ドメイン コントローラーの展開のトラブルシューティング
この記事では、ドメイン コントローラーの構成とデプロイに関するトラブルシューティングの詳しい方法について説明します。
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
仮想オペレーターを試す - Active Directory レプリケーションに関する一般的な問題をすばやく特定、解決するのに役立ちます。
トラブルシューティングの概要
トラブルシューティング用の組み込みログ
ドメイン コントローラーの昇格と降格に関する問題のトラブルシューティングでは、組み込みのログが最も重要な情報源となります。 できるだけ詳しい情報を得るため、すべての組み込みのログが既定で有効化され構成されています。
| フェーズ | ログ |
|---|---|
| サーバー マネージャーまたは ADDSDeployment Windows PowerShell の操作 | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
| ドメイン コントローラーのインストールと昇格 | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - イベント ビューアー\Windows Logs\System - イベント ビューアー\Windows ログ\アプリケーション - イベント ビューアー\アプリケーションとサービス ログ\Directory サービス - イベント ビューアー\アプリケーションとサービス ログ\File レプリケーション サービス - イベント ビューアー\アプリケーションとサービス ログ\DFS レプリケーション |
| フォレストまたはドメインのアップグレード | - %systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
| サーバー マネージャー ADDSDeployment Windows PowerShell 展開エンジン | - イベント ビューアー\アプリケーションとサービス ログ\Microsoft\Windows\DirectoryServices-Deployment\Operational |
| Windows サービシング | - %systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
ドメイン コントローラーの構成をトラブルシューティングするためのツールとコマンド
ログで説明されていない問題を解決する際は、まず以下のツールを使ってみてください。
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe、タスク マネージャー、 MSInfo32.exe
- Network Monitor 3.4 (またはサード パーティのネットワーク キャプチャおよび分析ツール)
ドメイン コントローラー構成のトラブルシューティングに関する一般的な手法
構文の問題によってエラーが発生しましたか?
- ADDSDeployment Windows PowerShell に指定した引数にタイプミスはありませんか、また引数を指定し忘れていませんか。 たとえば、ADDSDeployment Windows PowerShell を使用している場合、必要な引数を有効な名前で
-domainname追加することを忘れたのでしょうか。 - Windows PowerShell コンソールの出力を確認して、指定したコマンドラインの解析に失敗した理由を調べてください。
- ADDSDeployment Windows PowerShell に指定した引数にタイプミスはありませんか、また引数を指定し忘れていませんか。 たとえば、ADDSDeployment Windows PowerShell を使用している場合、必要な引数を有効な名前で
前提条件が満たされていないことによるエラーの場合
- 以前は致命的な昇格の結果となっていたエラーの多くは、前提条件チェッカーによって予防できるようになりました。
- 前提条件エラーのテキストをご確認ください。これらは管理されたシナリオであり、ほとんどの問題の解決に必要なガイダンスが示されています。
昇格のエラーであり、そのために致命的なエラーである場合
結果を慎重に調べます。多くのエラーには、不適切なパスワード、ネットワーク名解決、重要なオフライン ドメイン コントローラーなどの説明があります。
出力に表示されるエラーの Dcpromoui.log と dcpromo.log を調べて、エラーが発生した理由を確認するために、それらのエラーから戻って作業します。
- 動作が確認されているサンプル ログと比較してみてください。
- スキーマの拡張やフォレストまたはドメインの準備の問題が結果に示されている場合のみ、ADPrep ログを調べてください。
- 構成プロセスでハンドルされない例外が原因で、 Dcpromoui.log に詳細がないか、または任意に終了した場合にのみ、DirectoryServices-Deployment イベント ログでエラーを調べます。
構成の問題に関するその他の情報については、ディレクトリ サービス、システム、アプリケーション イベント ログなどを調べてください。 他のネットワークの構成ミスで分散システム全体に影響が及んだ結果として、ドメイン コントローラーの昇格の問題が生ずることがよくあります。
dcdiag.exeとrepadmin.exeを使用してフォレストの全体的な正常性を検証し、ドメイン コントローラーの昇格を妨げる可能性のある微妙な構成の誤りを示します。
AutoRuns.exe、タスク マネージャー、またはMSinfo32.exeを使用して、コンピューターに干渉している可能性のあるサード パーティ製ソフトウェアを調べます。
サード パーティ製ソフトウェアを削除します (ソフトウェアを無効にしないでください。ドライバーの読み込みを妨げることはありません)。
昇格できないコンピューターとレプリケーション パートナーのドメイン コントローラーに NetMon 3.4 をインストールし、両面からネットワーク キャプチャを行い昇格プロセスを分析してください。
- これを、動作確認済みのラボ環境と比較して、正常な昇格の状態とエラーの発生場所をご確認ください。
- この時点で考えられるのは、フォレスト オブジェクト、既定でないセキュリティ設定変更、またはネットワークにエラーがあり、DNS の構成ミス、ファイアウォール、ホスト侵入保護ソフトウェア、その他の外部要因がこの新しいドメイン コントローラーに影響を与えているということです。
イベントとエラー メッセージのトラブルシューティング
ドメイン コントローラーの昇格と降格は、常に操作の終了時にコードを返します。ほとんどのプログラムとは異なり、成功のために 0 を返さないでください。 ドメイン コントローラー構成の終了時のコードを見る方法は複数あります。
サーバー マネージャーを使用している場合は、自動再起動の 10 秒前に昇格の結果を確認します。
ADDSDeployment Windows PowerShell を使用している場合は、自動再起動の 10 秒前に昇格の結果を確認します。 または、完了時に自動再起動しないように設定します。 出力を読みやすくするために、
format-listパイプラインを追加する必要があります。 例えば次が挙げられます。Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list前提条件の確認および検証中にエラーが発生すると再起動は行われませんので、どのような場合でもエラーが表示されます。 例えば次が挙げられます。
どのシナリオでも、 dcpromo.log と dcpromoui.logを調べます。
注意
以下にリストするエラーの中には、オペレーティング システムの違いや、新しいオペレーティング システムでのドメイン コントローラーの構成の変更により、発生しなくなったものもあります。 新しい ADDSDeployment Windows PowerShell コードでは、特定のエラーも防止されますが、
dcpromo.exe /unattendは発生しません。これは、現在の自動化のすべてを非推奨の DCPromo から ADDSDeployment Windows PowerShell に切り替えるもう 1 つの魅力的な理由です。
昇格と降格の成功コード
| エラー コード | 説明 | 注意 |
|---|---|---|
| 1 | 終了、成功 | 再起動する必要があります。これは、自動再起動フラグが削除されたことに注意してください。 |
| 2 | 終了、成功、再起動が必要 | |
| 3 | 終了、成功、重大でないエラーあり | 通常は DNS 委任の警告が返されるときのコードです。 DNS 委任を設定しない場合は以下を使用してください。
|
| 4 | 終了、成功、重大でないエラーあり、再起動が必要 | 通常は DNS 委任の警告が返されるときのコードです。 DNS 委任を設定しない場合は以下を使用してください。
|
昇格と降格の失敗コード
昇格と降格では、以下のエラー メッセージ コードが返されます。 多くの場合はエラーの詳しい情報が表示されます。番号の部分だけでなくエラー全体をお読みください。
| エラー コード | 説明 | 推奨される解決策 |
|---|---|---|
| 11 | ドメイン コントローラーの昇格が既に実行中です | 同じターゲット コンピューターに対して複数のドメイン コントローラー昇格インスタンスを同時に実行しないでください。 |
| 12 | ユーザーは管理者でなければなりません | 組み込みの Administrators グループのメンバーとしてログオンし、UAC を使用して昇格していることを確認します。 |
| 13 | 認証機関がインストールされています | このドメイン コントローラーは証明機関でもあるため、降格できません。 使用状況を慎重にインベントリする前に、CA を削除しないでください。 証明書を発行している場合、ロールを削除すると停止が発生します。 ドメイン コントローラーで CA を実行することはお勧めしません。 |
| 14 | セーフブート モードで実行中です | サーバーを通常モードで起動します。 |
| 15 | 役割の変更が進行中か、または起動が必要です | 昇格する前に、(以前の構成の変更により) サーバーを再起動する必要があります。 |
| 16 | 正しくないプラットフォームで実行しています | このエラーが発生する可能性はありません。 |
| 17 | NTFS 5 ドライブが存在しません | このエラーは、Windows Server 2012 では実行できません。少なくとも %systemdrive% NTFS でフォーマットする必要があります。 |
| 18 | windir に十分な領域がない | cleanmgr.exeを使用して、%systemdrive% ボリュームの領域を解放します。 |
| 19 | 名前の変更が保留中です。再起動が必要です | サーバーを再起動します。 |
| 20 | コンピューター名の構文が無効です | コンピューターの名前を有効な名前に変更します。 |
| 21 | このドメイン コントローラーは、FSMO 役割を持っているか、GC であるか、または DNS サーバーです。またはこれらすべてが当てはまります | -forceremovalを使用するときに-demoteoperationmasterroleを追加します。 |
| 22 | TCP/IP がインストールされていないか、または機能していません | コンピューターで TCP/IP が構成され、バインドされ、正常に動作していることを確認します。 |
| 23 | まず DNS クライアントを構成する必要があります | 新しいドメイン コントローラーをドメインに追加するときに、プライマリ DNS サーバーを設定します。 |
| 24 | 指定された資格情報が有効でないか、または必須の要素がありません | ユーザー名とパスワードが正しいことを確認します。 |
| 25 | 指定したドメインのドメイン コントローラーが見つかりませんでした | DNS クライアント設定、ファイアウォール規則を検証します。 |
| 26 | フォレストからドメインの一覧を読み取れませんでした | DNS クライアント設定、LDAP 機能、ファイアウォール規則を検証します。 |
| 27 | ドメイン名がありません | 昇格または降格時にドメインを指定します。 |
| 28 | ドメイン名が正しくありません | 昇格時に、有効な別の DNS ドメイン名を選択します。 |
| 29 | 親ドメインが存在しない | 新しい子ドメインまたはツリー ドメインを作成するときに指定された親ドメインを確認します。 |
| 30 | ドメインがフォレストにありません | 指定されたドメイン名を確認します。 |
| 31 | 子ドメインが既に存在します | 別のドメイン名を指定します。 |
| 32 | NetBIOS ドメイン名が正しくありません | 有効な NetBIOS ドメイン名を指定します。 |
| 33 | IFM ファイルへのパスが無効です | [メディアからインストール] フォルダーへのパスを検証します。 |
| 34 | IFM データベースが正しくありません | このオペレーティング システムと役割 (同じオペレーティング システムバージョン、同じ種類のドメイン コントローラー - RODC と RWDC) には、適切なメディアからのインストールを使用します。 |
| 35 | SYSKEY がありません | メディアからのインストールは暗号化されており、それを使用するには有効な SYSKEY を指定する必要があります。 |
| 37 | NTDS データベースまたはそのログへのパスが無効です | データベースとログのパスを、マップされたドライブや UNC パスではなく、固定 NTFS ボリュームに変更します。 |
| 38 | ボリュームに NTDS データベースまたはログ用の十分な領域がありません | cleanmgr.exeを使用して領域を解放し、ディスク領域を増やし、不要なデータを別の場所に移動して手動で領域をクリアします。 |
| 39 | SYSVOL へのパスが無効です | SYSVOL フォルダーのパスを、マップされたドライブまたは UNC パスではなく、固定 NTFS ボリュームに変更します。 |
| 40 | サイト名が無効です | 存在するサイト名を指定します。 |
| 41 | セーフモードのパスワードを指定する必要があります | DSRM アカウントのパスワードを指定します。パスワード ポリシーの構成方法に関係なく、パスワードを空白にすることはできません。 |
| 42 | セーフ モードのパスワードが条件を満たしていない (昇格のみ) | パスワード ポリシーで構成されている規則を満たす DSRM アカウントのパスワードを指定します。 |
| 43 | 管理者パスワードが条件を満たしていない (降格のみ) | パスワード ポリシーで構成されている規則を満たすローカル管理者アカウントのパスワードを指定します。 |
| 44 | フォレストに指定した名前が無効です | 有効なフォレスト ルート DNS ドメイン名を指定します。 |
| 45 | 指定した名前のフォレストが既に存在します | 別のフォレスト ルート DNS ドメイン名を選択します。 |
| 46 | ツリーに指定した名前が無効です | 有効なツリー DNS ドメイン名を指定します。 |
| 47 | 指定した名前のツリーが既に存在します | 別のツリー DNS ドメイン名を選択します。 |
| 48 | ツリー名がフォレスト構造に収まらない | 別のツリー DNS ドメイン名を選択します。 |
| 49 | 指定されたドメインが存在しない | 入力したドメイン名を確認します。 |
| 50 | 降格中に、最後のドメイン コントローラーが検出されましたが、そうでない場合でも、または最後のドメイン コントローラーが指定されましたが、指定されていません | true でない限り、ドメイン (-lastdomaincontrollerindomain) で Last ドメイン コントローラーを指定しないでください。 これが本当に最後のドメイン コントローラーであり、ファントム ドメイン コントローラーメタデータがある場合は、 -ignorelastdcindomainmismatch を使用してオーバーライドします。 |
| 51 | このドメイン コントローラーにアプリ パーティションが存在します | アプリケーション パーティションの削除 (-removeapplicationpartitions) に指定します。 |
| 52 | 必須のコマンドライン引数がありません (コマンドラインで応答ファイルを指定する必要があります) | dcpromo /unattendでのみ表示されます。これは非推奨です。 以前のドキュメントをご覧ください |
| 53 | 昇格または降格に失敗しました。クリーンアップのためにコンピューターを再起動する必要があります | 拡張エラーとログを調べます。 |
| 54 | 昇格または降格に失敗しました | 拡張エラーとログを調べます。 |
| 55 | 昇格または降格がユーザーによってキャンセルされました | 拡張エラーとログを調べます。 |
| 56 | 昇格または降格がユーザーによってキャンセルされました。クリーンアップのためにコンピューターを再起動する必要があります | 拡張エラーとログを調べます。 |
| 58 | RODC 昇格中にサイト名を指定する必要があります | RODC のサイトを指定する必要があります。RWDC のようなサイトは自動的には検出されません。 |
| 59 | 降格中、このドメイン コントローラーがゾーンのいずれかで最後の DNS サーバーです | これがドメイン内の Last DNS サーバーであることを指定するか-ignorelastdnsserverfordomainを使用します。 |
| 60 | RODC を昇格するには、Windows Server 2008 以降を実行するドメイン コントローラーがドメイン内に存在する必要があります | 少なくとも 1 つの Windows Server 2008 以降のモデル書き込み可能ドメイン コントローラーを昇格させます。 |
| 61 | DNS をまだホストしていない既存のドメインに DNS を使用して Active Directory ドメイン Services をインストールすることはできません | このエラーを取得できません。 |
| 62 | 応答ファイルに [DCInstall] セクションがない | dcpromo /unattendでのみ表示されます。これは非推奨です。 以前のドキュメントをご覧ください |
| 63 | フォレストの機能レベルが Windows Server 2003 以下です | フォレストの機能レベルを少なくとも Windows Server 2003 ネイティブと同じレベルにしてください。 Windows 2000 および Windows NT 4.0 は、サポートされなくなったオペレーティング システムです。 |
| 64 | コンポーネントのバイナリの検出に失敗したため、昇格に失敗しました | AD DS ロールをインストールします。 |
| 65 | コンポーネントのバイナリのインストールに失敗したため、昇格に失敗しました | AD DS ロールをインストールします。 |
| 66 | オペレーティング システムの検出に失敗したため、昇格に失敗しました | エラーの詳細とログをご確認ください。サーバーが、自身のオペレーティング システムのバージョンを返すことができません。 全体的な正常性が非常に疑わしいため、コンピューターを再インストールする必要がある可能性があります。 |
| 68 | レプリケーション パートナーが無効です | repadmin.exeまたはGet-ADReplication\* Windows PowerShell を使用して、パートナー ドメイン コントローラーの正常性を検証します。 |
| 69 | 必須のポートが既に別のアプリケーションによって使用されています | netstat.exe -anobを使用して、予約済み AD DS ポートに誤って割り当てられているプロセスを特定します。 |
| 70 | フォレストのルート ドメイン コントローラーは GC でなければなりません | dcpromo /unattendでのみ表示されます。これは非推奨です。 以前のドキュメントをご覧ください |
| 71 | DNS サーバーは既にインストールされています | DNS サービスが既にインストールされている場合は、DNS (-installDNS) をインストールするように指定しないでください。 |
| 72 | コンピューターで、リモート デスクトップ サービスが非管理者モードで実行されています | このドメイン コントローラーは、3 名以上の管理者ユーザー用に構成された RDS サーバーでもあるため、昇格することはできません。 使用状況を慎重にインベントリする前に RDS を削除しないでください。 アプリケーションまたはエンド ユーザーによって使用されている場合、削除によって停止が発生します。 |
| 73 | 指定されたフォレストの機能レベルは無効です。 | 有効なフォレスト機能レベルを指定します。 |
| 74 | 指定されたドメインの機能レベルは無効です。 | 有効なドメイン機能レベルを指定します。 |
| 75 | デフォルトのパスワード レプリケーション ポリシーを識別することができません。 | RODC パスワード レプリケーション ポリシーが存在し、アクセス可能であることを検証します。 |
| 76 | 指定された、レプリケート済みまたはレプリケートされていないセキュリティ グループが無効です | パスワード レプリケーション ポリシーを指定するときに、有効なドメインとユーザー アカウントを入力したことを確認します。 |
| 77 | 指定された引数は無効です | 拡張エラーとログを調べます。 |
| 78 | Active Directory フォレストを調べることができませんでした | 拡張エラーとログを調べます。 |
| 79 | rodcprep が実行されていないため、RODC を昇格できません | Windows Server 2012 を使用してフォレストを準備するか、 adprep.exe /rodcprepを使用します。 |
| 80 | Domainprep が実行されていません | Windows Server 2012 を使用してドメインを準備するか、 adprep.exe /domainprepを使用します。 |
| 81 | Forestprep が実行されていません | Windows Server 2012 を使用してフォレストを準備するか、 adprep.exe /forestprepを使用します。 |
| 82 | フォレストのスキーマが一致しません | Windows Server 2012 を使用してフォレストを準備するか、 adprep.exe /forestprepを使用します。 |
| 83 | サポートされていない SKU です | このエラーが発生する可能性はありません。 |
| 84 | ドメイン コントローラーのアカウントを検出できません | 既存のドメイン コントローラーに正しいユーザー アカウント コントロール属性セットがあることをご確認ください。 |
| 85 | 第 2 段階のドメイン コントローラー アカウントを選択することができません | [Use Existing Account](既存のアカウントの使用) を指定した場合で、アカウントが見つからないかアカウントの参照時にエラーが発生した場合にこのエラーが返されます。 正しい RODC ステージング アカウントを指定していることを確認します。 |
| 86 | 第 2 段階の昇格を実行する必要があります | 追加のドメイン コントローラーを昇格するが、既存のアカウントが存在し、[再インストールを許可する] が指定されていない場合に返されます。 |
| 87 | 競合するタイプのドメイン コントローラー アカウントが存在します | 使用されていないドメイン コントローラーにアタッチする場合以外は、昇格前にコンピューターの名前を変更してください。 アカウントの種類に応じて、 -useexistingaccount と正しい読み取り専用または書き込み可能な引数を使用して、割り当てられていないドメイン コントローラー アカウントにアタッチする必要があります。 |
| 88 | 指定されたサーバー管理者が無効です | RODC 管理者の委任に、無効なアカウントを指定しました。 指定されたアカウントが有効なユーザーまたはグループであることを確認します。 |
| 89 | 指定されたドメインの RID マスターがオフラインです。 | netdom.exe query fsmoを使用して RID マスターを検出します。 オンラインにして、昇格しているドメイン コントローラーからアクセスできるようにします。 |
| 90 | ドメイン名前付けマスターがオフラインです。 | ドメインの名前付けマスターを検出するには、 netdom.exe query fsmo を使用します。 オンラインにして、昇格しているドメイン コントローラーからアクセスできるようにします。 |
| 91 | プロセスが wow64 かどうかの確認に失敗しました | このエラーを取得することはできなくなりました。オペレーティング システムは 64 ビットです。 |
| 92 | Wow64 プロセスはサポートされていません | このエラーを取得することはできなくなりました。オペレーティング システムは 64 ビットです。 |
| 93 | ドメイン コントローラー サービスが非強制降格用に実行されていません | AD DS サービスを開始します。 |
| 94 | ローカル管理者パスワードが要件を満たしていません。空白または必須に設定されていません | 空白以外のパスワードを指定し、ローカル パスワード ポリシーにパスワードが必要であることを確認します。 |
| 95 | ライブ RODC が存在するドメインで、Windows Server 2008 以降の最後のドメイン コントローラーを降格できません | すべての Windows Server 2008 以降の書き込み可能なドメイン コントローラーを降格するには、まずすべての RODC を降格する必要があります。 |
| 96 | DS バイナリをアンインストールできません | dcpromo /unattendでのみ表示されます。これは非推奨です。 以前のドキュメントをご覧ください |
| 97 | フォレストの機能レベルのバージョンが、子ドメインのオペレーティング システムのものよりも高いです | フォレストの機能レベルと同じかそれより高い機能の子ドメインを指定します。 |
| 98 | コンポーネントのバイナリのインストールまたはアンインストールが進行中です。 | dcpromo /unattendでのみ表示されます。これは非推奨です。 以前のドキュメントをご覧ください |
| 99 | フォレストの機能レベルが低すぎます (Windows Server 2012 のみのエラーです) | フォレストの機能レベルを少なくとも Windows Server 2003 ネイティブと同じレベルにしてください。 Windows 2000 および Windows NT 4.0 は、サポートされなくなったオペレーティング システムです。 |
| 100 | ドメインの機能レベルが低すぎます (Windows Server 2012 のみのエラーです) | ドメインの機能レベルを少なくとも Windows Server 2003 ネイティブと同じレベルにしてください。 Windows 2000 および Windows NT 4.0 は、サポートされなくなったオペレーティング システムです。 |
既知の問題と一般的なサポート シナリオ
Windows Server 2012 開発プロセス中に発生する一般的な問題を次に示します。 これらはすべて "設計上" の問題で、最初の段階で回避するための有効な回避策または適切な手段があります。 これらの多くは Windows Server 2008 R2 およびそれ以前のオペレーティング システムでも同じですが、AD DS の展開が変更されたことで、問題への感度が高まりました。
| 問題 | ドメイン コントローラーを降格すると、DNS がゾーンなしで実行される |
|---|---|
| 現象 | サーバーは DNS 要求に応答しますが、ゾーン情報がありません |
| 解決策と説明 | AD DS 役割を削除する際は、DNS サーバー役割も削除するか、DNS サーバー サービスを無効化してください。 DNS クライアントを、それ自体でなく別のサーバーにポイントしてください。 Windows PowerShell を使用している場合は、サーバーを降格した後に以下のコマンドを実行してください コード- または コード- |
| 問題 | Windows Server 2012 を既存の単一ラベル ドメインに昇格しても、updatetopleveldomain=1 または allowsinglelabeldnsdomain=1 が設定されない |
|---|---|
| 現象 | DNS レコードの動的登録が行われません |
| 解決策と説明 | Netlogon と DNS グループ ポリシーを使用してこれらの値を設定します Microsoft では、Windows Server 2008 での単一ラベル ドメインの作成をブロックするようになりました。ADMT またはドメイン リネーム ツールを使って、承認済みの DNS ドメイン構造に変更してください |
| 問題 | 作成済みの、使用されていない RODC アカウントがあると、ドメイン内の最後のドメイン コントローラーの降格に失敗する |
|---|---|
| 現象 | 降格が失敗し、メッセージが表示される
Active Directory Domain Services は、ディレクトリ パーティション CN=Schema、CN=Configuration、DC=corp、DC=contoso、DC=com 内の残りのデータを転送するための、別の Active Directory ドメイン コントローラーを見つけることができませんでした。 "The format of the specified domain name is invalid." |
| 解決策と説明 | ドメインを降格する前に、Dsa.msc または Ntdsutil.exe metadata cleanup を使用して、作成済みの残りの RODC を削除してください。 |
| 問題 | 自動フォレストおよびドメイン準備で GPPREP が実行されない |
|---|---|
| 現象 | グループ ポリシーのドメイン間計画機能であるポリシーの結果セット (RSOP) 計画モードでは、更新済みのファイルシステムと、既存の GP の Active Directory アクセス許可が必要です。 Gpprep がないと、ドメイン間で RSOP 計画を使用できません。 |
| 解決策と説明 | 以前に Windows Server 2003、Windows Server 2008、または Windows Server 2008 R2 用に準備されていないすべてのドメインに対して、 adprep.exe /gpprep を手動で実行します。 管理者は、特定のドメインに対して一度だけ (アップグレードのたびにではなく) GPPrep を実行する必要があります。 これは 自動 adprep によって実行されません。その理由は、適切なカスタム アクセス許可を既に設定した場合は、すべての SYSVOL コンテンツがすべてのドメイン コントローラー上で再度レプリケートされるためです。 |
| 問題 | UNC パスをポイントしているとメディアからのインストールの検証に失敗する |
|---|---|
| 現象 | 返されるエラー コード - メディア パスを検証できませんでした。 "2" 個の引数で "GetDatabaseInfo" の呼び出し中に例外が発生しました。 フォルダーが無効です。 |
| 解決策と説明 | IFM ファイルは、UNC パスでなくローカル ディスクに保存する必要があります。 この意図的なブロックにより、ネットワークの中断による部分的なサーバーの昇格を防止できます。 |
| 問題 | ドメイン コントローラーの昇格中に、DNS 委任の警告が 2 回表示される |
|---|---|
| 現象 | ADDSDeployment Windows PowerShell を使用して昇格すると、警告が 2 回 表示される。 コード- |
| 解決策と説明 | 無視。 ADDSDeployment Windows PowerShell は、前提条件チェックの際に一度、ドメイン コントローラーの構成中にもう一度、合計 2 度警告を表示します。 DNS 委任を構成したくない場合は、以下の引数を使用してください。 コード- このメッセージを抑制するために、前提条件チェックをスキップしないでください。 |
| 問題 | 構成中に UPN または非ドメインの資格情報を指定すると、誤ったエラーが表示される |
|---|---|
| 現象 | サーバー マネージャーが以下のエラーを返します コード - "6" 個の引数で "DNSOption" を呼び出し中に例外が発生しました ADDSDeployment Windows PowerShell が以下のエラーを返します コード- |
| 解決策と説明 | 有効なドメイン資格情報を <domain>\<user> の形式で指定していることを確認します。 |
| 問題 | Dism.exeを使用して DirectoryServices-DomainController ロールを削除すると、サーバーが起動できなくなります |
|---|---|
| 現象 | ドメイン コントローラーを正常に降格する前に Dism.exe を使用して AD DS ロールを削除した場合、サーバーは正常に起動しなくなり、エラーが表示されます。 コード - 状態: 0x000000000 |
| 解決策と説明 | Shift+F8 を使用して、ディレクトリ サービス修復モードで起動します。 その後 AD DS 役割をもう一度設定し、ドメイン コントローラーを強制的に降格します。 または、バックアップからシステムの状態を復元してください。 AD DS ロールの削除には Dism.exe を使用しないでください。このユーティリティにはドメイン コントローラーに関する知識がありません。 |
| 問題 | フォレスト モードを Win2012 に設定すると、新しいフォレストのインストールに失敗する |
|---|---|
| 現象 | ADDSDeployment Windows PowerShell を使用して昇格を行うと、以下のエラーが返されます コード-
|
| 解決策と説明 | Win2012 のフォレスト機能モードを指定するときは、Win2012 のドメイン機能モード "も" 指定してください。 以下のように指定するとエラーが発生せずに動作します。 コード- |
| 問題 | [メディアからインストール] 選択領域で Verify を選択すると、何も行われません |
|---|---|
| 現象 | IFM フォルダーへのパスを指定した場合、[ Verify ] ボタンを選択しても、メッセージが返されたり、何も表示されたりすることはありません。 |
| 解決策と説明 | [検証] ボタンをクリックすると、問題が発生している場合のみエラーが表示されます。 問題がない場合は、IFM パスを既に指定していれば、[次へ] ボタンが選択可能になります。 IFM を選択した場合、続行するには [確認する] を選択する必要があります。 |
| 問題 | サーバー マネージャーを使用して降格すると、完了するまでフィードバックが返されない。 |
|---|---|
| 現象 | サーバー マネージャーを使用して AD DS 役割を削除しドメイン コントローラーを降格した場合、降格が完了または失敗するまでフィードバックは返されません。 |
| 解決策と説明 | これはサーバー マネージャーの制限です。 フィードバックが必要な場合は、以下の ADDSDeployment Windows PowerShell コマンドレットを使用してください。 コード- |
| 問題 | [Install from Media](メディアからのインストール) の [確認する] で、RODC メディアが書き込み可能なドメイン コントローラー用に提供されたかまたはその逆が行われたことが検出されない。 |
|---|---|
| 現象 | IFM を使用して新しいドメイン コントローラーを昇格し、IFM に不適切なメディア (書き込み可能なドメイン コントローラーの RODC メディア、RODC の RWDC メディアなど) を提供する場合、 Verify ボタンはエラーを返しません。 その後、昇格に失敗して以下のエラーが返されます。 コード - このマシンをドメイン コントローラーとして構成しようとしたときにエラーが発生しました。 |
| 解決策と説明 | [検証] ボタンでは、IFM の全体的な整合性のみが確認されます。 サーバーに、誤ったタイプの IFM を指定しないでください。 次に昇格を実行する前に、正しいメディアを使用してサーバーを再起動してください。 |
| 問題 | 作成済みのコンピューター アカウントに RODC を昇格すると失敗する |
|---|---|
| 現象 | ADDSDeployment Windows PowerShell を使用して、段階的なコンピューター アカウントで新しい RODC を昇格すると、以下のエラーが表示されます。 コード- |
| 解決策と説明 | 作成済みの RODC アカウント上で既に定義済みのパラメーターを指定しないでください。 これには以下が含まれます。 コード - |
| 問題 | [必要に応じて対象サーバーを自動的に再起動する] を選択または選択解除しても何も変わらない |
|---|---|
| 現象 | 役割の削除によってドメイン コントローラーを降格するときに、サーバー マネージャー オプションの [Restart each destination server automatically if required](必要に応じて対象サーバーを自動的に再起動する) を選択または選択解除すると、選択肢にかかわらずサーバーが必ず再起動します。 |
| 解決策と説明 | これは意図的なものであり、 この設定に関係なく、降格プロセスを実行するとサーバーが再起動されます。 |
| 問題 | Dcpromo.log で "[error] setting security on server files failed with 2" と表示される |
|---|---|
| 現象 | ドメイン コントローラーの降格は問題なく完了するが、dcpromo ログに以下のエラーが記録されます コード- |
| 解決策と説明 | 無視してください。このエラーは予期されるものであり、特に問題はありません。 |
| 問題 | 前提条件 adprep チェックが失敗し、"交換スキーマ競合チェックを実行できません" というエラーが表示される |
|---|---|
| 現象 | Windows Server 2012 ドメイン コントローラーを既存の Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 フォレストに昇格しようとすると、前提条件チェックに失敗し、以下のエラーが表示されます コード - AD 準備の前提条件の検証に失敗しました。 ドメイン <ドメイン名> の Exchange スキーマの競合チェックを実行できません (例外:RPC サーバーを使用できません) adprep.logにエラーが表示されます。 コード- データを取得できませんでした。 |
| 解決策と説明 | 新しいドメイン コントローラーは、既存のドメイン コントローラーに対する DCOM/RPC プロトコルを通じて WMI にアクセスできません。 これまでに、以下の 3 つの原因が知られています。 - ファイアウォール規則によって、既存のドメイン コントローラーへのアクセスがブロックされます。 |
| 問題 | 新しい AD DS フォレストを作成すると常に DNS の警告が表示される |
|---|---|
| 現象 | 新しい AD DS フォレストを作成し、それ自身に対し、新しいドメイン コントローラー上に DNS ゾーンを作成すると、以下の警告メッセージが表示されます コード - DNS 構成でエラーが検出されました。 |
| 解決策と説明 | 無視。 既存の DNS サーバーおよびゾーンにポイントしようとした場合は、新しいフォレストのルートドメイン内の最初のドメイン コントローラーでこの警告が表示されるように設計されています |
| 問題 | Windows PowerShell -whatif 引数が正しくない DNS サーバー情報を返す |
|---|---|
| 現象 | 暗黙的または明示的な-installdns:$trueを使用してドメイン コントローラーを構成するときに -whatif 引数を使用すると、結果の出力は次のようになります。コード- |
| 解決策と説明 | 無視。 DNS は正しくインストールされ構成されています。 |
| 問題 | 昇格後、ログオンが失敗し、"このコマンドを処理するのに十分なストレージがありません" というエラーが表示されます。 |
|---|---|
| 現象 | 新しいドメイン コントローラーを昇格した後ログオフし、対話的にログオンしようとすると、以下のエラーが表示されます コード - このコマンドを処理するのに必要な記憶域をで確保できません。 |
| 解決策と説明 | 昇格後、エラーまたは ADDSDeployment Windows PowerShell 引数 -norebootoncompletionを指定したため、ドメイン コントローラーが再起動されませんでした。 ドメイン コントローラーを再起動してください。 |
| 問題 | [ドメイン コントローラー オプション] ページで [次へ] ボタンを使用できない |
|---|---|
| 現象 | パスワードを設定しても、サーバー マネージャーの [ドメイン コントローラー オプション] ページで [次へ] ボタンが使用できません。 [サイト名] メニューにサイトがリストされません。 |
| 解決策と説明 | 複数の AD DS サイトがあり、そのうち少なくとも 1 つにサブネットがありません。この未来のドメイン コントローラーは、それらのサブネットの 1 つに属しています。 [サイト名] ドロップダウン メニューから手動でサブネットを選択する必要があります。 また、 DSSITE を使用して、すべての AD サイトを確認する必要があります。MSC または次の Windows PowerShell コマンドを使用して、サブネットが見つからないすべてのサイトを検索します。 コード - "get-adreplicationsite -filter * -property subnets |where-object {!$_.subnets -eq "*"} |format-table name" |
| 問題 | 昇格または降格が失敗し、"サービスを開始できません" というメッセージが表示される |
|---|---|
| 現象 | ドメイン コントローラーの昇格、降格、複製などを実行しようとすると、以下のエラーが表示されます。 コード - サービスを開始できません。サービスが無効になっているか、有効なデバイスがサービスに関連付けられていません (0x80070422) エラーは、対話型、イベント、または dcpromoui.log や dcpromo.logなどのログに書き込まれる場合があります。 |
| 解決策と説明 | DS 役割サーバー サービス (DsRoleSvc) が無効化されています。 既定では、このサービスは AD DS 役割のインストール中にインストールされ、開始の種類が [手動] に設定されます。 このサービスは無効にしないでください。 サービスを [手動] に設定しなおし、DS 役割の操作が必要に応じて開始および終了できるようにします。 この動作は仕様です。 |
| 問題 | サーバー マネージャーが、DC を降格する必要があると引き続き警告する |
|---|---|
| 現象 | 非推奨のdcpromo.exe /unattendを使用してドメイン コントローラーを昇格させる場合、または既存の Windows Server 2008 R2 ドメイン コントローラーを Windows Server 2012 にアップグレードした場合でも、展開後の構成タスクこのサーバーをドメイン コントローラーに昇格サーバー マネージャーが表示されます。 |
| 解決策と説明 | デプロイ後の警告のリンクを選択すると、メッセージが消えます。 このエラーは予期されるものであり、特に問題はありません。 |
| 問題 | サーバー マネージャーの展開スクリプトに役割インストールがない |
|---|---|
| 現象 | サーバー マネージャーを使用してドメイン コントローラーを昇格させ、Windows PowerShell 展開スクリプトを保存する場合、役割のインストール コマンドレットと引数 (install-windowsfeature -name ad-domain-services -includemanagementtools) は含まれません。 役割がない場合は、DC を構成できません。 |
| 解決策と説明 | スクリプトに、該当するコマンドレットと引数を手動で追加してください。 この動作は仕様です。 |
| 問題 | サーバー マネージャーのデプロイ スクリプトが PS1 という名前ではない |
|---|---|
| 現象 | サーバー マネージャーを使用してドメイン コントローラーを昇格し、Windows PowerShell 展開スクリプトを保存すると、ファイルには、PS1 ではなくランダムな一時名が付けられます。 |
| 解決策と説明 | ファイル名を手動で変更してください。 この動作は仕様です。 |
| 問題 | Dcpromo /unattend で、サポートされない機能レベルが許可される |
|---|---|
| 現象 | 次のサンプル応答ファイルで dcpromo /unattend を使用してドメイン コントローラーを昇格させる場合:コード - [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Yes AutoConfigDNS=Yes RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=No DomainLevel=0 ForestLevel=0 昇格は、 dcpromoui.logで次のエラーで失敗します。 コード - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 DomainLevel の値は 0 dcpromoui EA4.5B8 008B 13:31:50.783 終了コードは 77 dcpromoui EA4.5B8 008C 13:31:50.783 指定された引数が無効です。 dcpromoui EA4.5B8 008B 13:31:50.783 終了ログ dcpromoui EA4.5B8 0032 13:31:50.830 終了コードは 77 レベル 0 は Windows 2000 であり、Windows Server 2012 ではサポートされていません。 |
| 解決策と説明 | 非推奨の dcpromo /unattend を使用せず、後で失敗する無効な設定を指定できる点を理解してください。 この動作は仕様です。 |
| 問題 | NTDS 設定オブジェクトの作成時に昇格が "ハング" して完了しない |
|---|---|
| 現象 | レプリカの DC または RODC を昇格すると、昇格が "NTDS 設定オブジェクトを作成しています" の段階に達しても、続行も完了もしない。 ログも更新されなくなります。 |
| 解決策と説明 | これは、ビルトイン ドメイン管理者アカウントに一致するパスワードを使用してビルトイン ローカル管理者のアカウントの資格情報を指定すると発生することが知られている問題です。 これにより、中心となるセットアップ エンジンに問題が発生し、エラーを発生させるのでなく、永遠に待機します (疑似ループ)。 これは望ましくない動作ですが、想定される動作です。 サーバーを修復するには以下の手順を実行してください。 1. 再起動します。 1. AD で、該当するサーバーのメンバー コンピューター アカウントを削除します (まだ DC アカウントではありません) 2. そのサーバー上で、ドメインから強制的に切断します。 3. そのサーバーで、AD DS ロールを削除します。 4. 再起動 5. AD DS の役割を読み取り、昇格を再試行し、 <ドメイン>\<admin> 形式の資格情報を、組み込みのローカル管理者アカウントだけでなく DC 昇格に提供することを確認しました。 |