamente por que ele não está conseguindo analisar a linha de comando fornecida.

  2. O erro é uma falha de pré-requisito?

    1. Muitos erros que costumavam aparecer como resultados fatais da promoção agora são evitados pelo verificador de pré-requisitos.
    2. Examine cuidadosamente o texto dos erros de pré-requisito, eles fornecem as diretrizes necessárias para resolve a maioria dos problemas, pois são cenários controlados.

  3. O erro na promoção e, portanto, fatal?

    1. Examine os resultados com cuidado: muitos erros têm explicações, como senhas ruins, resolução de nomes de rede ou controladores de domínio offline críticos.

    2. Examine o Dcpromoui.log e dcpromo.log pelos erros mostrados na saída e, em seguida, trabalhe para trás para ver as indicações de por que a falha ocorreu.

      1. Sempre compare com um log de exemplo de trabalho
      2. Examine os logs do ADPrep para obter erros somente se os resultados indicarem um problema ao estender o esquema ou preparar a floresta ou o domínio.
      3. Examine o log de eventos DirectoryServices-Deployment para obter erros somente se o Dcpromoui.log não tiver detalhes ou terminar arbitrariamente devido a uma exceção não tratada no processo de configuração.

    3. Examine os logs de eventos do Directory Services, System e Application para obter outros indicadores de um problema de configuração. Geralmente, a promoção do controlador de domínio é apenas um sintoma de outra configuração incorreta de rede que afetaria todos os sistemas distribuídos.

    4. Use dcdiag.exe e repadmin.exe para validar a integridade geral da floresta e indicar configurações incorretas sutis que podem impedir uma promoção adicional do controlador de domínio.

    5. Use AutoRuns.exe, Gerenciador de Tarefas ou MSinfo32.exe para examinar o computador para softwares de terceiros que possam estar interferindo.

      Remova software de terceiros (não desabilite o software; isso não impede o carregamento de drivers).

    6. Instale o NetMon 3.4 no computador que não promove bem o controlador de domínio do parceiro de replicação e analise o processo de promoção com capturas de rede de dois lados.

      1. Compare isso com seu ambiente de laboratório de trabalho para entender como é uma promoção saudável e onde está falhando.
      2. Neste ponto, os erros provavelmente são com os objetos florestais, alterações de segurança não desajustada ou a rede, e esse novo controlador de domínio é vítima de configurações incorretas em DNS, firewalls, software de proteção contra intrusão de host ou outros fatores externos.

Solução de problemas de eventos e mensagens de erro

A promoção e o rebaixamento do controlador de domínio sempre retornam um código no final da operação e, ao contrário da maioria dos programas, não retornam zero para obter sucesso. Para ver o código no final de uma configuração do controlador de domínio, você tem várias opções:

  1. Ao usar Gerenciador do Servidor, examine os resultados da promoção nos 10 segundos anteriores à reinicialização automática.

  2. Ao usar o WINDOWS POWERSHELL ADDSDeployment, examine os resultados da promoção nos 10 segundos anteriores à reinicialização automática. Como alternativa, opte por não reiniciar automaticamente na conclusão. Você deve adicionar o format-list pipeline para facilitar a leitura da saída. Por exemplo:

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Os erros na validação e verificação do pré-requisito não continuam em uma reinicialização, portanto, são visíveis em todos os casos. Por exemplo:

    Captura de tela dos erros na validação e verificação do pré-requisito.

  3. Em qualquer cenário, examine o dcpromo.log e dcpromoui.log.

    Observação

    Alguns dos erros listados abaixo não são mais possíveis devido a alterações de configuração do sistema operacional e do controlador de domínio em sistemas operacionais posteriores. Os novos códigos de Windows PowerShell ADDSDeployment também impedem determinados erros, mas dcpromo.exe /unattend o não ocorre; essa é outra razão convincente para alternar toda a automação atual do DCPromo preterido para ADDSDeployment Windows PowerShell.

Códigos de sucesso de promoção e rebaixamento

Código de erro Explicação Observação
1 Saída, êxito Você ainda deve reiniciar, isso apenas observa que o sinalizador de reinicialização automática foi removido.
2 Saída, êxito, necessidade de reinicialização
3 Saída, êxito, com uma falha não crítica Normalmente visto ao retornar o aviso de Delegação DNS. Se não estiver configurando a delegação DNS, use:

-creatednsdelegation:$false.
4 Exit, success, with a noncritical failure, need to reboot Normalmente visto ao retornar o aviso de Delegação DNS. Se não estiver configurando a delegação DNS, use:

-creatednsdelegation:$false.

Códigos de falha de promoção e rebaixamento

Promoção e rebaixamento retornam os seguintes códigos de mensagem de falha. Também é provável que haja uma mensagem de erro estendida; sempre leia o erro inteiro com cuidado, não apenas a parte numérica.

Código de erro Explicação Resolução sugerida
11 A promoção do controlador de domínio já está em execução Não execute mais de uma instância de promoção do controlador de domínio ao mesmo tempo para o mesmo computador de destino.
12 O usuário deve ser administrador Faça logon como membro do grupo administradores internos e verifique se você está se elevando com o UAC.
13 A Autoridade de Certificação está instalada Você não pode rebaixar esse controlador de domínio, pois ele também é uma Autoridade de Certificação. Não remova a AC antes de fazer o inventário cuidadosamente do uso. Se estiver emitindo certificados, a remoção da função causará uma interrupção. A execução de CAs em controladores de domínio é desencorajada.
14 Em execução no modo de inicialização segura Inicialize o servidor no modo normal.
15 A alteração de função está em andamento ou precisa ser reinicializada Você deve reiniciar o servidor (devido a alterações de configuração anteriores) antes da promoção.
16 Execução na plataforma errada Não é provável que esse erro seja obtido.
17 Não existem unidades NTFS 5 Esse erro não é possível em Windows Server 2012, o que requer que pelo menos o %systemdrive% seja formatado com o NTFS.
18 Não há espaço suficiente no windir Libere espaço no volume %systemdrive% usando cleanmgr.exe.
19 Alteração de nome pendente, precisa ser reinicializada Reinicialize o servidor.
20 O nome do computador é sintaxe inválida Renomeie o computador com um nome válido.
21 Esse controlador de domínio contém funções FSMO, é um GC e/ou é um servidor DNS Adicione -demoteoperationmasterrole ao usar -forceremoval.
22 O TCP/IP precisa ser instalado ou não está funcionando Verifique se o computador tem TCP/IP configurado, vinculado e funcionando corretamente.
23 O cliente DNS precisa ser configurado primeiro Defina um servidor DNS primário ao adicionar um novo controlador de domínio a um domínio.
24 As credenciais fornecidas são elementos inválidos ou ausentes necessários Verifique se o nome de usuário e a senha estão corretos.
25 O controlador de domínio do domínio especificado não pôde ser localizado Validar configurações de cliente DNS, regras de firewall.
26 A lista de domínios não pôde ser lida da floresta Validar configurações de cliente DNS, funcionalidade LDAP, regras de firewall.
27 Nome de domínio ausente Especifique um domínio ao promover ou rebaixar.
28 Nome de domínio ruim Escolha um nome de domínio DNS diferente e válido ao promover.
29 O domínio pai não existe Verifique o domínio pai especificado ao criar um domínio filho ou um domínio de árvore.
30 Domínio não na floresta Verifique o nome de domínio fornecido.
31 O Domínio Filho já existe Especifique um nome de domínio diferente.
32 Nome de domínio NetBIOS ruim Especifique um nome de domínio NetBIOS válido.
33 O caminho para os arquivos IFM é inválido Valide seu caminho para a pasta Instalar da Mídia.
34 O banco de dados IFM é ruim Use o correto Install From Media para este sistema operacional e função (mesma versão do sistema operacional, mesmo tipo de controlador de domínio – RODC versus RWDC).
35 SYSKEY ausente A Instalação da Mídia é criptografada e você deve fornecer um SYSKEY válido para usá-lo.
37 O caminho para o Banco de Dados NTDS ou seus logs é inválido Altere o caminho do Banco de Dados e logs para um volume NTFS fixo, não uma unidade mapeada ou um caminho UNC.
38 O volume não tem espaço suficiente para o banco de dados ou logs do NTDS Libere espaço usando cleanmgr.exe, adicione mais espaço em disco, desmarque manualmente o espaço movendo dados desnecessários para outro lugar.
39 O caminho para SYSVOL é inválido Altere o caminho da pasta SYSVOL para um volume NTFS fixo, não uma unidade mapeada ou caminho UNC.
40 Nome do site inválido Forneça um nome de site que exista.
41 Precisa especificar uma senha para o modo de segurança Forneça uma senha para a conta DSRM, ela não pode ficar em branco, independentemente de como a política de senha está configurada.
42 A senha do modo de segurança não atende aos critérios (somente promoção) Forneça uma senha para a conta DSRM que atenda às regras configuradas da política de senha.
43 Administração senha não atende aos critérios (somente rebaixamento) Forneça uma senha para a conta de administrador local que atenda às regras configuradas da política de senha.
44 O nome especificado para a floresta é inválido Especifique um nome de domínio DNS raiz da floresta válido.
45 Uma floresta com o nome especificado já existe Escolha um nome de domínio DNS raiz de floresta diferente.
46 O nome especificado para a árvore é inválido Especifique um nome de domínio DNS de árvore válido.
47 Uma árvore com o nome especificado já existe Escolha um nome de domínio DNS de árvore diferente.
48 O nome da árvore não se encaixa na estrutura da floresta Escolha um nome de domínio DNS de árvore diferente.
49 O domínio especificado não existe Verifique seu nome de domínio tipado.
50 Durante a demote, o último controlador de domínio foi detectado mesmo que não seja, ou o último controlador de domínio foi especificado, mas não é Não especifique o Último Controlador de Domínio no Domínio (-lastdomaincontrollerindomain) a menos que seja verdadeiro. Use -ignorelastdcindomainmismatch para substituir se este for realmente o último controlador de domínio e houver metadados do controlador de domínio fantasma.
51 As partições de aplicativo existem neste controlador de domínio Especifique para Remover Partições de Aplicativo (-removeapplicationpartitions).
52 O argumento de linha de comando necessário está ausente (ou seja, um arquivo de resposta deve ser especificado na linha de comando) Visto apenas com dcpromo /unattend, que é preterido. Consulte documentação mais antiga.
53 Falha na promoção/rebaixamento, o computador deve ser reiniciado para limpo para cima Examine o erro e os logs estendidos.
54 Falha na promoção/rebaixamento Examine o erro e os logs estendidos.
55 A promoção/rebaixamento foi cancelada pelo usuário Examine o erro e os logs estendidos.
56 A promoção/rebaixamento foi cancelada pelo usuário, o computador deve ser reiniciado para limpo para cima Examine o erro e os logs estendidos.
58 Um nome de site deve ser especificado durante a promoção do RODC Você deve especificar um site para um RODC, ele não detectará automaticamente um como um RWDC.
59 Durante a demote, esse controlador de domínio é o último servidor DNS para uma de suas zonas Especifique que este é o Último Servidor DNS no Domínio ou use -ignorelastdnsserverfordomain.
60 Um controlador de domínio que executa o Windows Server 2008 ou posterior deve estar presente no domínio para promover o RODC Promova pelo menos um controlador de domínio do Windows Server 2008 ou posterior.
61 Você não pode instalar Active Directory Domain Services com o DNS em um domínio existente que ainda não hospeda o DNS Não é possível obter esse erro.
62 O arquivo de resposta não tem uma seção [DCInstall] Visto apenas com dcpromo /unattend, que é preterido. Consulte documentação mais antiga.
63 O nível funcional da floresta está abaixo do windows server 2003 Eleve o nível funcional da floresta para pelo menos o Windows Server 2003 Native. O Windows 2000 e o Windows NT 4.0 não têm mais suporte para sistemas operacionais.
64 Falha na promo porque falha na detecção binária de componentes Instale a função AD DS.
65 Falha na promo porque falha na instalação binária do componente Instale a função AD DS.
66 Falha na promo porque falha na detecção do sistema operacional Examine o erro e os logs estendidos; o servidor não está conseguindo retornar sua versão do sistema operacional. É provável que o computador precise ser reinstalado, pois sua integridade geral é altamente suspeita.
68 O parceiro de replicação é inválido Use repadmin.exe ou o Get-ADReplication\* Windows PowerShell para validar a integridade do controlador de domínio do parceiro.
69 A porta necessária já está em uso por algum outro aplicativo Use netstat.exe -anob para localizar processos atribuídos incorretamente a portas reservadas do AD DS.
70 O controlador de domínio raiz da floresta deve ser um GC Visto apenas com dcpromo /unattend, que é preterido. Consulte documentação mais antiga.
71 O servidor DNS já está instalado Não especifique para instalar o DNS (-installDNS) se o serviço DNS já estiver instalado.
72 O computador está executando os Serviços de Área de Trabalho Remota no modo não administrador Você não pode promover esse controlador de domínio, pois ele também é um servidor RDS configurado para mais de dois usuários administradores. Não remova o RDS antes de inventariar cuidadosamente o uso dele. Se ele estiver sendo usado por aplicativos ou usuários finais, a remoção causará uma interrupção.
73 O nível funcional da floresta especificado é inválido. Especifique um nível funcional de floresta válido.
74 O nível funcional de domínio especificado é inválido. Especifique um nível funcional de domínio válido.
75 Não é possível determinar a política de replicação de senha padrão. Valide se a política de replicação de senha do RODC existe e está acessível.
76 Grupos de segurança replicados/não replicados especificados são inválidos Valide se você digitou em contas de usuário e domínio válidas ao especificar uma política de replicação de senha.
77 O argumento especificado é inválido Examine o erro e os logs estendidos.
78 Falha ao examinar a Floresta do Active Directory Examine o erro e os logs estendidos.
79 O RODC não pode ser promovido porque o rodcprep não foi executado Use Windows Server 2012 para preparar a floresta ou usar adprep.exe /rodcprep.
80 Domainprep não foi executado Use Windows Server 2012 para preparar o domínio ou usar adprep.exe /domainprep.
81 O Forestprep não foi executado Use Windows Server 2012 para preparar a floresta ou usar adprep.exe /forestprep.
82 Incompatibilidade de esquema florestal Use Windows Server 2012 para preparar a floresta ou usar adprep.exe /forestprep.
83 SKU sem suporte Não é provável que esse erro seja obtido.
84 Não é possível detectar uma conta de controlador de domínio Valide se os controladores de domínio existentes têm o conjunto de atributos de controle de conta de usuário correto.
85 Não é possível selecionar uma conta de controlador de domínio para o estágio 2 Retornado se você especificar "Usar conta existente", mas nenhuma conta encontrada ou houver um erro durante a pesquisa da conta. Verifique se você forneceu a conta de etapa do RODC correta.
86 Precisa executar a promoção do estágio 2 Retornado se você promover um controlador de domínio adicional, mas existir uma conta existente e "Permitir Reinstalar" não foi especificado.
87 Existe uma conta de controlador de domínio do tipo conflitante Renomeie o computador antes de promover, se não estiver tentando anexar a um controlador de domínio desocupado. Você deve anexar à conta de controlador de domínio desocupada usando -useexistingaccount e o argumento correto somente leitura ou gravável, dependendo do tipo de conta.
88 O administrador do servidor especificado não é válido Você especificou uma conta inválida para a delegação de administradores do RODC. Verifique se a conta especificada é um usuário ou grupo válido.
89 RID master para o domínio especificado está offline. Use netdom.exe query fsmo para detectar o master RID. Coloque-o online e torne-o acessível ao controlador de domínio que você está promovendo.
90 O master de nomenclatura de domínio está offline. Use netdom.exe query fsmo para detectar o master de nomenclatura de domínio. Coloque-o online e torne-o acessível ao controlador de domínio que você está promovendo.
91 Falha ao detectar se o processo é wow64 Não é mais possível obter esse erro, o sistema operacional é de 64 bits.
92 O processo Wow64 não tem suporte Não é mais possível obter esse erro, o sistema operacional é de 64 bits.
93 O serviço do controlador de domínio não está em execução para rebaixamento não forçado Inicie o serviço AD DS.
94 A senha do administrador local não atende aos requisitos: em branco ou não necessário Forneça uma senha nãoblank e verifique se a política de senha local requer uma senha.
95 Não é possível rebaixar o último controlador de domínio do Windows Server 2008 ou posterior no domínio onde existem RODCs ao vivo Primeiro, você deve rebaixar todos os RODCs antes de poder rebaixar todos os controladores de domínio do Windows Server 2008 ou posteriores.
96 Não é possível desinstalar binários DS Visto apenas com dcpromo /unattend, que é preterido. Consulte documentação mais antiga.
97 Versão de nível funcional de floresta maior que a do sistema operacional de domínio filho Forneça um domínio filho funcional igual ou superior ao nível funcional da floresta.
98 A instalação/desinstalação binária do componente está em andamento. Visto apenas com dcpromo /unattend, que é preterido. Consulte documentação mais antiga.
99 O nível funcional da floresta é muito baixo (o erro é Windows Server 2012 somente) Eleve o nível funcional da floresta para pelo menos o Windows Server 2003 nativo. O Windows 2000 e o Windows NT 4.0 não têm mais suporte para sistemas operacionais.
100 O nível funcional do domínio é muito baixo (o erro é Windows Server 2012 somente) Eleve o nível funcional do domínio para pelo menos o Windows Server 2003 nativo. O Windows 2000 e o Windows NT 4.0 não têm mais suporte para sistemas operacionais.

Problemas conhecidos e cenários de suporte comuns

Veja a seguir problemas comuns vistos durante o processo de desenvolvimento Windows Server 2012. Todos esses problemas são "por design" e têm uma solução alternativa válida ou técnica mais apropriada para evitá-los em primeiro lugar. Muitos desses comportamentos são idênticos no Windows Server 2008 R2 e em sistemas operacionais mais antigos, mas a reescrita da implantação do AD DS traz maior sensibilidade aos problemas.

Problema Rebaixar um controlador de domínio deixa o DNS em execução sem zonas
Sintomas O servidor ainda responde às solicitações DNS, mas não tem informações de zona
Resolução e Anotações Ao remover a função DS do AD, remova também a função DNS Server ou defina o serviço DNS Server como desabilitado. Lembre-se de apontar o cliente DNS para outro servidor do que ele mesmo. Se estiver usando Windows PowerShell, execute o seguinte depois de rebaixar o servidor:

Código- uninstall-windowsfeature dns

ou

Código- set-service dns -starttype disabled
stop-service dns
Problema Promover um Windows Server 2012 em um domínio de rótulo único existente não configura updatetopleveldomain=1 ou permiteinglelabeldnsdomain=1
Sintomas O registro de registro dinâmico DNS não ocorre
Resolução e Anotações Defina esses valores usando as políticas de grupo Netlogon e DNS. A Microsoft começou a bloquear a criação de domínio de rótulo único no Windows Server 2008; você pode usar o ADMT ou a Ferramenta de Renomeação de Domínio para alterar para uma estrutura de domínio DNS aprovada.
Problema O rebaixamento do último controlador de domínio em um domínio falhará se houver contas RODC pré-criadas e desocupadas
Sintomas O rebaixamento falha com a mensagem:

Dcpromo.General.54

Active Directory Domain Services não foi possível encontrar outra Domínio do Active Directory Controller para transferir os dados restantes na partição de diretório CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

"O formato do nome de domínio especificado é inválido."
Resolução e Anotações Remova todas as contas RODC pré-criadas restantes antes de rebaixar um domínio, usando Dsa.msc ou Ntdsutil.exe limpeza de metadados.
Problema A preparação automatizada de floresta e domínio não executa o GPPREP
Sintomas A funcionalidade de planejamento entre domínios para Política de Grupo, Modo de Planejamento do RSOP (Conjunto Resultante de Política) requer permissões atualizadas do sistema de arquivos e do Active Directory para o GP existente. Sem o Gpprep, você não pode usar o Planejamento RSOP entre domínios.
Resolução e Anotações Execute adprep.exe /gpprep manualmente para todos os domínios que não foram preparados anteriormente para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Os administradores devem executar o GPPrep apenas uma vez no histórico de um domínio, não com cada atualização. Ele não é executado pelo adprep automático porque, se você já tiver definido permissões personalizadas adequadas, isso faria com que todo o conteúdo SYSVOL fosse replicado novamente em todos os controladores de domínio.
Problema A instalação da mídia falha ao verificar ao apontar para um caminho UNC
Sintomas Erro retornado:

Código – não foi possível validar o caminho da mídia. Exceção chamando "GetDatabaseInfo" com argumentos "2". A pasta não é válida.
Resolução e Anotações Você deve armazenar arquivos IFM em um disco local, não em um caminho unc remoto. Esse bloco intencional impede a promoção parcial do servidor devido a uma interrupção de rede.
Problema Aviso de delegação DNS mostrado duas vezes durante a promoção do controlador de domínio
Sintomas Aviso retornado duas vezes ao promover o uso do WINDOWS POWERSHELL ADDSDeployment:

Código- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Resolução e Anotações Ignorar. ADDSDeployment Windows PowerShell mostra o aviso primeiro durante a verificação do pré-requisito e, em seguida, novamente durante a configuração do controlador de domínio. Se você não quiser configurar a delegação DNS, use o argumento:

Código- -creatednsdelegation:$false

Não ignore as verificações de pré-requisito para suprimir essa mensagem.
Problema Especificar credenciais UPN ou nondomain durante a configuração retorna erros enganosos
Sintomas Gerenciador do Servidor retorna o erro:

Código – Exceção chamando "DNSOption" com argumentos "6"

ADDSDeployment Windows PowerShell retorna o erro:

Código- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Resolução e Anotações Verifique se você está fornecendo credenciais de domínio válidas na forma de <domínio>\<usuário>.
Problema Remover a função DirectoryServices-DomainController usando Dism.exe leva a um servidor inexebível
Sintomas Se usar Dism.exe para remover a função do AD DS antes de rebaixar um controlador de domínio normalmente, o servidor não será mais inicializado normalmente e mostrará erro:

Código – Status: 0x000000000
Informações: ocorreu um erro inesperado.
Resolução e Anotações Inicializar no Modo de Reparo dos Serviços de Diretório usando o Shift+F8. Adicione a função AD DS de volta e, em seguida, demote à força o controlador de domínio. Como alternativa, restaure o Estado do Sistema do backup. Não use Dism.exe para remoção de função do AD DS; o utilitário não tem conhecimento de controladores de domínio.
Problema A instalação de uma nova floresta falha ao definir o modo florestal como Win2012
Sintomas Promoção usando ADDSDeployment Windows PowerShell retorna erro:

Código- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Resolução e Anotações Não especifique um modo funcional de floresta do Win2012 sem especificar também um modo funcional de domínio do Win2012. Aqui está um exemplo que funcionará sem erros:

Código- -forestmode Win2012 -domainmode Win2012
Problema Selecionar Verificar na área de seleção Instalar na mídia parece não fazer nada
Sintomas Quando você especifica um caminho para uma pasta IFM, selecionar o botão Verificar nunca retorna uma mensagem ou parece fazer nada.
Resolução e Anotações O botão Verificar só retornará erros se houver problemas. Caso contrário, ele torna o botão Avançar selecionável se você tiver fornecido um caminho IFM. Você deve selecionar Verificar para prosseguir se você selecionou IFM.
Problema O rebaixamento com Gerenciador do Servidor não fornece comentários até a conclusão.
Sintomas Ao usar Gerenciador do Servidor para remover a função do AD DS e rebaixar um controlador de domínio, não há comentários contínuos dados até que o rebaixamento seja concluído ou falhe.
Resolução e Anotações Essa é uma limitação de Gerenciador do Servidor. Para obter comentários, use o cmdlet ADDSDeployment Windows PowerShell:

Código- Uninstall-addsdomaincontroller
Problema A instalação do Media Verify não detecta que a mídia RODC fornecida para o controlador de domínio gravável ou vice-versa.
Sintomas Ao promover um novo controlador de domínio usando IFM e fornecer mídia incorreta para IFM - como mídia RODC para um controlador de domínio gravável ou mídia RWDC para um RODC - o botão Verificar não retorna um erro. Posteriormente, a promoção falha com o erro:

Código – ocorreu um erro ao tentar configurar esse computador como um controlador de domínio.
A promoção Install-From-Media de um Read-Only DC não pode ser iniciada porque o banco de dados de origem especificado não é permitido. Somente bancos de dados de outros RODCs podem ser usados para a promoção IFM de um RODC.
Resolução e Anotações Verificar só valida a integridade geral do IFM. Não forneça o tipo IFM errado a um servidor. Reinicie o servidor antes de tentar a promoção novamente com a mídia correta.
Problema Falha ao promover um RODC em uma conta de computador pré-criada
Sintomas Ao usar o ADDSDeployment Windows PowerShell para promover um novo RODC com uma conta de computador encenada, receba o erro:

Código- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Resolução e Anotações Não forneça parâmetros já definidos em uma conta RODC pré-criada. Eles incluem:

Código-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-Sitename
-installdns
Problema Desmarcar/selecionar "Reiniciar cada servidor de destino automaticamente, se necessário" não faz nada
Sintomas Se selecionar (ou não selecionar) a opção Gerenciador do Servidor Reiniciar cada servidor de destino automaticamente, se necessário ao rebaixar um controlador de domínio por meio da remoção de função, o servidor sempre será reiniciado, independentemente da escolha.
Resolução e Anotações Isso é intencional. O processo de rebaixamento reinicia o servidor independentemente dessa configuração.
Problema Dcpromo.log mostra que a segurança de configuração "[erro] nos arquivos do servidor falhou com 2"
Sintomas O rebaixamento de um controlador de domínio é concluído sem problemas, mas o exame do log dcpromo mostra erro:

Código- [error] setting security on server files failed with 2
Resolução e Anotações Ignore, o erro é esperado e cosmético.
Problema O marcar de pré-requisitos do adprep falha com o erro "Não é possível executar marcar de conflito de esquema do Exchange"
Sintomas Ao tentar promover um controlador de domínio Windows Server 2012 em uma floresta existente do Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, o pré-requisito marcar falha com o erro:

Código – Falha na verificação dos pré-requisitos para a preparação do AD. Não é possível executar o marcar de conflito de esquema do Exchange para o nome> do domínio <(Exceção: o servidor RPC não está disponível)

O adprep.log mostra o erro:

Código- Adprep couldn't retrieve data from the server <domain controller>

por meio da WMI (Instrumentação de Gerenciamento do Windows).
Resolução e Anotações O novo controlador de domínio não pode acessar o WMI por meio de protocolos DCOM/RPC em relação aos controladores de domínio existentes. Até o momento, houve três causas para isso:

- Uma regra de firewall bloqueia o acesso aos controladores de domínio existentes.
- A conta NETWORK SERVICE está ausente do privilégio "Logon como serviço" (SeServiceLogonRight) nos controladores de domínio existentes.
- O NTLM está desabilitado em controladores de domínio, usando políticas de segurança descritas em Introdução à Restrição da Autenticação NTLM.
Problema Criar uma nova floresta do AD DS sempre mostra o aviso DNS
Sintomas Ao criar uma nova floresta do AD DS e criar a zona DNS no novo controlador de domínio para si mesmo, você sempre recebe uma mensagem de aviso:

Código – Um erro foi detectado na configuração DNS.
Nenhum dos servidores DNS usados por este computador respondeu no intervalo de tempo limite.
(código de erro 0x000005B4 "ERROR_TIMEOUT")
Resolução e Anotações Ignorar. Esse aviso é intencional no primeiro controlador de domínio no domínio raiz de uma nova floresta, caso você pretenda apontar para um servidor DNS existente e uma zona.
Problema -whatif Windows PowerShell argumento retorna informações incorretas do servidor DNS
Sintomas Se você usar o -whatif argumento ao configurar um controlador de domínio com implícito ou explícito -installdns:$true, a saída resultante mostrará:

Código- DNS Server: No
Resolução e Anotações Ignorar. O DNS está instalado e configurado corretamente.
Problema Após a promoção, o logon falha com "Não há armazenamento suficiente disponível para processar esse comando"
Sintomas Depois de promover um novo controlador de domínio e, em seguida, fazer logon e tentar fazer logon interativamente, você receberá um erro:

Código – Não há armazenamento suficiente disponível para processar este comando
Resolução e Anotações O controlador de domínio não foi reiniciado após a promoção, devido a um erro ou porque você especificou o argumento -norebootoncompletionADDSDeployment Windows PowerShell . Reinicie o controlador de domínio.
Problema O botão Avançar não está disponível na página Opções do Controlador de Domínio
Sintomas Mesmo que você tenha definido uma senha, o botão Avançar na página Opções do Controlador de Domínio no Gerenciador do Servidor não está disponível. Não há nenhum site listado no menu Nome do site .
Resolução e Anotações Você tem vários sites do AD DS e pelo menos uma está faltando sub-redes; esse futuro controlador de domínio pertence a uma dessas sub-redes. Você deve selecionar manualmente a sub-rede no menu suspenso Nome do site. Você também deve examinar todos os sites do AD usando o DSSITE. MSC ou use o seguinte comando Windows PowerShell para encontrar todas as sub-redes ausentes de sites:

Código - "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | nome da tabela de formato"
Problema A promoção ou o rebaixamento falha com a mensagem "o serviço não pode ser iniciado"
Sintomas Se você tentar a promoção, o rebaixamento ou a clonagem de um controlador de domínio, receberá um erro:

Código – O serviço não pode ser iniciado, seja porque está desabilitado ou não tem dispositivos habilitados associados a ele" (0x80070422)

O erro pode ser interativo, um evento ou gravado em um log como dcpromoui.log ou dcpromo.log.
Resolução e Anotações O serviço DS Role Server (DsRoleSvc) está desabilitado. Por padrão, esse serviço é instalado durante a instalação de função do AD DS e definido como um tipo de início manual. Não desabilite esse serviço. Defina-o como Manual e permita que as operações de função DS iniciem e o parem sob demanda. Este é o comportamento padrão.
Problema Gerenciador do Servidor ainda avisa que você precisa promover DC
Sintomas Se você promover um controlador de domínio usando o controlador de domínio preterido dcpromo.exe /unattend ou atualizar um controlador de domínio do Windows Server 2008 R2 existente para Windows Server 2012, Gerenciador do Servidor ainda mostrará a tarefa de configuração pós-implantação Promover esse servidor para um controlador de domínio.
Resolução e Anotações selecione o link de aviso pós-implantação e a mensagem desaparecerá para sempre. Esse comportamento é cosmético e esperado.
Problema Gerenciador do Servidor instalação de função ausente do script de implantação
Sintomas Se você promover um controlador de domínio usando Gerenciador do Servidor e salvar o script de implantação Windows PowerShell, ele não inclui o cmdlet de instalação de função e os argumentos (install-windowsfeature -name ad-domain-services -includemanagementtools). Sem a função, o DC não pode ser configurado.
Resolução e Anotações Adicione manualmente esse cmdlet e argumentos a quaisquer scripts. Esse comportamento é esperado e por design.
Problema Gerenciador do Servidor script de implantação não se chama PS1
Sintomas Se você promover um controlador de domínio usando Gerenciador do Servidor e salvar o script de implantação Windows PowerShell, o arquivo será nomeado com um nome temporário aleatório e não como um arquivo PS1.
Resolução e Anotações Renomeie manualmente o arquivo. Esse comportamento é esperado e por design.
Problema Dcpromo /unattend permite níveis funcionais sem suporte
Sintomas Se você promover um controlador de domínio usando dcpromo /unattend com o seguinte arquivo de resposta de exemplo:

Código-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Sim

AutoConfigDNS=Sim

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=No

DomainLevel=0

ForestLevel=0

A promoção falha com os seguintes erros no dcpromoui.log:

Código - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13:31:50.783 O valor para DomainLevel é 0

dcpromoui EA4.5B8 008B 13:31:50.783 O código de saída é 77

dcpromoui EA4.5B8 008C 13:31:50.783 O argumento especificado é inválido.

dcpromoui EA4.5B8 008D 13:31:50.783 log de fechamento

dcpromoui EA4.5B8 0032 13:31:50.830 Código de saída é 77

O nível 0 é o Windows 2000, que não tem suporte em Windows Server 2012.
Resolução e Anotações Não use o preterido dcpromo /unattend e entenda que ele permite especificar configurações inválidas que falham posteriormente. Esse comportamento é esperado e por design.
Problema Promoção "trava" na criação de objeto de configurações do NTDS, nunca é concluída
Sintomas Se você promover uma réplica DC ou RODC, a promoção atingirá "a criação de objeto de configurações do NTDS" e nunca será continuada ou concluída. Os logs também param de atualizar.
Resolução e Anotações Esse é um problema conhecido causado pelo fornecimento de credenciais da conta interna do Administrador local com uma senha correspondente à conta interna do administrador de domínio. Isso causa uma falha no mecanismo de configuração principal que não errou, mas espera indefinidamente (quase loop). Isso é esperado - embora indesejável - comportamento.

Para corrigir o servidor:

1. Reinicialize-o.

1. No AD, exclua a conta de computador membro do servidor (ela ainda não será uma conta DC)

2. Nesse servidor, desativa-o à força do domínio

3. Nesse servidor, remova a função AD DS.

4. Reinicialização

5. Leia a função do AD DS e a promoção de reattempt, garantindo que você sempre forneça as <credenciais formatadas de domínio>\<administrador> para a promoção DC e não apenas a conta de administrador local interna.