Dela via

Felsöka distribution av domänkontrollant

  • Artikel

Den här artikeln beskriver detaljerade metoder för felsökning av konfiguration och distribution av domänkontrollanter.

Gäller för: Windows Server 2022, Windows Server 2019, Windows Server 2016

Prova vår virtuella agent – Det kan hjälpa dig att snabbt identifiera och åtgärda vanliga Active Directory-replikeringsproblem.

Introduktion till felsökning

Diagram som visar arbetsflödet för att felsöka distribution av domänkontrollanter.

Inbyggda loggar för felsökning

De inbyggda loggarna är det viktigaste verktyget när du felsöker problem med befordran och degradering av domänkontrollanter. Alla dessa loggar är som standard aktiverade och konfigurerade för maximal detaljnivå.

Fas Loggas
Åtgärder med Serverhanteraren eller Windows PowerShell-cmdleten ADDSDeployment - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Installation/befordran av domänkontrollanten - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- Loggboken Windows Logs\System\

- Loggboken Windows-loggprogram\\

- katalogtjänsten Loggboken Applications and Services Logs\\

- Loggboken Applications and Services Logs\File Replication Service\

- Loggboken Program och tjänstloggar\DFS-replikering\
Uppgradering av skog eller domän - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
Motor för distribution med Serverhanteraren eller Windows PowerShell-cmdleten ADDSDeployment - Loggboken Applications and Services Logs\Microsoft\Windows\DirectoryServices-Deployment Operational\\
Windows Servicing - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Verktyg och kommandon för felsökning av konfiguration av domänkontrollant

Om du behöver felsöka problem som inte förklaras i loggarna använder du följande verktyg som utgångspunkt:

  • Dcdiag.exe
  • Repadmin.exe
  • AutoRuns.exe, Aktivitetshanteraren och MSInfo32.exe
  • Network Monitor 3.4 (eller ett nätverksinsamlings- och analysverktyg från tredje part)

Allmän metod för att felsöka konfiguration av domänkontrollant

  1. Orsakade ett syntaxproblem felet?

    1. Råkade du skriva fel eller glömde du att lägga till ett argument i Windows PowerShell-cmdleten ADDSDeployment? Om du till exempel använder ADDSDeployment Windows PowerShell, har du glömt att lägga till argumentet med -domainname ett giltigt namn?
    2. Granska Utdata från Windows PowerShell-konsolen noggrant för att se exakt varför det inte går att parsa den angivna kommandoraden.

  2. Är det några krav som inte uppfylls?

    1. Många fel som brukade uppstå som resultat av misslyckad befordran förhindras nu av kravkontrollen.
    2. Granska texten i de nödvändiga felen noggrant, de ger den vägledning som krävs för att lösa de flesta problem, eftersom de är kontrollerade scenarier.

  3. Har felet uppstått vid befordran och är därför allvarligt?

    1. Granska resultaten noggrant: många fel har förklaringar som felaktiga lösenord, nätverksnamnsmatchning eller kritiska offlinedomänkontrollanter.

    2. Granska Dcpromoui.log och dcpromo.log för de fel som visas i utdata och arbeta sedan bakåt från dem för att se indikationer på varför felet inträffade.

      1. Jämför alltid med en fungerande exempellogg
      2. Du behöver bara granska ADPrep-loggarna om resultatet visar att det finns problem som gör det svårt att utöka schemat eller förbereda skogen eller domänen.
      3. Granska händelseloggen DirectoryServices-Deployment efter fel endast om Dcpromoui.log saknar detaljer eller slutar godtyckligt på grund av ett ohanterat undantag i konfigurationsprocessen.

    3. Granska händelseloggarna Directory Services, System och Program och leta efter annat som tyder på ett konfigurationsfel. Ofta är befordran av domänkontrollant bara ett symptom på andra felkonfigurationer i nätverket som skulle påverka alla distribuerade system.

    4. Använd dcdiag.exe och repadmin.exe för att verifiera den övergripande skogens hälsa och ange subtila felkonfigurationer som kan förhindra ytterligare befordran av domänkontrollanter.

    5. Använd AutoRuns.exe, Aktivitetshanteraren eller MSinfo32.exe för att undersöka datorn efter programvara från tredje part som kan störa.

      Ta bort programvara från tredje part (inaktivera inte programvaran, som inte förhindrar inläsning av drivrutiner).

    6. Installera NetMon 3.4 på datorn där befordran misslyckas och på domänkontrollantens replikeringspartner och analysera befordran med dubbelsidig nätverksinsamling.

      1. Jämför detta med din arbetsmiljö för att förstå hur en felfri befordran ser ut och var den misslyckas.
      2. I det här läget är det troligt att felen beror på skogsobjekt, icke-bakåtstända säkerhetsändringar eller nätverket, och den nya domänkontrollanten är ett offer för felkonfigurationer i DNS, brandväggar, programvara för skydd mot värdintrång eller andra yttre faktorer.

Felsöka händelser och felmeddelanden

Befordran och degradering av domänkontrollanter returnerar alltid en kod i slutet av åtgärden och till skillnad från de flesta program returnerar du inte noll för att lyckas. Du kan visa koden i slutet av konfigureringen av en domänkontrollant på flera sätt:

  1. När du använder Serverhanteraren granskar du kampanjresultatet under de 10 sekunderna före automatisk omstart.

  2. När du använder ADDSDeployment Windows PowerShell granskar du kampanjresultaten under de 10 sekunderna före automatisk omstart. Du kan också välja att inte starta om automatiskt efter åtgärden. Du bör lägga till pipelinen format-list för att göra utdata lättare att läsa. Till exempel:

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Fel i kravverifiering och verifiering fortsätter inte till en omstart, så de visas i alla fall. Till exempel:

    Skärmbild av felen i kravverifiering och verifiering.

  3. Under alla scenarier undersöker du dcpromo.log och dcpromoui.log.

    Kommentar

    Några av de fel som beskrivs nedan är inte längre möjliga, på grund av konfigurationsändringar i operativsystemet och på domänkontrollanten i senare operativsystem. De nya ADDSDeployment Windows PowerShell-koderna förhindrar också vissa fel, men det gör det dcpromo.exe /unattend inte. Det här är en annan övertygande anledning att växla all din nuvarande automatisering från den inaktuella DCPromo till ADDSDeployment Windows PowerShell.

Lyckade koder för befordran och degradering

Felkod Förklaring Kommentar
1 Avsluta, slutfördes Du måste fortfarande starta om, detta noterar bara att flaggan för automatisk omstart har tagits bort.
2 Avsluta, åtgärden lyckades, omstart krävs
3 Avsluta, lyckades med ett icke-kritiskt fel Visas vanligen när du returnerar en DNS-delegeringsvarning. Om du inte konfigurerar DNS-delegering, använd:

-creatednsdelegation:$false.
4 Avsluta, lyckades, med ett icke-kritiskt fel, måste startas om Visas vanligen när du returnerar en DNS-delegeringsvarning. Om du inte konfigurerar DNS-delegering, använd:

-creatednsdelegation:$false.

Felkoder för befordran och degradering

Misslyckad befordran och degradering returnerar följande meddelandekoder. Det kommer sannolikt också att finnas ett utökat felmeddelande. läs alltid hela felet noggrant, inte bara den numeriska delen.

Felkod Förklaring Föreslagen lösning
11 Befordran av domänkontrollanten körs redan Kör inte fler än en instans av befordran av domänkontrollanter samtidigt för samma måldator.
12 Användaren måste vara en administratör Logga in som medlem i den inbyggda gruppen Administratörer och se till att du höjer med UAC.
13 En certifikatutfärdare är installerad Du kan inte degradera den här domänkontrollanten eftersom den också är en certifikatutfärdare. Ta inte bort certifikatet innan du noggrant inventera dess användning. Om den utfärdar certifikat orsakar borttagning av rollen ett avbrott. Det rekommenderas inte att köra certifikatutfärdare på domänkontrollanter.
14 Köra i säkert startläge Starta servern i normalt läge.
15 En rolländring pågår eller kräver omstart Du måste starta om servern (på grund av tidigare konfigurationsändringar) innan du befordras.
16 Körs på fel plattform Det är inte troligt att det här felet uppstår.
17 Det finns inga NTFS 5-enheter Det här felet är inte möjligt i Windows Server 2012, vilket kräver att minst %systemdrive% formateras med NTFS.
18 Inte tillräckligt med utrymme i windir Frigör utrymme på volymen %systemdrive% med hjälp av cleanmgr.exe.
19 Namnändring väntar, behöver startas om Starta om servern.
20 Datornamnet har ogiltig syntax Byt namn på datorn med ett giltigt namn.
21 Den här domänkontrollanten innehåller FSMO-roller, är en GC och/eller är en DNS-server Lägg till -demoteoperationmasterrole när du använder -forceremoval.
22 TCP/IP måste installeras eller fungerar inte Kontrollera att datorn har TCP/IP konfigurerat, bundet och fungerar korrekt.
23 DNS-klienten måste konfigureras först Ange en primär DNS-server när du lägger till en ny domänkontrollant i en domän.
24 Angivna autentiseringsuppgifter är ogiltiga eller saknar obligatoriska element Kontrollera att användarnamnet och lösenordet är korrekt.
25 Det gick inte att lokalisera domänkontrollanten för den angivna domänen Verifiera DNS-klientinställningar, brandväggsregler.
26 Det gick inte att läsa en lista över domäner från skogen Verifiera DNS-klientinställningar, LDAP-funktioner, brandväggsregler.
27 Domännamn saknas Ange en domän när du marknadsför eller degraderar.
28 Felaktigt domännamn Välj ett annat, giltigt DNS-domännamn när du marknadsför.
29 Överordnad domän finns inte Kontrollera den överordnade domän som angavs när du skapade en ny underordnad domän eller träddomän.
30 Domänen finns inte i skogen Verifiera det angivna domännamnet.
31 Det finns redan en underdomän Ange ett annat domännamn.
32 Felaktigt NetBIOS-domännamn Ange ett giltigt NetBIOS-domännamn.
33 Sökvägen till IFM-filerna är ogiltig Verifiera sökvägen till mappen Installera från media.
34 IFM-databasen är skadad Använd rätt Installera från media för det här operativsystemet och rollen (samma operativsystemversion, samma typ av domänkontrollant – RODC jämfört med RWDC).
35 SYSKEY saknas Installera från media är krypterad och du måste ange en giltig SYSKEY för att använda den.
37 Sökvägen till NTDS-databasen eller dess loggar är ogiltig Ändra sökvägen för databas och loggar till en fast NTFS-volym, inte en mappad enhet eller UNC-sökväg.
38 Volymen har inte tillräckligt med utrymme för NTDS-databas eller loggar Frigör utrymme med hjälp av cleanmgr.exe, lägg till mer diskutrymme, rensa manuellt utrymme genom att flytta onödiga data någon annanstans.
39 Sökvägen till SYSVOL är ogiltig Ändra sökvägen för SYSVOL-mappen till en fast NTFS-volym, inte en mappad enhet eller UNC-sökväg.
40 Ogiltigt platsnamn Ange ett webbplatsnamn som finns.
41 Du behöver ange ett lösenord för felsäkert läge Ange ett lösenord för DSRM-kontot. Det kan inte vara tomt oavsett hur lösenordsprincipen har konfigurerats.
42 Lösenord för felsäkert läge uppfyller inte kriterierna (endast befordran) Ange ett lösenord för DSRM-kontot som uppfyller lösenordsprincipens konfigurerade regler.
43 Administratörslösenordet uppfyller inte kriterierna (endast degradering) Ange ett lösenord för det lokala administratörskontot som uppfyller lösenordsprincipens konfigurerade regler.
44 Det angivna namnet på skogen är ogiltigt Ange ett giltigt DNS-domännamn för skogsroten.
45 Det finns redan en skog med det angivna namnet Välj ett annat DNS-domännamn för skogsroten.
46 Det angivna namnet för trädet är ogiltigt Ange ett giltigt DNS-domännamn för träd.
47 Ett träd med det angivna namnet finns redan Välj ett annat DNS-domännamn för träd.
48 Trädnamnet passar inte in i skogsstrukturen Välj ett annat DNS-domännamn för träd.
49 Den angivna domänen finns inte Verifiera ditt angivna domännamn.
50 Under degraderingen identifierades den senaste domänkontrollanten trots att den inte är det, eller så har den senaste domänkontrollanten angetts, men det är inte Ange inte Sista domänkontrollanten i domänen (-lastdomaincontrollerindomain) om det inte är sant. Använd -ignorelastdcindomainmismatch för att åsidosätta om detta verkligen är den sista domänkontrollanten och det finns fantommetadata för domänkontrollanten.
51 Programpartitioner finns på den här domänkontrollanten Ange för att ta bort programpartitioner (-removeapplicationpartitions).
52 Ett obligatoriskt kommandoradsargument saknas (en svarsfil måste anges på kommandoraden) Visas endast med dcpromo /unattend, som är inaktuell. Se äldre dokumentation.
53 Befordran/degraderingen misslyckades, datorn måste startas om för rensning Granska det utökade felet och loggarna.
54 Befordran/degraderingen misslyckades Granska det utökade felet och loggarna.
55 Befordran/degradering avbröts av användaren Granska det utökade felet och loggarna.
56 Befordran/degradering avbröts av användaren, datorn måste startas om för att rensas Granska det utökade felet och loggarna.
58 Ett platsnamn måste anges under RODC-befordran Du måste ange en plats för en RODC. Den identifierar inte automatiskt en som en RWDC.
59 Under degraderingen är den här domänkontrollanten den sista DNS-servern för en av dess zoner Ange att det här är den sista DNS-servern i domänen eller använd -ignorelastdnsserverfordomain.
60 En domänkontrollant som kör Windows Server 2008 eller senare måste finnas i domänen för att RODC ska kunna befordras Höj upp minst en Windows Server 2008 eller senare modell skrivbar domänkontrollant.
61 Du kan inte installera Active Directory-domän Services med DNS i en befintlig domän som inte redan är värd för DNS Det går inte att hämta det här felet.
62 Svarsfilen har inget [DCInstall]-avsnitt Visas endast med dcpromo /unattend, som är inaktuell. Se äldre dokumentation.
63 Funktionalitetsnivån för skogen är lägre än Windows Server 2003 Höj skogens funktionsnivå till minst enhetlig Windows Server 2003. Windows 2000 och Windows NT 4.0 stöds inte längre.
64 Befordran misslyckades eftersom den binära komponentidentifieringen misslyckades Installera AD DS-rollen.
65 Befordran misslyckades eftersom den binära komponentinstallationen misslyckades Installera AD DS-rollen.
66 Befordran misslyckades eftersom det inte gick att identifiera operativsystemet Granska utökat fel och loggar; servern misslyckas med att returnera sin version av operativsystemet. Det är troligt att datorn kommer att behöva installeras om, eftersom dess allmänna hälsa är mycket misstänkt.
68 Replikeringspartnern är ogiltig. Använd repadmin.exe eller Get-ADReplication\* Windows PowerShell för att verifiera partnerdomänkontrollantens hälsa.
69 Den obligatoriska porten används redan av ett annat program Använd netstat.exe -anob för att hitta processer som är felaktigt tilldelade till reserverade AD DS-portar.
70 Skogsrotens domänkontrollant måste vara en GC. Visas endast med dcpromo /unattend, som är inaktuell. Se äldre dokumentation.
71 DNS-servern är redan installerad Ange inte för att installera DNS (-installDNS) om DNS-tjänsten redan är installerad.
72 Datorn kör Fjärrskrivbordstjänster i nonadmin-läge Du kan inte höja upp den här domänkontrollanten eftersom den också är en RDS-server som har konfigurerats för fler än två administratörsanvändare. Ta inte bort RDS innan du noggrant inventera dess användning. Om den används av program eller slutanvändare orsakar borttagning ett avbrott.
73 Skogens angivna funktionsnivå är ogiltig Ange en giltig skogsfunktionsnivå.
74 Den angivna domänfunktionsnivån är ogiltig. Ange en giltig domänfunktionsnivå.
75 Det går inte att fastställa den förvalda lösenordsreplikeringsprincipen Kontrollera att RODC-principen för lösenordsreplikering finns och är tillgänglig.
76 De angivna replikerade/oreplikerade säkerhetsgrupperna är ogiltiga Kontrollera att du har skrivit in giltiga domän- och användarkonton när du anger en princip för lösenordsreplikering.
77 Det angivna argumentet är ogiltigt Granska det utökade felet och loggarna.
78 Det gick inte att undersöka Active Directory-skogen Granska det utökade felet och loggarna.
79 RODC kan inte höjas upp eftersom rodcprep inte har utförts Använd Windows Server 2012 för att förbereda skogen eller använda adprep.exe /rodcprep.
80 Domainprep har inte utförts Använd Windows Server 2012 för att förbereda domänen eller använda adprep.exe /domainprep.
81 Forestprep har inte utförts Använd Windows Server 2012 för att förbereda skogen eller använda adprep.exe /forestprep.
82 Skogens schema matchar inte Använd Windows Server 2012 för att förbereda skogen eller använda adprep.exe /forestprep.
83 SKU stöds inte Det är inte troligt att det här felet uppstår.
84 Det går inte att identifiera ett domänkontrollantkonto Kontrollera att befintliga domänkontrollanter har rätt kontrollattributuppsättning för användarkonton.
85 Det går inte att välja ett domänkontrollantkonto för etapp 2 Returneras om du anger "Använd befintligt konto" men inget konto hittades eller om det uppstår ett fel under kontosökningen. Se till att du har angett rätt RODC-mellanlagrat konto.
86 Du behöver köra befordran etapp 2 Returnerades om du befordrar ytterligare en domänkontrollant men det finns ett befintligt konto och "Tillåt ominstallation" inte har angetts.
87 Det finns ett domänkontrollantkonto med en typ i konflikt Byt namn på datorn innan du genomför befordran, om du inte försöker ansluta till en domänkontrollant som är ledig. Du måste ansluta till det obeboeliga domänkontrollantkontot med hjälp av -useexistingaccount och rätt skrivskyddade eller skrivbara argument, beroende på kontotyp.
88 Den angivna serveradministratören är inte giltig Du har angett ett ogiltigt konto för RODC-administratörsdelegering. Kontrollera att det angivna kontot är en giltig användare eller grupp.
89 RID-hanteraren för den angivna domänen är offline. Använd netdom.exe query fsmo för att identifiera RID-huvudservern. Ta den online och gör den tillgänglig för den domänkontrollant som du marknadsför.
90 Domännamngivningshanteraren är offline. Använd netdom.exe query fsmo för att identifiera domännamngivningshanteraren. Ta den online och gör den tillgänglig för den domänkontrollant som du marknadsför.
91 Det gick inte att avgöra om processen är wow64 Det går inte att hämta det här felet längre, operativsystemet är 64-bitars.
92 Wow64-processen stöds inte Det går inte att hämta det här felet längre, operativsystemet är 64-bitars.
93 Domänkontrollanttjänsten körs inte för icke-verkställbar degradering Starta AD DS-tjänsten.
94 Lösenord för lokal administratör uppfyller inte kravet: antingen tomt eller inte obligatoriskt Ange ett icke-tomt lösenord och se till att den lokala lösenordsprincipen kräver ett lösenord.
95 Det går inte att degradera den senaste Windows Server 2008 eller senare domänkontrollanten i domänen där live-RODC:er finns Du måste först degradera alla RODCs innan du kan degradera alla Windows Server 2008 eller senare skrivbara domänkontrollanter.
96 Det går inte att avinstallera DS-binärfiler Visas endast med dcpromo /unattend, som är inaktuell. Se äldre dokumentation.
97 En funktionalitetsnivåversion i skogen som är högre än den som finns i underdomänens operativsystem Ange en underordnad domän som fungerar på samma eller högre nivå än skogens funktionsnivå.
98 Komponentens binärfiler installeras/avinstalleras Visas endast med dcpromo /unattend, som är inaktuell. Se äldre dokumentation.
99 Skogens funktionalitetsnivå är för låg (felet förekommer endast i Windows Server 2012) Höj skogens funktionsnivå till minst enhetlig Windows Server 2003. Windows 2000 och Windows NT 4.0 stöds inte längre.
100 Domänens funktionalitetsnivå är för låg (felet förekommer endast i Windows Server 2012) Höj skogens funktionalitetsnivå till åtminstone den ursprungliga nivån i Windows Server 2003. Windows 2000 och Windows NT 4.0 stöds inte längre.

Kända problem och vanliga supportscenarier

Följande är exempel på vanliga problem som kan uppstå under Windows Server 2012-utvecklingsprocessen. Samtliga av dessa fel är designfel och har antingen en lämplig lösning eller teknik som gör att de kan undvikas helt. Många av dessa beteenden är identiska i Windows Server 2008 R2 och äldre operativsystem, men omarbetningen av AD DS-distributionerna gör dem särskilt relevanta.

Problem Degraderingen av en domänkontrollant gör att DNS körs utan zoner.
Symptom Servern svarar fortfarande på DNS-förfrågningar men har ingen zoninformation.
Kommentarer och lösning Ta även bort DNS-serverrollen eller avaktivera DNS-server-tjänsten när du tar bort AD DS-rollen. Kom ihåg att peka DNS-klienten till en annan server än sig själv. Om du använder Windows PowerShell kör du följande när du har degraderat servern:

Kod- uninstall-windowsfeature dns

eller

Kod- set-service dns -starttype disabled
stop-service dns
Problem Att marknadsföra en Windows Server 2012 till en befintlig domän med en enda etikett konfigurerar inte updatetopleveldomain=1 eller tillåterlelabeldnsdomain=1
Symptom Registrering av dynamisk DNS-post sker inte
Kommentarer och lösning Ange dessa värden med hjälp av grupprinciper för Netlogon och DNS. Microsoft började blockera genereringen av enkla domännamn utan toppdomän i Windows Server 2008. Du kan byta till en godkänd DNS-domänstruktur med hjälp av ADMT eller verktyget för domännamnsbyte.
Problem Degraderingen av den sista domänkontrollanten i en domän misslyckas om det finns förskapade, restriktiva RODC-konton
Symptom Degraderingen misslyckas med meddelandet:

Dcpromo.General.54

Active Directory-domän Services kunde inte hitta någon annan Active Directory-domän Controller för att överföra återstående data i katalogpartitionen CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

”Angivet domännamn har felaktigt format.”
Kommentarer och lösning Ta bort eventuella återstående förskapade RODC-konton innan du degraderar en domän med hjälp av Dsa.msc eller Ntdsutil.exe metadatarensning.
Problem Automatisk förberedelse av skog och domän kör inte GPPREP
Symptom Planeringsfunktioner för grupprinciper över domängränser, planeringsläge för RSOP, kräver uppdaterade filsystem och Active Directory-behörigheter för befintliga grupprinciper. Utan Gpprep kan du inte använda RSOP-planering mellan domäner.
Kommentarer och lösning Kör adprep.exe /gpprep manuellt för alla domäner som inte tidigare förberetts för Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2. Administratörer bör bara köra GPPrep en gång i historiken för en domän, inte med varje uppgradering. Den körs inte av automatisk adprep eftersom om du redan har angett lämpliga anpassade behörigheter skulle det leda till att allt SYSVOL-innehåll replikeras på nytt på alla domänkontrollanter.
Problem Installera från media lyckas inte med verifieringen när du pekar på en UNC-sökväg.
Symptom Fel som returneras:

Kod – Det gick inte att verifiera mediesökvägen. Undantag som anropar "GetDatabaseInfo" med argumenten "2". Mappen är inte giltig.
Kommentarer och lösning Du måste lagra IFM-filerna på en lokal disk, inte på en fjärransluten UNC-sökväg. Detta avsiktliga block förhindrar delvis serverbefordran på grund av ett avbrott i nätverket.
Problem En DNS-delegeringsvarning visas två gånger under befordran av domänkontrollanter.
Symptom Varning returneras två gånger när du marknadsför med ADDSDeployment Windows PowerShell:

Kod- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Kommentarer och lösning Ignore (Ignorera). Windows PowerShell-cmdleten ADDSDeployment visar varningen första gången under kravkontrollen och sedan igen när domänkontrollanten konfigureras. Om du inte vill konfigurera DNS-delegering använder du argumentet:

Kod- -creatednsdelegation:$false

Hoppa inte över de nödvändiga kontrollerna för att ignorera det här meddelandet.
Problem Om du anger UPN- eller icke-domänautentiseringsuppgifter under konfigurationen returneras missvisande fel
Symptom Serverhanteraren returnerar fel:

Kod – Undantagsanrop av "DNSOption" med "6"-argument

ADDSDeployment i Windows PowerShell returnerar fel:

Kod- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Kommentarer och lösning Se till att du anger giltiga domänautentiseringsuppgifter i form av <domän>\<användare>.
Problem Ta bort rollen DirectoryServices-DomainController med hjälp av Dism.exe leder till en server som inte kan startas
Symptom Om du använder Dism.exe för att ta bort AD DS-rollen innan du degraderar en domänkontrollant korrekt startar servern inte längre normalt och visar fel:

Kod – status: 0x000000000
Info: Ett oväntat fel har inträffat.
Kommentarer och lösning Starta i reparationsläget för Directory Services med Hjälp av Skift+F8. Lägg tillbaka rollen AD DS och tvinga degradering av domänkontrollanten. Du kan också återställa systemtillståndet från en säkerhetskopia. Använd inte Dism.exe för borttagning av AD DS-rollen. Verktyget har ingen kunskap om domänkontrollanter.
Problem Installation av en ny skog misslyckas när du ställer in forestmode till Win2012
Symptom Befordran med ADDSDeployment i Windows PowerShell returnerar fel:

Kod- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Kommentarer och lösning Ange inte ett funktionsläge för skogen i Win2012 utan att ange ett domänfunktionellt läge för Win2012. Här är ett exempel som fungerar utan fel:

Kod- -forestmode Win2012 -domainmode Win2012
Problem Om du väljer Verifiera i markeringsområdet Installera från media verkar det inte göra någonting
Symptom När du anger en sökväg till en IFM-mapp returnerar aldrig ett meddelande eller verkar göra något om du väljer knappen Verifiera .
Kommentarer och lösning Knappen Verifiera returnerar endast fel om det finns problem. Annars kan knappen Nästa väljas om du har angett en IFM-sökväg. Du måste välja Verifiera för att fortsätta om du har valt IFM.
Problem Degradering med Serverhanteraren ger inte feedback förrän den har slutförts.
Symptom När du använder Serverhanteraren för att ta bort AD DS-rollen och degradera en domänkontrollant ges ingen löpande feedback förrän degraderingen har slutförts eller misslyckas.
Kommentarer och lösning Det här är en begränsnings i Serverhanteraren. Använd Windows PowerShell-cmdleten ADDSDeployment om du vill visa feedback:

Kod- Uninstall-addsdomaincontroller
Problem Installera från Media Verify identifierar inte att RODC-media som tillhandahålls för skrivbar domänkontrollant eller vice versa.
Symptom När du befordrar en ny domänkontrollant med IFM och tillhandahåller felaktiga media till IFM – till exempel RODC-media för en skrivbar domänkontrollant eller RWDC-media för en RODC – returnerar inte knappen Verifiera ett fel. Senare misslyckas befordran med ett fel:

Kod – Ett fel uppstod när datorn skulle konfigureras som domänkontrollant.
Det går inte att starta install-from-media-befordran av en skrivskyddad domänkontrollant eftersom den angivna källdatabasen inte är tillåten. Endast databaser från andra RODC:er kan användas för IFM-befordran av en RODC.
Kommentarer och lösning Funktionen Verifiera validerar bara den övergripande integriteten i IFM. Ange inte fel IFM-typ till en server. Starta om servern innan du försöker befordra igen med rätt medium.
Problem Det går inte att befordra en RODC till ett fördefinierat datorkonto
Symptom När du använder ADDSDeployment i Windows PowerShell för att befordra en ny RODC med stegvis datorkonto visas felmeddelandet:

Kod- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Kommentarer och lösning Ange inte parametrar som redan har definierats för ett fördefinierat RODC-konto. Dessa kan vara:

Kod-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-sitename
-installdns
Problem När "Starta om varje målserver automatiskt om det behövs" avmarkeras/markeras händer ingenting
Symptom Om du väljer (eller inte väljer) alternativet Serverhanteraren Starta om varje målserver automatiskt om det behövs när du degraderar en domänkontrollant genom rollborttagning, startar servern alltid om, oavsett val.
Kommentarer och lösning Detta är avsiktligt. Degraderingen startar om servern oberoende av den här inställningen.
Problem Dcpromo.log anger att säkerhetskonfigurationen för serverfiler misslyckades med 2.
Symptom Degraderingen av en domänkontrollant slutförs utan problem, men dcpromo-loggen visar fel:

Kod- [error] setting security on server files failed with 2
Kommentarer och lösning Ignorera, felet är väntat och rent kosmetiskt.
Problem Adprep-kravkontrollen misslyckas med felet ”Det gick inte att utföra kontrollen av Exchange-schemakonflikter”.
Symptom Befordran av en Windows Server 2012-domänkontrollant till en befintlig Windows Server 2003-, Windows Server 2008- eller Windows Server 2008 R2-skog misslyckas med fel:

Kod – Verifieringen av förhandskraven för AD-förberedelsen misslyckades. Det går inte att utföra konfliktkontroll i Exchange-schema för domännamn <> (undantag: RPC-servern är inte tillgänglig)

Adprep.log visar fel:

Kod- Adprep couldn't retrieve data from the server <domain controller>

via Windows Management Instrumentation (WMI).
Kommentarer och lösning Den nya domänkontrollanten kan inte komma åt WMI via DCOM/RPC-protokoll mot befintliga domänkontrollanter. Vad vi vet i dag beror detta på någon av tre orsaker:

– En brandväggsregel blockerar åtkomsten till befintliga domänkontrollanter.
– NETWORK SERVICE-kontot saknas i behörigheten "Inloggning som en tjänst" (SeServiceLogonRight) på befintliga domänkontrollanter.
– NTLM är inaktiverat på domänkontrollanter med hjälp av säkerhetsprinciper som beskrivs i Introduktion till begränsning av NTLM-autentisering.
Problem En DNS-varning visas alltid när en ny AD DS-skog skapas.
Symptom När du skapar en ny AD DS-skog och när du skapar DNS-zonen på den nya domänkontrollanten separat får du alltid ett varningsmeddelande:

Kod – Ett fel upptäcktes i DNS-konfigurationen.
Ingen av de DNS-servrar som används av den här datorn svarade inom tidsgränsintervallet.
(felkod 0x000005B4 "ERROR_TIMEOUT")
Kommentarer och lösning Ignore (Ignorera). Denna varning är avsiktlig på den första domänkontrollanten i rotdomänen i en ny skog om du har tänkt peka på en befintlig DNS-server och zon.
Problem Windows PowerShell-argumentet -whatif returnerar felaktig DNS-serverinformation
Symptom Om du använder -whatif argumentet när du konfigurerar en domänkontrollant med implicit eller explicit -installdns:$truevisas följande utdata:

Kod- DNS Server: No
Kommentarer och lösning Ignore (Ignorera). DNS har installerats och konfigurerats på rätt sätt.
Problem Efter befordran misslyckas inloggningen med "Det finns inte tillräckligt med lagringsutrymme för att bearbeta det här kommandot"
Symptom När du befordrar en ny domänkontrollant och sedan loggar ut och försöker att logga in interaktivt, får du ett felmeddelande:

Kod – det finns inte tillräckligt med lagringsutrymme för att bearbeta det här kommandot
Kommentarer och lösning Domänkontrollanten startades inte om efter befordran, antingen på grund av ett fel eller på grund av att du angav argumentet -norebootoncompletionADDSDeployment Windows PowerShell . Starta om domänkontrollanten.
Problem Knappen Nästa är inte tillgänglig på sidan Alternativ för domänkontrollant
Symptom Även om du har angett ett lösenord är knappen Nästasidan Alternativ för domänkontrollant i Serverhanteraren inte tillgänglig. Det finns ingen webbplats i menyn Webbplatsnamn .
Kommentarer och lösning Du har flera AD DS-platser och minst en saknar undernät; den här framtida domänkontrollanten tillhör ett av dessa undernät. Du måste välja undernät manuellt från listrutan för platsnamn. Du bör också granska alla AD-webbplatser med hjälp av DSSITE. MSC eller använd följande Windows PowerShell-kommando för att hitta alla platser som saknar undernät:

Kod – "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | format-table name"
Problem Befordran eller degradering misslyckas med meddelandet "tjänsten kan inte startas"
Symptom Om du har försökt befordra, degradera eller klona en domänkontrollant får du ett felmeddelande:

Kod – Tjänsten kan inte startas, antingen för att den är inaktiverad eller för att den inte har några aktiverade enheter som är associerade med den" (0x80070422)

Felet kan vara interaktivt, en händelse eller skrivs till en logg som dcpromoui.log eller dcpromo.log.
Kommentarer och lösning DS-rollservertjänsten (DsRoleSvc) är inaktiverad. Som standard installeras den här tjänsten under AD DS-rollinstallationen och tilldelas starttypen Manuell. Inaktivera inte den här tjänsten. Ställ in den på manuell igen och tillåt DS-rollens åtgärder att starta och avsluta på begäran. Detta beteende är av design.
Problem Serverhanteraren varnar fortfarande för att du måste befordra domänkontrollanten.
Symptom Om du höjer upp en domänkontrollant med hjälp av den inaktuella dcpromo.exe /unattend eller uppgraderar en befintlig Windows Server 2008 R2-domänkontrollant på plats till Windows Server 2012 Serverhanteraren fortfarande visar konfigurationsuppgiften efter distributionen Flytta upp servern till en domänkontrollant.
Kommentarer och lösning välj varningslänken efter distributionen så försvinner meddelandet för gott. Det här är kosmetiskt och ett förväntat beteende.
Problem Rollinstallationen saknas i distributionsskriptet i Serverhanteraren.
Symptom Om du höjer upp en domänkontrollant med hjälp av Serverhanteraren och sparar Windows PowerShell-distributionsskriptet innehåller det inte cmdleten och argumenten för rollinstallation (install-windowsfeature -name ad-domain-services -includemanagementtools). Utan rollen kan domänkontrollanten inte konfigureras.
Kommentarer och lösning Lägg till cmdleten och argumenten i skript manuellt. Det här beteendet är förväntat och avsiktligt.
Problem Serverhanteraren distributionsskriptet heter inte PS1
Symptom Om du befordrar en domänkontrollant med hjälp av Serverhanteraren och sparar distributionsskriptet i Windows PowerShell får filen ett slumpmässigt tillfälligt namn och namnges inte som en PS1-fil.
Kommentarer och lösning Byt namn på filen manuellt. Det här beteendet är förväntat och avsiktligt.
Problem Dcpromo /unattend tillåter funktionsnivåer som inte stöds.
Symptom Om du höjer upp en domänkontrollant med hjälp av dcpromo /unattend följande exempelsvarsfil:

Kod-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Ja

AutoConfigDNS=Ja

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=Nej

DomainLevel=0

ForestLevel=0

Befordran misslyckas med följande fel i dcpromoui.log:

Kod – dcpromoui EA4.5B8 0089 13:31:50.783 Ange CArgumentsSpec::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13:31:50.783 Värde för DomainLevel är 0

dcpromoui EA4.5B8 008B 13:31:50.783 Slutkod är 77

dcpromoui EA4.5B8 008C 13:31:50.783 Det angivna argumentet är ogiltigt.

dcpromoui EA4.5B8 008D 13:31:50.783 stängningslogg

dcpromoui EA4.5B8 0032 13:31:50.830 Slutkod är 77

Nivå 0 är Windows 2000, som inte stöds i Windows Server 2012.
Kommentarer och lösning Använd inte de inaktuella dcpromo /unattend och förstå att det gör att du kan ange ogiltiga inställningar som senare misslyckas. Det här beteendet är förväntat och avsiktligt.
Problem Befordran "låser sig" vid skapande av NTDS-inställningsobjekt, slutförs aldrig
Symptom Om du höjer upp en replik-DC eller RODC når kampanjen "skapa NTDS-inställningsobjekt" och fortsätter eller slutförs aldrig. Loggarna slutar också uppdateras.
Kommentarer och lösning Detta är ett känt problem som orsakas av att autentiseringsuppgifterna för det lokala administratörskontot tillhandahålls med ett matchande lösenord till det inbyggda domänadministratörskontot. Detta orsakar ett fel nere i huvudinstallationsmotorn som inte fel, utan i stället väntar på obestämd tid (kvasi-loop). Detta förväntas - om än oönskat - beteende.

Åtgärda servern:

1. Starta om den.

1. I AD tar du bort serverns medlemsdatorkonto (det kommer ännu inte att vara ett DC-konto)

2. På den servern kan du med två skäl skilja den från domänen

3. Ta bort AD DS-rollen på servern.

4. Starta om

5. Läste AD DS-rollen och återförsökshöjningen, vilket säkerställde att du alltid anger domänens<>\<administratörsformaterade> autentiseringsuppgifter för DC-befordran och inte bara det inbyggda lokala administratörskontot.