Résoudre les problèmes de déploiement du contrôleur de domaine
Cet article présente une méthodologie détaillée sur la résolution des problèmes de configuration et de déploiement des contrôleurs de domaine.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes de réplication Active Directory courants.
Présentation de la résolution des problèmes
Journaux intégrés pour la résolution des problèmes
Les journaux intégrés représentent le meilleur moyen de résoudre les problèmes liés à la promotion et à la rétrogradation des contrôleurs de domaine. Tous ces journaux sont activés et configurés pour un maximum de commentaires par défaut.
| Phase | Journal |
|---|---|
| Opérations Windows PowerShell ADDSDeployment ou du Gestionnaire de serveur | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
| Installation/Promotion du contrôleur de domaine | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - Système des journaux\Windows de l’Observateur d’événements\ - Application journaux\windows de l’Observateur d’événements\ - Services et\applications de l’observateur\d’événements - Services et applications de l’observateur d’événements service de réplication de fichiers\\ - Réplication DFS des applications et services\de l’Observateur d’événements\ |
| Mise à niveau de forêt ou de domaine | - %systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
| Moteur de déploiement Windows PowerShell ADDSDeployment du Gestionnaire de serveur | - Journaux\des applications et services de l’Observateur\d’événements Microsoft\Windows\DirectoryServices-Deployment Operational\ |
| Services de maintenance Windows | - %systemroot%\Logs\CBS\* - %systemroot%\maintenance\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
Outils et commandes pour la résolution des problèmes de configuration du contrôleur de domaine
Pour résoudre les problèmes de configuration non décrits par les journaux, utilisez les outils suivants comme point de départ :
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe, Gestionnaire des tâches et MSInfo32.exe
- Moniteur réseau 3.4 (ou un outil de capture et d'analyse de réseau tiers)
Méthodologie générale pour la résolution des problèmes de configuration du contrôleur de domaine
Un problème de syntaxe a-t-il entraîné l’erreur ?
- Avez-vous fait une faute de frappe ou oublié de fournir un argument à Windows PowerShell ADDSDeployment ? Par exemple, si vous utilisez ADDSDeployment Windows PowerShell, avez-vous oublié d’ajouter l’argument
-domainnamerequis avec un nom valide ? - Examinez soigneusement la sortie de console Windows PowerShell pour identifier exactement la raison de l’échec de l’analyse de la ligne de commande fournie.
- Avez-vous fait une faute de frappe ou oublié de fournir un argument à Windows PowerShell ADDSDeployment ? Par exemple, si vous utilisez ADDSDeployment Windows PowerShell, avez-vous oublié d’ajouter l’argument
Est-ce que l'erreur est un échec de la configuration requise ?
- De nombreuses erreurs qui s'affichaient en tant que résultats de promotion irrécupérables sont maintenant évitées avec l'outil de vérification de la configuration requise.
- Lisez soigneusement le texte des erreurs de configuration requise. Ce texte fournit les indications nécessaires pour résoudre la plupart des problèmes, car il s’agit de scénarios contrôlés.
Est-ce que l'erreur est survenue pendant la promotion et est par conséquent irrécupérable ?
Examinez attentivement les résultats : de nombreuses erreurs ont des explications telles que les mots de passe incorrects, la résolution de noms réseau ou les contrôleurs de domaine hors connexion critiques.
Examinez les Dcpromoui.log et les dcpromo.log pour les erreurs affichées dans la sortie, puis revenez en arrière pour voir les indications de la raison pour laquelle l’échec s’est produit.
- Effectuez toujours une comparaison avec un exemple de journal opérationnel
- Recherchez les erreurs dans les journaux ADPrep uniquement si les résultats indiquent un problème d'extension de schéma ou de la préparation de la forêt ou du domaine.
- Examinez le journal des événements DirectoryServices-Deployment pour les erreurs uniquement si le Dcpromoui.log ne contient pas de détails ou se termine arbitrairement en raison d’une exception non gérée dans le processus de configuration.
Recherchez dans les journaux des événements système, des applications ou des services d'annuaire d'autres indicateurs d'un problème de configuration. Souvent, la promotion du contrôleur de domaine est juste un symptôme d’une autre configuration réseau incorrecte qui peut affecter tous les systèmes distribués.
Utilisez dcdiag.exe et repadmin.exe pour valider l’intégrité globale de la forêt et indiquer des configurations incorrectes subtiles susceptibles d’empêcher une promotion supplémentaire du contrôleur de domaine.
Utilisez AutoRuns.exe, le Gestionnaire des tâches ou MSinfo32.exe pour examiner l’ordinateur pour les logiciels tiers qui peuvent interférer.
Supprimez les logiciels tiers (ne désactivez pas le logiciel ; cela n’empêche pas le chargement des pilotes).
Installez NetMon 3.4 sur l'ordinateur sur lequel la promotion a échoué ainsi que sur le contrôleur de domaine partenaire de réplication et analysez le processus de promotion avec des captures réseau recto verso.
- Effectuez une comparaison avec votre environnement de laboratoire opérationnel pour comprendre à quoi ressemble une promotion correcte et où se situe le problème.
- À ce stade, les erreurs sont probablement liées aux objets de la forêt et aux modifications de sécurité autres que par défaut ou au réseau, et ce nouveau contrôleur de domaine est victime des configurations incorrectes du système DNS, des pare-feu, des logiciels de protection des intrusions hôtes ou d’autres facteurs externes.
Résolution des problèmes liés aux événements et aux messages d’erreur
La promotion et la rétrogradation du contrôleur de domaine retournent toujours un code à la fin de l’opération et contrairement à la plupart des programmes, ne retournent pas zéro pour réussir. Pour afficher le code à la fin de la configuration d'un contrôleur de domaine, vous avez plusieurs possibilités :
Quand vous utilisez le Gestionnaire de serveur, examinez les résultats de la promotion dans les dix secondes qui précèdent le redémarrage automatique.
Quand vous utilisez Windows PowerShell ADDSDeployment, examinez les résultats de la promotion dans les dix secondes qui précèdent le redémarrage automatique. Vous pouvez également choisir de ne pas redémarrer automatiquement à la fin de l'opération. Vous devez ajouter le
format-listpipeline pour faciliter la lecture de la sortie. Par exemple :Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-listLes erreurs qui s’affichent pendant la vérification et la validation de la configuration requise n’étant pas conservées après un redémarrage, elles sont visibles dans tous les cas. Par exemple :
Dans n’importe quel scénario, examinez les dcpromo.log et les dcpromoui.log.
Notes
Certaines des erreurs répertoriées ci-dessous ne sont plus possibles en raison des modifications de configuration de contrôleur de domaine et de système d'exploitation dans les systèmes d'exploitation ultérieurs. Les nouveaux codes WINDOWS PowerShell ADDSDeployment empêchent également certaines erreurs, mais
dcpromo.exe /unattendce n’est pas le cas ; il s’agit d’une autre raison intéressante de basculer l’automatisation actuelle de DCPromo dépréciée vers ADDSDeployment Windows PowerShell.
Codes de réussite de promotion et de rétrogradation
| Code d’erreur | Explication | Notes |
|---|---|---|
| 1 | Sortie, réussite | Vous devez toujours redémarrer, il vous suffit de remarquer que l’indicateur de redémarrage automatique a été supprimé. |
| 2 | Sortie, réussite, redémarrage nécessaire | |
| 3 | Sortie, réussite, avec une défaillance non critique | Généralement affiché quand l'avertissement de délégation DNS est retourné. En l'absence de configuration de la délégation DNS, utilisez :
|
| 4 | Sortie, réussite, avec une défaillance non critique, redémarrage nécessaire | Généralement affiché quand l'avertissement de délégation DNS est retourné. En l'absence de configuration de la délégation DNS, utilisez :
|
Codes d’échec de promotion et de rétrogradation
La promotion et la rétrogradation retournent les codes des messages d'échec suivants. Un message d’erreur étendue existe probablement. Lisez toujours attentivement l’intégralité du message d’erreur et pas seulement la partie numérique.
| Code d’erreur | Explication | Solution suggérée |
|---|---|---|
| 11 | La promotion du contrôleur de domaine est déjà en cours d'exécution | N’exécutez pas plusieurs instances de promotion du contrôleur de domaine en même temps pour le même ordinateur cible. |
| 12 | L'utilisateur doit être administrateur | Connectez-vous en tant que membre du groupe Administrateurs intégré et assurez-vous d’élever l’UAC. |
| 13 | L'autorité de certification est installée | Vous ne pouvez pas rétrograder ce contrôleur de domaine, car il s’agit également d’une autorité de certification. Ne supprimez pas l’autorité de certification avant d’effectuer un inventaire soigneusement de son utilisation. S’il émet des certificats, la suppression du rôle entraîne une panne. L’exécution d’autorités de certification sur des contrôleurs de domaine est déconseillée. |
| 14 | Exécution en mode de démarrage sans échec | Démarrez le serveur en mode normal. |
| 15 | La modification du rôle est en cours ou nécessite un redémarrage | Vous devez redémarrer le serveur (en raison des modifications de configuration antérieures) avant la promotion. |
| 16 | Exécution sur la plateforme incorrecte | Impossible d’obtenir cette erreur. |
| 17 | Aucun lecteur NTFS 5 n'existe | Cette erreur n’est pas possible dans Windows Server 2012, ce qui nécessite au moins que % systemdrive% soit mis en forme avec NTFS. |
| 18 | Espace insuffisant dans le vent | Libérez de l’espace sur le volume %systemdrive% à l’aide de cleanmgr.exe. |
| 19 | Changement de nom en attente. Un redémarrage est nécessaire. | Redémarrez le serveur. |
| 20 | La syntaxe du nom d'ordinateur est incorrecte | Renommez l’ordinateur avec un nom valide. |
| 21 | Ce contrôleur de domaine est propriétaire des rôles FSMO, est un catalogue global et/ou est un serveur DNS. | Ajouter -demoteoperationmasterrole lors de l’utilisation -forceremovalde . |
| 22 | TCP/IP doit être installé ou ne fonctionne pas | Vérifiez que l’ordinateur dispose d’un protocole TCP/IP configuré, lié et fonctionne correctement. |
| 23 | Le client DNS doit être configuré en premier | Définissez un serveur DNS principal lors de l’ajout d’un nouveau contrôleur de domaine à un domaine. |
| 24 | Les informations d'identification fournies ne sont pas valides ou il manque des éléments requis | Vérifiez que votre nom d’utilisateur et votre mot de passe sont corrects. |
| 25 | Le contrôleur de domaine pour le domaine spécifié n’a pas pu se trouver | Validez les paramètres du client DNS, les règles de pare-feu. |
| 26 | Impossible de lire la liste des domaines à partir de la forêt | Validez les paramètres du client DNS, les fonctionnalités LDAP, les règles de pare-feu. |
| 27 | Nom de domaine absent | Spécifiez un domaine lors de la promotion ou de la rétrogradation. |
| 28 | Nom de domaine incorrect | Choisissez un autre nom de domaine DNS valide lors de la promotion. |
| 29 | Le domaine parent n’existe pas | Vérifiez le domaine parent spécifié lors de la création d’un domaine enfant ou d’un domaine d’arborescence. |
| 30 | Domaine absent de la forêt | Vérifiez le nom de domaine fourni. |
| 31 | Le domaine enfant existe déjà | Spécifiez un autre nom de domaine. |
| 32 | Nom de domaine NetBIOS incorrect | Spécifiez un nom de domaine NetBIOS valide. |
| 33 | Le chemin d'accès aux fichiers IFM n'est pas valide | Validez votre chemin d’accès au dossier Installer à partir du support. |
| 34 | La base de données IFM est incorrecte | Utilisez l’installation correcte de From Media pour ce système d’exploitation et ce rôle (même version du système d’exploitation, même type de contrôleur de domaine - RODC et RWDC). |
| 35 | SYSKEY manquant | L’installation à partir du média est chiffrée et vous devez fournir une clé SYSKEY valide pour l’utiliser. |
| 37 | Le chemin d'accès pour la base de données NTDS ou ses journaux n'est pas valide | Modifiez le chemin d’accès de la base de données et des journaux à un volume NTFS fixe, pas un lecteur mappé ou un chemin UNC. |
| 38 | Le volume n’a pas suffisamment d’espace pour la base de données ou les journaux NTDS | Libérez de l’espace à l’aide de cleanmgr.exe, ajoutez davantage d’espace disque, effacez manuellement l’espace en déplaçant des données inutiles ailleurs. |
| 39 | Le chemin d'accès à SYSVOL est incorrect | Modifiez le chemin d’accès du dossier SYSVOL à un volume NTFS fixe, pas un lecteur mappé ou un chemin UNC. |
| 40 | Nom de site non valide | Fournissez un nom de site qui existe. |
| 41 | Mot de passe nécessaire pour le mode sans échec | Fournissez un mot de passe pour le compte DSRM, il ne peut pas être vide, quelle que soit la configuration de la stratégie de mot de passe. |
| 42 | Le mot de passe en mode sans échec ne répond pas aux critères (promotion uniquement) | Fournissez un mot de passe pour le compte DSRM qui répond aux règles configurées de la stratégie de mot de passe. |
| 43 | Le mot de passe administrateur ne répond pas aux critères (rétrogradation uniquement) | Fournissez un mot de passe pour le compte d’administrateur local qui répond aux règles configurées de la stratégie de mot de passe. |
| 44 | Le nom spécifié pour la forêt n'est pas valide | Spécifiez un nom de domaine DNS racine de forêt valide. |
| 45 | Une forêt avec le nom spécifié existe déjà | Choisissez un autre nom de domaine DNS racine de forêt. |
| 46 | Le nom spécifié pour l'arborescence n'est pas valide | Spécifiez un nom de domaine DNS d’arborescence valide. |
| 47 | Une arborescence avec le nom spécifié existe déjà | Choisissez un autre nom de domaine DNS d’arborescence. |
| 48 | Le nom de l’arborescence ne correspond pas à la structure de forêt | Choisissez un autre nom de domaine DNS d’arborescence. |
| 49 | Le domaine spécifié n’existe pas | Vérifiez votre nom de domaine typé. |
| 50 | Pendant la rétrogradation, le dernier contrôleur de domaine a été détecté même s’il n’est pas, ou le dernier contrôleur de domaine a été spécifié, mais il n’est pas | Ne spécifiez pas le dernier contrôleur de domaine dans le domaine (-lastdomaincontrollerindomain) sauf s’il est vrai. Permet -ignorelastdcindomainmismatch de remplacer si c’est vraiment le dernier contrôleur de domaine et qu’il existe des métadonnées de contrôleur de domaine fantômes. |
| 51 | Des partitions d'application existent sur ce contrôleur de domaine | Spécifiez la suppression des partitions d’application (-removeapplicationpartitions). |
| 52 | Un argument de ligne de commande requis est manquant (autrement dit, un fichier de réponses doit être spécifié sur la ligne de commande) | Uniquement vu avec dcpromo /unattend, qui est déconseillé. Voir la documentation plus ancienne. |
| 53 | La promotion/rétrogradation a échoué, l'ordinateur doit être redémarré pour nettoyage | Examinez l’erreur étendue et les journaux d’activité. |
| 54 | La promotion/rétrogradation a échoué | Examinez l’erreur étendue et les journaux d’activité. |
| 55 | La promotion/rétrogradation a été annulée par l'utilisateur | Examinez l’erreur étendue et les journaux d’activité. |
| 56 | La promotion/rétrogradation a été annulée par l'utilisateur, l'ordinateur doit être redémarré pour nettoyage | Examinez l’erreur étendue et les journaux d’activité. |
| 58 | Un nom de site doit être spécifié pendant la promotion du contrôleur de domaine en lecture seule | Vous devez spécifier un site pour un RODC, il ne détecte pas automatiquement un site comme un RWDC. |
| 59 | Pendant la rétrogradation, ce contrôleur de domaine est le dernier serveur DNS pour l'une de ses zones | Spécifiez qu’il s’agit du dernier serveur DNS du domaine ou de l’utilisation -ignorelastdnsserverfordomain. |
| 60 | Un contrôleur de domaine exécutant Windows Server 2008 ou version ultérieure doit être présent dans le domaine pour promouvoir le contrôleur de domaine en lecture seule | Promouvoir au moins un contrôleur de domaine accessible en écriture windows Server 2008 ou version ultérieure. |
| 61 | Vous ne pouvez pas installer services de domaine Active Directory avec DNS dans un domaine existant qui n’héberge pas déjà DNS | Impossible d’obtenir cette erreur. |
| 62 | Le fichier de réponse n’a pas de section [DCInstall] | Uniquement vu avec dcpromo /unattend, qui est déconseillé. Voir la documentation plus ancienne. |
| 63 | Le niveau fonctionnel de forêt est sous Windows Server 2003 | Augmentez le niveau fonctionnel de forêt jusqu'au niveau natif de Windows Server 2003 au minimum. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge. |
| 64 | La promotion a échoué, car une détection binaire des composants a échoué | Installez le rôle AD DS. |
| 65 | La promotion a échoué, car une installation binaire des composants a échoué | Installez le rôle AD DS. |
| 66 | La promotion a échoué, car la détection du système d'exploitation a échoué | Examinez l'erreur étendue et les journaux ; le serveur ne parvient pas à retourner la version de son système d'exploitation. Il est probable que l’ordinateur doit être réinstallé, car son intégrité globale est très suspecte. |
| 68 | Le partenaire de réplication n'est pas valide | Utilisez repadmin.exe ou Windows PowerShell pour valider l’intégrité du Get-ADReplication\* contrôleur de domaine partenaire. |
| 69 | Le port requis est déjà utilisé par une autre application | Permet netstat.exe -anob de localiser les processus qui sont attribués de manière incorrecte aux ports AD DS réservés. |
| 70 | Le contrôleur du domaine racine de la forêt doit être un catalogue global | Uniquement vu avec dcpromo /unattend, qui est déconseillé. Voir la documentation plus ancienne. |
| 71 | Le serveur DNS est déjà installé | Ne spécifiez pas d’installation de DNS (-installDNS) si le service DNS est déjà installé. |
| 72 | L’ordinateur exécute les services Bureau à distance en mode non-administrateur | Vous ne pouvez pas promouvoir ce contrôleur de domaine, car il s’agit également d’un serveur des services Bureau à distance configuré pour plus de deux utilisateurs administrateurs. Ne supprimez pas rdS avant d’effectuer un inventaire soigneusement de son utilisation. S’il est utilisé par des applications ou des utilisateurs finaux, la suppression entraîne une panne. |
| 73 | Le niveau fonctionnel de forêt spécifié n'est pas valide. | Spécifiez un niveau fonctionnel de forêt valide. |
| 74 | Le niveau fonctionnel de domaine spécifié n'est pas valide. | Spécifiez un niveau fonctionnel de domaine valide. |
| 75 | Impossible de déterminer la stratégie de réplication de mot de passe par défaut. | Vérifiez que la stratégie de réplication de mot de passe RODC existe et est accessible. |
| 76 | Les groupes de sécurité répliqués/non répliqués spécifiés ne sont pas valides | Vérifiez que vous avez tapé des comptes d’utilisateur et de domaine valides lors de la spécification d’une stratégie de réplication de mot de passe. |
| 77 | L'argument spécifié n'est pas valide | Examinez l’erreur étendue et les journaux d’activité. |
| 78 | Échec de l'examen de la forêt Active Directory | Examinez l’erreur étendue et les journaux d’activité. |
| 79 | La rodC ne peut pas être promue, car rodcprep n’a pas été effectuée | Utilisez Windows Server 2012 pour préparer la forêt ou utiliser adprep.exe /rodcprep. |
| 80 | La commande Domainprep n'a pas été exécutée | Utilisez Windows Server 2012 pour préparer le domaine ou l’utiliser adprep.exe /domainprep. |
| 81 | La commande Forestprep n'a pas été exécutée | Utilisez Windows Server 2012 pour préparer la forêt ou utiliser adprep.exe /forestprep. |
| 82 | Incompatibilité du schéma de la forêt | Utilisez Windows Server 2012 pour préparer la forêt ou utiliser adprep.exe /forestprep. |
| 83 | Référence non prise en charge | Impossible d’obtenir cette erreur. |
| 84 | Impossible de détecter un compte de contrôleur de domaine | Confirmez que l'attribut de contrôle de compte d'utilisateur correct est défini pour les contrôleurs de domaine existants. |
| 85 % | Impossible de sélectionner un compte de contrôleur de domaine pour la phase 2 | Ce message est retourné si vous indiquez « Utiliser un compte existant », mais qu’aucun compte n’est trouvé ou qu’une erreur survient pendant la recherche de compte. Vérifiez que vous avez fourni le compte intermédiaire RODC approprié. |
| 86 | Exécution de la phase 2 de la promotion nécessaire | Retourné si vous promouvez un contrôleur de domaine supplémentaire, mais qu’un compte existant existe et que l’option « Autoriser la réinstallation » n’a pas été spécifiée. |
| 87 | Il existe un compte de contrôleur de domaine de type incompatible | Renommez l'ordinateur avant la promotion si vous n'essayez pas la connexion à un contrôleur de domaine inoccupé. Vous devez vous attacher au compte de contrôleur de domaine inoccupé à l’aide -useexistingaccount et à l’argument en lecture seule ou accessible en écriture correct, en fonction du type de compte. |
| 88 | L’administrateur de serveur spécifié n’est pas valide | Vous avez spécifié un compte non valide pour la délégation de l'administration du contrôleur de domaine en lecture seule. Vérifiez que le compte spécifié est un utilisateur ou un groupe valide. |
| 89 | Le maître RID du domaine spécifié est hors connexion. | Permet netdom.exe query fsmo de détecter le masque RID. Mettez-le en ligne et rendez-le accessible au contrôleur de domaine que vous promomettez. |
| 90 | Le maître d'opérations des noms de domaine est hors connexion. | Permet netdom.exe query fsmo de détecter le maître d’affectation de noms de domaine. Mettez-le en ligne et rendez-le accessible au contrôleur de domaine que vous promomettez. |
| 91 | Impossible de détecter si le processus est wow64 | Impossible d’obtenir cette erreur plus, le système d’exploitation est 64 bits. |
| 92 | Le processus Wow64 n’est pas pris en charge | Impossible d’obtenir cette erreur plus, le système d’exploitation est 64 bits. |
| 93 | Le service du contrôleur de domaine n’est pas exécuté pour la rétrogradation non forcée | Démarrez le service AD DS. |
| 94 | Le mot de passe de l’administrateur local ne répond pas aux conditions requises : vide ou non requis | Fournissez un mot de passe non vide et assurez-vous que la stratégie de mot de passe locale nécessite un mot de passe. |
| 95 | Impossible de rétrograder le dernier contrôleur de domaine Windows Server 2008 ou version ultérieure dans le domaine où les contrôleurs de domaine en lecture seule dynamiques existent | Vous devez d’abord rétrograder toutes les contrôleurs de domaine accessibles en écriture avant de pouvoir rétrograder tous les contrôleurs de domaine accessibles en écriture Windows Server 2008 ou ultérieur. |
| 96 | Impossible de désinstaller les fichiers binaires du service d'annuaire | Uniquement vu avec dcpromo /unattend, qui est déconseillé. Voir la documentation plus ancienne. |
| 97 | La version du niveau fonctionnel de forêt est supérieure à celle du système d'exploitation du domaine enfant | Fournissez un domaine enfant fonctionnel identique ou supérieur au niveau fonctionnel de la forêt. |
| 98 | L'installation/la désinstallation binaire des composants est en cours. | Uniquement vu avec dcpromo /unattend, qui est déconseillé. Voir la documentation plus ancienne. |
| 99 | Le niveau fonctionnel de forêt est trop faible (l'erreur ne concerne que Windows Server 2012) | Augmentez le niveau fonctionnel de forêt jusqu'au niveau natif de Windows Server 2003 au minimum. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge. |
| 100 | Le niveau fonctionnel de domaine est trop faible (l'erreur ne concerne que Windows Server 2012) | Augmentez le niveau fonctionnel de domaine jusqu'au niveau natif de Windows Server 2003 au minimum. Windows 2000 et Windows NT 4.0 ne sont plus pris en charge. |
Problèmes connus et scénarios de support courants
Voici des problèmes fréquemment rencontrés durant le processus de développement relatif à Windows Server 2012. Il s'agit de problèmes « de conception ». Il existe soit une solution valide, soit une technique plus appropriée pour les éviter. Un grand nombre de ces comportements sont identiques dans Windows Server 2008 R2 et les systèmes d'exploitation plus anciens, mais la réécriture du déploiement des services AD DS génère un intérêt accru envers ces problèmes.
| Problème | La rétrogradation d'un contrôleur de domaine laisse DNS s'exécuter sans zones |
|---|---|
| Symptômes | Le serveur répond toujours aux demandes DNS mais n'a aucune information de zone |
| Résolution et remarques | Quand vous supprimez le rôle AD DS, supprimez également le rôle Serveur DNS ou définissez le service Serveur DNS comme étant désactivé. Gardez à l'esprit que le client DNS doit pointer vers un autre serveur que lui-même. Si vous utilisez Windows PowerShell, exécutez la commande suivante après avoir rétrogradé le serveur : Code- ou Code- |
| Problème | La promotion d’un ordinateur Windows Server 2012 en un domaine en une partie existant ne configure pas updatetopleveldomain=1 ni allowsinglelabeldnsdomain=1 |
|---|---|
| Symptômes | L’inscription d’enregistrement dynamique DNS ne se produit pas |
| Résolution et remarques | Définissez ces valeurs en utilisant les stratégies de groupes Netlogon et DNS. Microsoft a commencé à bloquer la création de domaine en une partie dans Windows Server 2008 ; vous pouvez utiliser l'outil de migration Active Directory (ADMT) ou l'outil de changement de nom pour passer à une structure de domaine DNS approuvée. |
| Problème | La rétrogradation du dernier contrôleur de domaine dans un domaine échoue s'il existe des comptes de contrôleur de domaine en lecture seule inoccupés et précréés |
|---|---|
| Symptômes | La rétrogradation échoue avec le message suivant :
Les services Active Directory Domain Services n’ont pas trouvé un autre contrôleur de domaine Active Directory pour transférer les données restantes dans la partition d’annuaire CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com. « Le format du nom de domaine spécifié n'est pas valide. » |
| Résolution et remarques | Supprimez tous les comptes de contrôleur de domaine en lecture seule précréés restants avant de rétrograder un domaine en utilisant Dsa.msc ou Ntdsutil.exe metadata cleanup. |
| Problème | La préparation automatisée de la forêt et du domaine n’exécute pas GPPREP |
|---|---|
| Symptômes | La fonctionnalité de planification interdomaine pour la stratégie de groupe, le mode de planification du jeu de stratégie résultant (RSOP), nécessite les autorisations sur le système de fichiers et Active Directory mises à jour pour la stratégie de groupe existante. Sans Gpprep, vous ne pouvez pas utiliser la planification RSOP sur plusieurs domaines. |
| Résolution et remarques | Exécutez adprep.exe /gpprep manuellement tous les domaines qui n’ont pas été préparés précédemment pour Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Les administrateurs ne doivent exécuter GPPrep qu'une seule fois dans l'historique d'un domaine et non avec chaque mise à niveau. Cette commande n’est pas exécutée par le processus adprep automatique, car, si vous avez déjà défini des autorisations personnalisées appropriées, l’opération peut provoquer une nouvelle réplication de tout le contenu du dossier SYSVOL sur tous les contrôleurs de domaine. |
| Problème | L'installation à partir du support ne peut pas effectuer de vérification quand elle pointe vers un chemin d'accès UNC |
|---|---|
| Symptômes | Erreur retournée : Code - Impossible de valider le chemin de support. Exception lors de l’appel de « GetDatabaseInfo » avec « 2 » arguments. Le dossier est incorrect. |
| Résolution et remarques | Vous devez stocker des fichiers IFM sur un disque local, et non un chemin d'accès UNC distant. Ce blocage intentionnel empêche une promotion partielle du serveur en raison d'une interruption réseau. |
| Problème | Un avertissement relatif à la délégation DNS s'affiche à deux reprises pendant la promotion du contrôleur de domaine |
|---|---|
| Symptômes | Avertissement renvoyé deux fois en cas de promotion à l’aide de Windows PowerShell ADDSDeployment : Code- |
| Résolution et remarques | à ignorer. Windows PowerShell ADDSDeployment affiche d'abord l'avertissement pendant la vérification de la configuration requise, puis une nouvelle fois pendant la configuration du contrôleur de domaine. Si vous ne voulez pas configurer la délégation DNS, utilisez l’argument : Code- N’ignorez pas les vérifications préalables pour supprimer ce message. |
| Problème | La spécification d’informations d’identification UPN ou externes au domaine pendant la configuration retourne des erreurs trompeuses |
|---|---|
| Symptômes | Le Gestionnaire de serveur retourne une erreur : Code - Exception lors de l’appel de « DNSOption » avec « 6 » arguments Windows PowerShell ADDSDeployment retourne une erreur : Code- |
| Résolution et remarques | Vérifiez que vous fournissez des informations d’identification de domaine valides sous la forme de <domaine>\<utilisateur>. |
| Problème | La suppression du rôle DirectoryServices-DomainController à l’aide de Dism.exe conduit à un serveur non démarrable |
|---|---|
| Symptômes | Si vous utilisez Dism.exe pour supprimer le rôle AD DS avant de rétrograder correctement un contrôleur de domaine, le serveur ne démarre plus normalement et affiche une erreur : Code - État : 0x000000000 |
| Résolution et remarques | Démarrez en mode de réparation des services d’annuaire à l’aide de Maj+F8. Rajoutez le rôle AD DS, puis rétrogradez de force le contrôleur de domaine. Vous pouvez également restaurer l'état du système à partir de la sauvegarde. N’utilisez pas Dism.exe pour la suppression de rôle AD DS ; l’utilitaire n’a aucune connaissance des contrôleurs de domaine. |
| Problème | L'installation d'une nouvelle forêt échoue quand forestmode a la valeur Win2012 |
|---|---|
| Symptômes | La promotion avec Windows PowerShell ADDSDeployment retourne une erreur : Code-
|
| Résolution et remarques | Ne spécifiez pas le mode fonctionnel de forêt Win2012 sans spécifier également le mode fonctionnel de domaine Win2012. Voici un exemple qui fonctionnera sans erreurs : Code- |
| Problème | La sélection de la case Vérifier dans la zone de sélection du média ne semble rien faire |
|---|---|
| Symptômes | Lorsque vous spécifiez un chemin d’accès à un dossier IFM, la sélection du bouton Vérifier ne retourne jamais un message ou s’affiche pour faire quoi que ce soit. |
| Résolution et remarques | Le bouton Vérifier retourne uniquement des erreurs en cas de problèmes. Sinon, il vous permet de sélectionner le bouton Suivant si vous avez indiqué un chemin d'accès IFM. Vous devez sélectionner Vérifier pour continuer si vous avez sélectionné IFM. |
| Problème | La rétrogradation avec le Gestionnaire de serveur ne fournit pas de commentaires avant la fin de l’opération. |
|---|---|
| Symptômes | Si vous utilisez le Gestionnaire de serveur pour supprimer le rôle AD DS et rétrograder un contrôleur de domaine, aucun commentaire n’est donné tant que la rétrogradation n’est pas terminée ou n’a pas échoué. |
| Résolution et remarques | Il s'agit d'une limitation du Gestionnaire de serveur. Pour les commentaires, utilisez l'applet de commande Windows PowerShell ADDSDeployment : Code- |
| Problème | Le bouton Vérifier de l’option Installation à partir du support ne détecte pas le support du contrôleur de domaine en lecture seule fourni pour le contrôleur de domaine en lecture-écriture, ou inversement. |
|---|---|
| Symptômes | Lors de la promotion d’un nouveau contrôleur de domaine à l’aide d’IFM et de la fourniture d’un média incorrect à l’IFM, tel que le support RODC pour un contrôleur de domaine accessible en écriture, ou le média RWDC pour un contrôleur de domaine RODC, le bouton Vérifier ne retourne pas d’erreur. Plus tard, la promotion échoue avec l'erreur suivante : Code - Une erreur s’est produite en cours de tentative de configuration de cet ordinateur en tant que Contrôleur de domaine. |
| Résolution et remarques | Le bouton Vérifier ne valide que l'intégrité globale d'IFM. Ne fournissez pas le type IFM incorrect à un serveur. Redémarrez le serveur avant de retenter la promotion avec le support approprié. |
| Problème | La promotion d’un contrôleur de domaine en lecture seule dans un compte d’ordinateur précréé échoue |
|---|---|
| Symptômes | Quand vous utilisez Windows PowerShell ADDSDeployment pour promouvoir un nouveau contrôleur de domaine en lecture seule avec un compte d'ordinateur intermédiaire, vous recevez l'erreur suivante : Code- |
| Résolution et remarques | Ne fournissez pas des paramètres déjà définis sur un compte de contrôleur de domaine en lecture seule précréé. Il s’agit notamment des paramètres suivants : Code - |
| Problème | Le fait de sélectionner ou de désélectionner « Redémarrer automatiquement le serveur de destination, si nécessaire » n'a aucun effet |
|---|---|
| Symptômes | Que vous ayez sélectionné ou non l’option Redémarrer automatiquement le serveur de destination, si nécessaire dans le Gestionnaire de serveur, quand vous rétrogradez un contrôleur de domaine par une suppression de rôle, le serveur redémarre toujours, quel que soit votre choix. |
| Résolution et remarques | Ceci est intentionnel. Le processus de rétrogradation redémarre le serveur, quelle que soit la valeur de ce paramètre. |
| Problème | Dcpromo.log affiche « [erreur] la définition de la sécurité sur les fichiers du serveur a échoué avec la valeur 2 » |
|---|---|
| Symptômes | La rétrogradation d'un contrôleur de domaine s'est déroulée sans problèmes, mais l'examen du journal dcpromo indique l'erreur suivante : Code- |
| Résolution et remarques | Ignorez cette erreur, elle est prévue et cosmétique. |
| Problème | La vérification adprep de la configuration requise échoue avec l'erreur « Impossible d'effectuer un contrôle de conflit de schéma Exchange » |
|---|---|
| Symptômes | Quand vous tentez de promouvoir un contrôleur de domaine Windows Server 2012 dans une forêt Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2, la vérification de la configuration requise échoue avec l'erreur : Code - Échec de la vérification des conditions préalables pour la préparation AD. Impossible d’effectuer un contrôle de conflit de schéma Exchange pour le domaine <nom de domaine> (exception : le serveur RPC n’est pas disponible) Le adprep.log affiche l’erreur suivante : Code- via WMI (Windows Management Instrumentation). |
| Résolution et remarques | Le nouveau contrôleur de domaine ne peut pas accéder à WMI via les protocoles DCOM/RPC sur les contrôleurs de domaine existants. Jusqu'à présent, trois causes ont été identifiées : - Une règle de pare-feu bloque l’accès aux contrôleurs de domaine existants. |
| Problème | La création d'une forêt AD DS affiche toujours un avertissement DNS |
|---|---|
| Symptômes | Pendant la création d'une forêt AD DS et de la zone DNS sur le nouveau contrôleur de domaine pour lui-même, vous recevez toujours le message d'avertissement suivant : Code - Une erreur a été détectée dans la configuration de DNS. |
| Résolution et remarques | à ignorer. Cet avertissement est intentionnel sur le premier contrôleur de domaine dans le domaine racine d'une nouvelle forêt, au cas où vous envisageriez de pointer vers une zone et un serveur DNS existants. |
| Problème | L’argument Windows PowerShell -whatif retourne des informations de serveur DNS incorrectes |
|---|---|
| Symptômes | Si vous utilisez l’argument lors de la -whatif configuration d’un contrôleur de domaine avec une sortie implicite ou explicite -installdns:$true, la sortie résultante s’affiche :Code- |
| Résolution et remarques | à ignorer. DNS est installé et configuré correctement. |
| Problème | Après la promotion, l’ouverture de session échoue avec « Le stockage insuffisant est disponible pour traiter cette commande » |
|---|---|
| Symptômes | Après avoir promu un contrôleur de domaine, puis fermé la session et retenté de l'ouvrir de façon interactive, l'erreur suivante s'affiche : Code - Espace insuffisant pour traiter cette commande |
| Résolution et remarques | Le contrôleur de domaine n’a pas été redémarré après la promotion, soit en raison d’une erreur, soit parce que vous avez spécifié l’argument -norebootoncompletionADDSDeployment Windows PowerShell. Redémarrez le contrôleur de domaine. |
| Problème | Le bouton Suivant n’est pas disponible dans la page Options du contrôleur de domaine |
|---|---|
| Symptômes | Même si vous avez défini un mot de passe, le bouton Suivant dans la page Options du contrôleur de domaine du Gestionnaire de serveur n’est pas disponible. Aucun site n’est répertorié dans le menu Nom du site. |
| Résolution et remarques | Vous disposez de plusieurs sites AD DS et au moins l'un d'entre eux n'a pas de sous-réseaux ; ce futur contrôleur de domaine appartient à l'un de ces sous-réseaux. Vous devez sélectionner manuellement le sous-réseau à partir du menu déroulant Nom du site. Vous devez également passer en revue tous les sites AD à l’aide de DSSITE. MSC ou utilisez la commande Windows PowerShell suivante pour rechercher tous les sous-réseaux manquants de sites : Code - "get-adreplicationsite -filter * -property subnets | where-object { !$_.subnets -eq « *"} | nom de la table de format » |
| Problème | La promotion ou la rétrogradation échoue avec le message « Impossible de démarrer le service » |
|---|---|
| Symptômes | Si vous tentez une promotion, une rétrogradation ou un clonage d'un contrôleur de domaine, l'erreur suivante s'affiche : Code - Le service ne peut pas être démarré parce qu’il est désactivé ou qu’aucun périphérique activé ne lui est associé (0x80070422) L’erreur peut être interactive, un événement ou écrit dans un journal comme dcpromoui.log ou dcpromo.log. |
| Résolution et remarques | Le service de serveur de rôles du service d'annuaire (DsRoleSvc) est désactivé. Par défaut, ce service est installé pendant l'installation de rôle AD DS et le type de démarrage Manuel est défini. Ne désactivez pas ce service. Réaffectez-lui la valeur Manuel et autorisez le démarrage et l'arrêt des opérations de rôles du service d'annuaire à la demande. Ce comportement est normal. |
| Problème | Le Gestionnaire de serveur vous avertit quand même que vous devez promouvoir le contrôleur de domaine |
|---|---|
| Symptômes | Si vous promouvez un contrôleur de domaine à l’aide du contrôleur de domaine déconseillé dcpromo.exe /unattend ou mettez à niveau un contrôleur de domaine Windows Server 2008 R2 existant en place vers Windows Server 2012, Gestionnaire de serveur affiche toujours la tâche de configuration post-déploiement Promouvoir ce serveur vers un contrôleur de domaine. |
| Résolution et remarques | Sélectionnez le lien de l’avertissement de post-déploiement et le message disparaît définitivement. Ce comportement est cosmétique et prévu. |
| Problème | Le script de déploiement du Gestionnaire de serveur n'a pas l'élément d'installation du rôle |
|---|---|
| Symptômes | Si vous promouvez un contrôleur de domaine à l’aide de Gestionnaire de serveur et enregistrez le script de déploiement Windows PowerShell, il n’inclut pas l’applet de commande et les arguments d’installation de rôle (install-windowsfeature -name ad-domain-services -includemanagementtools). Sans le rôle, le contrôleur de domaine ne peut pas être configuré. |
| Résolution et remarques | Ajoutez manuellement cette applet de commande et les arguments à tous les scripts. Ce comportement est prévu et normal. |
| Problème | Le script de déploiement du Gestionnaire de serveur ne s’appelle pas PS1 |
|---|---|
| Symptômes | Si vous promouvez un contrôleur de domaine à l'aide du Gestionnaire de serveur et enregistrez le script de déploiement Windows PowerShell, le fichier reçoit un nom temporaire aléatoire et n'est pas nommé comme un fichier PS1. |
| Résolution et remarques | Renommez manuellement le fichier. Ce comportement est prévu et normal. |
| Problème | Dcpromo /unattend autorise des niveaux fonctionnels non pris en charge |
|---|---|
| Symptômes | Si vous promouvez un contrôleur de domaine à l’aide dcpromo /unattend de l’exemple de fichier de réponses suivant :Code - [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Yes AutoConfigDNS=Yes RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=No DomainLevel=0 ForestLevel=0 La promotion échoue avec les erreurs suivantes dans le dcpromoui.log : Code - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 La valeur de DomainLevel est 0 dcpromoui EA4.5B8 008B 13:31:50.783 Le code de sortie est 77 dcpromoui EA4.5B8 008C 13:31:50.783 L’argument spécifié n’est pas valide. dcpromoui EA4.5B8 008D 13:31:50.783 fermeture du journal dcpromoui EA4.5B8 0032 13:31:50.830 Le code de sortie est 77 Le niveau 0 représente Windows 2000, qui n’est pas pris en charge dans Windows Server 2012. |
| Résolution et remarques | N’utilisez pas le déprécié dcpromo /unattend et comprenez qu’il vous permet de spécifier des paramètres non valides qui échouent ultérieurement. Ce comportement est prévu et normal. |
| Problème | La promotion « se bloque » lors de la création de l’objet Paramètres NTDS et n’est jamais achevée |
|---|---|
| Symptômes | Si vous promouvez un contrôleur de domaine répliqué ou un contrôleur de domaine en lecture seule, la promotion atteint l’étape « Création de l’objet Paramètres NTDS » et ne continue ni ne s’achève jamais. Les journaux arrêtent également la mise à jour. |
| Résolution et remarques | Il s'agit d'un problème connu qui survient quand les informations d'identification du compte d'administrateur local intégré sont fournies avec un mot de passe correspondant au compte d'administrateur de domaine intégré. Cela entraîne une défaillance du moteur d’installation principal qui ne génère pas d’erreur, mais attend en revanche indéfiniment (quasi-boucle). Ce comportement est prévu, même s’il n’est pas souhaitable. Pour réparer le serveur : 1. Redémarrez-le. 1. Dans Active Directory, supprimez le compte d’ordinateur membre de ce serveur (il ne s’agit pas encore d’un compte de contrôleur de domaine). 2. Sur ce serveur, disjoint de force à partir du domaine 3. Sur ce serveur, supprimez le rôle AD DS. 4. Redémarrer 5. Lisez le rôle AD DS et réattempez la promotion, en vous assurant que vous fournissez toujours les <informations d’identification mises en forme de domaine>\<administrateur> à la promotion DC et pas seulement le compte d’administrateur local intégré. |