排查域控制器部署问题
这篇文章介绍了有关域控制器配置和部署排除故障的详细方法。
适用于: Windows Server 2022、Windows Server 2019、Windows Server 2016
试试我们的虚拟代理 - 它可以帮助快速识别和修复常见的 Active Directory 复制问题。
故障排除简介
用于故障排除的内置日志
内置日志是用于解决域控制器升级和降级问题的最重要的工具。 默认情况下,所有这些日志将处于启用状态并配置为最大详细级别。
| 阶段 | 日志 |
|---|---|
| 服务器管理器或 ADDSDeployment Windows PowerShell 操作 | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
| 域控制器的安装/升级 | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - 事件查看器Windows 日志\系统\ - 事件查看器Windows 日志\应用程序\ - 事件查看器Applications 和服务日志\目录服务\ - 事件查看器Applications 和服务日志文件\复制服务\ - 事件查看器Applications 和服务日志\DFS 复制\ |
| 林或域升级 | - %systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\datetime>\<csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
| 服务器管理器 ADDSDeployment Windows PowerShell 部署引擎 | - 事件查看器 Windows DirectoryServices-Deployment\操作Microsoft\\Applications 和服务日志\\ |
| Windows 服务 | - %systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
用于对域控制器配置进行故障排除的工具和命令
要解决日志未说明的问题,请从使用以下工具开始:
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe、任务管理器和 MSInfo32.exe
- Network Monitor 3.4(或第三方网络捕获和分析工具)
域控制器配置故障排除的一般方法
语法问题是否会导致错误?
- 你是否打错了或忘记向 ADDSDeployment Windows PowerShell 提供某个参数? 例如,如果使用 ADDSDeployment Windows PowerShell,是否忘记添加具有有效名称的必需参数
-domainname? - 仔细检查 Windows PowerShell 控制台输出,以了解它未能解析提供的命令行的确切原因。
- 你是否打错了或忘记向 ADDSDeployment Windows PowerShell 提供某个参数? 例如,如果使用 ADDSDeployment Windows PowerShell,是否忘记添加具有有效名称的必需参数
该错误是否是先决条件故障?
- 许多曾经好像是致命升级结果的错误现在可以通过先决条件检查器阻止。
- 仔细检查先决条件错误的文本,它们提供用于解决大部分问题的必要指南,因为它们是受控制的方案。
该错误是否发生在升级中,并因此成为致命错误?
仔细检查结果:许多错误都有错误密码、网络名称解析或关键脱机域控制器等说明。
检查Dcpromoui.log并dcpromo.log输出中显示的错误,然后从它们向后工作,以查看失败原因的指示。
- 始终与工作示例日志进行比较
- 仅在结果显示出现有关扩展架构或者准备林或域的问题的情况下,才检查 ADPrep 日志中的错误。
- 仅当 Dcpromoui.log 缺少详细信息或因配置过程中未经处理的异常而任意结束时,才检查 DirectoryServices-Deployment 事件日志中的错误。
检查目录服务、系统和应用程序事件日志以查找配置问题的其他指示。 通常情况下,域控制器升级只是可能影响所有分布式系统的其他网络错误配置的一个症状。
使用 dcdiag.exe 和 repadmin.exe 验证整个林运行状况,并指示可能阻止进一步升级域控制器的细微配置错误。
使用 AutoRuns.exe、任务管理器或 MSinfo32.exe 检查计算机是否可能干扰的第三方软件。
删除第三方软件(请勿禁用软件;不会阻止驱动程序加载)。
在未能升级的计算机以及复制伙伴域控制器上安装 NetMon 3.4,并使用双向网络捕获分析升级过程。
- 将其与你的工作实验室环境进行比较以了解运行状况良好的升级的样子以及出现故障的位置。
- 此时,错误可能出现在林对象、非默认安全更改或网络中,而且此新域控制器会受到 DNS、防火墙、主机入侵防护软件或其他外部因素中的错误配置的负面影响。
事件和错误消息疑难解答
域控制器升级和降级始终在操作结束时返回代码,与大多数程序不同,不会返回零成功。 要查看域控制器配置末尾处的代码,有几个选择:
使用服务器管理器时,请在自动重新启动前 10 秒内检查升级结果。
使用 ADDSDeployment Windows PowerShell 时,请在自动重新启动前 10 秒内检查升级结果。 此外,选择不在完成时自动重新启动。 应添加
format-list管道以使输出更易于阅读。 例如:Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list先决条件审核和验证中的错误不会在重新启动后继续存在,因此它们在所有情况下均可见。 例如:
在任何方案中,检查 dcpromo.log 和 dcpromoui.log。
注意
由于更高版本操作系统中的操作系统和域控制器配置更改,以下列出的一些错误将不再可能出现。 新的 ADDSDeployment Windows PowerShell 代码也会阻止某些错误,但
dcpromo.exe /unattend不会;这是将当前所有当前自动化从已弃用的 DCPromo 切换到 ADDSDeployment Windows PowerShell 的另一个令人信服的理由。
升级和降级成功代码
| 错误代码 | 说明 | 注意 |
|---|---|---|
| 1 | 退出,成功 | 你仍必须重新启动,这只会指出自动重启标志已删除。 |
| 2 | 退出,成功,需要重新启动 | |
| 3 | 退出,成功,带有非关键故障 | 通常在返回 DNS 委派警告时出现。 如果不配置 DNS 委派,请使用:
|
| 4 | 退出,成功,带有非关键故障,需要重新启动 | 通常在返回 DNS 委派警告时出现。 如果不配置 DNS 委派,请使用:
|
升级和降级失败代码
升级和降级返回以下失败消息代码。 还可能存在扩展的错误消息;始终仔细阅读整个错误,而不只是数字部分。
| 错误代码 | 说明 | 建议的解决方法 |
|---|---|---|
| 11 | 域控制器升级已在运行 | 不要同时为同一目标计算机运行多个域控制器升级实例。 |
| 12 | 用户必须是管理员 | 以内置管理员组成员身份登录,并确保使用 UAC 提升。 |
| 13 | 已安装证书颁发机构 | 你无法使此域控制器降级,因为它同样是证书颁发机构。 在仔细清点 CA 使用情况之前,请勿删除 CA。 如果颁发证书,则删除该角色将导致中断。 不建议在域控制器上运行 CA。 |
| 14 | 在安全启动模式下运行 | 将服务器启动到正常模式。 |
| 15 | 角色更改在进行中或需要重新启动 | 在升级之前,必须重启服务器(由于之前的配置更改)。 |
| 16 | 在错误的平台上运行 | 不太可能收到此错误。 |
| 17 | 不存在 NTFS 5 驱动器 | Windows Server 2012 中无法出现此错误,这至少要求使用 NTFS 格式化 %systemdrive%。 |
| 18 | 温蒂尔空间 不足 | 使用 cleanmgr.exe释放 %systemdrive% 卷上的空间。 |
| 19 | 命名更改挂起,需要重新启动 | 重新启动服务器。 |
| 20 | 计算机名称采用的语法无效 | 使用有效名称重命名计算机。 |
| 21 | 此域控制器保留 FSMO 角色,它是 GC 和/或 DNS 服务器 | 使用-forceremoval时添加 -demoteoperationmasterrole 。 |
| 22 | 需要安装 TCP/IP 或不能正常运行 | 验证计算机是否已配置、绑定和正常运行 TCP/IP。 |
| 23 | 需要先配置 DNS 客户端 | 将新的域控制器添加到域时设置主 DNS 服务器。 |
| 24 | 提供的凭据无效或缺少所需的元素 | 验证用户名和密码是否正确。 |
| 25 | 无法找到指定域的域控制器 | 验证 DNS 客户端设置、防火墙规则。 |
| 26 | 无法从林中读取域列表 | 验证 DNS 客户端设置、LDAP 功能、防火墙规则。 |
| 27 | 缺少域名 | 升级或降级时指定域。 |
| 28 | 域名错误 | 升级时,请选择其他有效的 DNS 域名。 |
| 29 | 父域不存在 | 验证创建新子域或树域时指定的父域。 |
| 30 | 域不在林中 | 验证提供的域名。 |
| 31 | 子域已存在 | 指定其他域名。 |
| 32 | NetBIOS 域名错误 | 指定有效的 NetBIOS 域名。 |
| 33 | 指向 IFM 文件的路径无效 | 验证从媒体安装文件夹的路径。 |
| 34 | IFM 数据库已损坏 | 将此操作系统和角色(相同操作系统版本、相同类型的域控制器 - RODC 与 RWDC)使用正确的从媒体安装。 |
| 35 | 缺少 SYSKEY | 从媒体安装已加密,必须提供有效的 SYSKEY 才能使用它。 |
| 37 | NTDS 数据库或其日志的路径无效 | 将数据库和日志的路径更改为固定的 NTFS 卷,而不是映射的驱动器或 UNC 路径。 |
| 38 | 卷没有足够的空间用于 NTDS 数据库或日志 | 使用 cleanmgr.exe释放空间,添加更多磁盘空间,通过在其他地方移动不必要的数据来手动清除空间。 |
| 39 | SYSVOL 的路径无效 | 将 SYSVOL 文件夹的路径更改为固定的 NTFS 卷,而不是映射的驱动器或 UNC 路径。 |
| 40 | 无效的站点名称 | 提供存在的网站名称。 |
| 41 | 需要为安全模式指定密码 | 为 DSRM 帐户提供密码,无论如何配置密码策略,它都不能为空。 |
| 42 | 安全模式密码不符合条件(仅促销) | 为满足密码策略配置规则的 DSRM 帐户提供密码。 |
| 43 | 管理员密码不符合条件(仅降级) | 为满足密码策略配置规则的本地管理员帐户提供密码。 |
| 44 | 为林指定的名称无效 | 指定有效的林根 DNS 域名。 |
| 45 | 带有指定名称的林已经存在 | 选择其他林根 DNS 域名。 |
| 46 | 树的指定名称无效 | 指定有效的树 DNS 域名。 |
| 47 | 带有指定名称的树已经存在 | 选择其他树 DNS 域名。 |
| 48 | 树名不适合林结构 | 选择其他树 DNS 域名。 |
| 49 | 指定的域不存在 | 验证键入的域名。 |
| 50 | 降级期间,即使未检测到最后一个域控制器,或指定了最后一个域控制器,但未检测到它 | 请勿在域 () 中指定最后一个域控制器,-lastdomaincontrollerindomain除非其为 true。 用于 -ignorelastdcindomainmismatch 替代这是否确实是最后一个域控制器,并且存在虚拟域控制器元数据。 |
| 51 | 此域控制器上存在应用分区 | 指定删除 应用程序分区 (-removeapplicationpartitions)。 |
| 52 | 缺少必要的命令行参数(即,必须在命令行上指定应答文件) | 仅看到已 dcpromo /unattend弃用的 。 请参阅早期文档。 |
| 53 | 升级/降级失败,必须重新启动计算机才能清理 | 检查扩展的错误和日志。 |
| 54 | 升级/降级失败 | 检查扩展的错误和日志。 |
| 55 | 升级/降级已由用户取消 | 检查扩展的错误和日志。 |
| 56 | 升级/降级已由用户取消,必须重新启动计算机以进行清理 | 检查扩展的错误和日志。 |
| 58 | 必须在 RODC 升级期间指定站点名称 | 必须为 RODC 指定站点,它不会自动检测一个像 RWDC 这样的站点。 |
| 59 | 在降级期间,此域控制器是它的一个区域的最后一个 DNS 服务器 | 指定这是域中的最后一个 DNS 服务器或使用-ignorelastdnsserverfordomain。 |
| 60 | 域中必须存在运行 Windows Server 2008 或更高版本的域控制器,才能升级 RODC | 升级至少一个 Windows Server 2008 或更高版本的可写域控制器。 |
| 61 | 无法在尚未托管 DNS 的现有域中安装具有 DNS 的Active Directory 域服务 | 无法获取此错误。 |
| 62 | 应答文件没有 [DCInstall] 节 | 仅看到已 dcpromo /unattend弃用的 。 请参阅早期文档。 |
| 63 | 林功能级别低于 windows server 2003 | 将林功能级别至少提高到 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
| 64 | 由于组件二进制检测失败,所以升级失败 | 安装 AD DS 角色。 |
| 65 | 由于组件二进制安装失败,所以升级失败 | 安装 AD DS 角色。 |
| 66 | 由于操作系统检测失败,所以升级失败 | 检查展开的错误和日志;服务器未能返回其操作系统版本。 计算机可能需要重新安装,因为它的整体运行状况非常可疑。 |
| 68 | 复制伙伴无效 | 使用 repadmin.exe 或 Get-ADReplication\* Windows PowerShell 验证合作伙伴域控制器运行状况。 |
| 69 | 所需的端口正在由某些其他应用程序使用 | 用于 netstat.exe -anob 查找错误地分配给保留 AD DS 端口的进程。 |
| 70 | 目录林根级域控制器必须是 GC | 仅看到已 dcpromo /unattend弃用的 。 请参阅早期文档。 |
| 71 | DNS 服务器已安装 | 如果未安装 DNS 服务,请不要指定安装 DNS(-installDNS)。 |
| 72 | 计算机在非管理员模式下运行远程桌面服务 | 无法升级此域控制器,因为它还是针对两个以上管理员用户配置的 RDS 服务器。 在仔细清点 RDS 使用情况之前,请勿删除 RDS。 如果应用程序或最终用户正在使用它,则删除将导致中断。 |
| 73 | 指定的林功能级别无效。 | 指定有效的林功能级别。 |
| 74 | 指定的域功能级别无效。 | 指定有效的域功能级别。 |
| 75 | 无法确定默认的密码复制策略。 | 验证 RODC 密码复制策略是否存在且可访问。 |
| 76 | 指定的复制/非复制安全组无效 | 在指定密码复制策略时,验证是否已在有效域和用户帐户中键入。 |
| 77 | 指定的参数无效 | 检查扩展的错误和日志。 |
| 78 | 未能检查 Active Directory 林 | 检查扩展的错误和日志。 |
| 79 | RODC 无法提升,因为未执行 rodcprep | 使用 Windows Server 2012 准备林或使用 adprep.exe /rodcprep。 |
| 80 | 未执行 Domainprep | 使用 Windows Server 2012 准备域或使用 adprep.exe /domainprep。 |
| 81 | 未执行 Forestprep | 使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep。 |
| 82 | 林架构不匹配 | 使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep。 |
| 83 | 不受支持的 SKU | 不太可能收到此错误。 |
| 84 | 无法检测域控制器帐户 | 验证现有的域控制器是否具有正确的用户帐户控制属性集。 |
| 85 | 无法为阶段 2 选择域控制器帐户 | 如果指定“使用现有帐户”,但没有找到帐户或在帐户查找期间发生错误,则返回该问题。 确保提供了正确的 RODC 暂存帐户。 |
| 86 | 需要运行阶段 2 升级 | 如果升级其他域控制器,但现有帐户存在且未指定“允许重新安装”,则返回。 |
| 87 | 存在冲突类型的域控制器帐户 | 如果不尝试附加到未占用的域控制器,则在升级前重命名计算机。 必须使用和正确的只读或可写参数(具体取决于帐户类型)附加到未分配的域控制器帐户 -useexistingaccount 。 |
| 88 | 指定的服务器管理员无效 | 你为 RODC 管理员委派指定了无效的帐户。 验证指定的帐户是否为有效的用户或组。 |
| 89 | 指定域的 RID 的主机处于脱机状态。 | 用于 netdom.exe query fsmo 检测 RID 主控形状。 使其联机并使其可供正在推广的域控制器访问。 |
| 90 | 域命名主机处于脱机状态。 | 用于 netdom.exe query fsmo 检测域命名主机。 使其联机并使其可供正在推广的域控制器访问。 |
| 91 | 未能检测进程是否为 wow64 | 无法再收到此错误,操作系统为 64 位。 |
| 92 | 不支持 Wow64 进程 | 无法再收到此错误,操作系统为 64 位。 |
| 93 | 域控制器服务不为非强制降级运行 | 启动 AD DS 服务。 |
| 94 | 本地管理员密码不符合要求:空白或不需要 | 提供非空密码并确保本地密码策略需要密码。 |
| 95 | 在存在动态 RODC 的域中,无法降级最后一个 Windows Server 2008 或更高版本的域控制器 | 必须先降级所有 RODC,然后才能降级所有 Windows Server 2008 或更高版本的可写域控制器。 |
| 96 | 无法卸载 DS 二进制文件 | 仅看到已 dcpromo /unattend弃用的 。 请参阅早期文档。 |
| 97 | 林功能级别版本高于子域操作系统的版本 | 提供与林功能级别相同或高于林功能级别的子域功能。 |
| 98 | 正在进行组件二进制安装/卸载。 | 仅看到已 dcpromo /unattend弃用的 。 请参阅早期文档。 |
| 99 | 林功能级别过低(错误仅限 Windows Server 2012) | 将林功能级别至少提高到 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
| 100 | 域功能级别过低(错误仅限 Windows Server 2012) | 将域功能级别至少提高到 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
已知问题和常见支持方案
以下是 Windows Server 2012 开发过程中的常见问题。 所有这些问题都是“特意设计的”,它们具有有效的解决方法或具有更适合的技术以在第一时间避免它们。 许多这些行为在 Windows Server 2008 R2 和较早版本的操作系统中相同,但是 AD DS 部署的重写使系统对问题更为敏感。
| 问题 | 降级域控制器会使 DNS 在无区域的情况下运行 |
|---|---|
| 症状 | 服务器仍然响应 DNS 请求,但是没有区域信息 |
| 解析和注释 | 删除 AD DS 角色时,还会删除 DNS 服务器角色或将 DNS 服务器服务设置为禁用。 记得将 DNS 客户端指向它本身之外的另一个服务器。 如果使用 Windows PowerShell,在降级服务器后运行以下内容: 法典- 或 法典- |
| 问题 | 在将 Windows Server 2012 升级到现有单标签域中时,不会配置 updatetopleveldomain=1 或 allowsinglelabeldnsdomain=1 |
|---|---|
| 症状 | DNS 动态记录注册不会发生 |
| 解析和注释 | 使用 Netlogon 和 DNS 组策略设置这些值。 Microsoft 在 Windows Server 2008 中开始阻止创建单标签域;可使用 ADMT 或域重命名工具更改为已批准的 DNS 域结构。 |
| 问题 | 如果存在预创建且未占用的 RODC 帐户,域中最后一个域控制器降级将失败 |
|---|---|
| 症状 | 降级失败并显示消息:
Active Directory 域服务找不到另一个 Active Directory 域控制器以传输目录分区 CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com 中的剩余数据。 “指定域名的格式无效。” |
| 解析和注释 | 在降级域前,使用 Dsa.msc 或 Ntdsutil.exe 元数据清理删除任何剩余的预创建 RODC 帐户。 |
| 问题 | 自动化林和域准备不会运行 GPPREP |
|---|---|
| 症状 | 组策略的跨域计划功能、策略的结果集 (RSOP) 计划模式,需要更新的文件系统和现有 GP 的 Active Directory 权限。 没有 Gpprep,你无法跨域使用 RSOP 计划。 |
| 解析和注释 | 针对以前未为 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 准备的所有域手动运行 adprep.exe /gpprep 。 管理员应当在域的历史记录中仅运行一次 GPPrep,而不是每次升级都运行。 它并非由自动的 adprep 运行,因为如果你已设置足够的自定义权限,它将导致所有 SYSVOL 内容在所有域控制器上重新复制。 |
| 问题 | 当指向 UNC 路径时,从媒体安装未能验证 |
|---|---|
| 症状 | 返回的错误: 代码 - 无法验证媒体路径。 使用 2 个参数调用 GetDatabaseInfo 时出现异常。 文件夹无效。 |
| 解析和注释 | 必须在本地磁盘而不是远程 UNC 路径上存储 IFM 文件。 这次目的性的阻止防止了由网络中断导致的部分服务器升级。 |
| 问题 | 在域控制器升级期间显示了两次的 DNS 委派警告 |
|---|---|
| 症状 | 在使用 ADDSDeployment Windows PowerShell 进行升级时返回了两次警告: 法典- |
| 解析和注释 | 忽略。 ADDSDeployment Windows PowerShell 在先决条件检查期间首次显示警告,然后在配置域控制器期间再次显示。 如果不希望配置 DNS 委派,则使用参数: 法典- 不要跳过先决条件检查以禁止显示此消息。 |
| 问题 | 在配置期间指定 UPN 或非域凭据将返回误导性错误 |
|---|---|
| 症状 | 服务器管理器返回错误: Code - 使用 6 个参数调用 DNSOption 时出现异常 ADDSDeployment Windows PowerShell 返回错误: 法典- |
| 解析和注释 | 确保以域>\<用户>的形式<提供有效的域凭据。 |
| 问题 | 使用 Dism.exe 删除 DirectoryServices-DomainController 角色会导致服务器无法启动 |
|---|---|
| 症状 | 如果在正常降级域控制器之前使用 Dism.exe 删除 AD DS 角色,服务器将不再正常启动并显示错误: Code - 状态: 0x000000000 |
| 解析和注释 | 使用 Shift+F8 启动到目录服务修复模式。 添加回 AD DS 角色,然后强制降级域控制器。 此外,从备份还原系统状态。 请勿对 AD DS 角色删除使用 Dism.exe ;该实用工具不了解域控制器。 |
| 问题 | 在将林模式设置为 Win2012 时,无法安装新林 |
|---|---|
| 症状 | 使用 ADDSDeployment Windows PowerShell 的升级将返回错误: 法典-
|
| 解析和注释 | 如果没有同时指定 Win2012 的域功能模式,就不要指定 Win2012 的林功能模式。 以下是一个可以正确工作的示例: 法典- |
| 问题 | 在 “从媒体安装”选择区域中选择“验证 ”似乎不执行任何操作 |
|---|---|
| 现象 | 指定 IFM 文件夹的路径时,选择“ 验证” 按钮永远不会返回消息或显示执行任何操作。 |
| 解析和注释 | 验证按钮仅在有问题时返回错误。 否则,如果已提供 IFM 路径,它将使下一步按钮可供选择。 如果已选择 IFM,必须选择“验证”以继续操作。 |
| 问题 | 使用服务器管理器进行升级在完成之前不会提供反馈。 |
|---|---|
| 症状 | 使用服务器管理器删除 AD DS 角色并降级域控制器时,不提供持续的反馈,直到降级完成或失败。 |
| 解析和注释 | 这是服务器管理器的限制。 要获取反馈,请使用 ADDSDeployment Windows PowerShell cmdlet: 法典- |
| 问题 | “从媒体安装”验证不会检测为可写域控制器提供的该 RODC 媒体,反之亦然。 |
|---|---|
| 症状 | 使用 IFM 提升新域控制器并向 IFM 提供不正确的媒体(例如可写域控制器的 RODC 媒体)或 RODC 的 RWDC 媒体时,“ 验证 ”按钮不会返回错误。 稍后,升级失败并显示错误: Code - 尝试将此计算机配置为域控制器时发生错误。 |
| 解析和注释 | “验证”仅验证 FIM 的总体完整性。 不向服务器提供错误的 IFM 类型。 在尝试使用正确的媒体再次进行升级前重新启动服务器。 |
| 问题 | 无法将 RODC 升级到预创建的计算机帐户中 |
|---|---|
| 症状 | 使用 ADDSDeployment Windows PowerShell 升级新的带有分步计算机帐户的 RODC 时,返回错误: 法典- |
| 解析和注释 | 不要提供已在预创建的 RODC 帐户上定义的参数。 这些设置包括: Code - |
| 问题 | 取消选中/选中“必要时自动重新启动每个目标服务器”时,没有任何效果 |
|---|---|
| 症状 | 通过删除角色使域控制器降级时,如果选中(或未选中)服务器管理器选项必要时自动重启每个目标服务器,则该服务器始终重新启动(无论如何选择)。 |
| 解析和注释 | 这是有目的性的。 无论此设置如何,降级进程都将重新启动服务器。 |
| 问题 | Dcpromo.log 显示“[error] setting security on server files failed with 2” |
|---|---|
| 症状 | 域控制器的降级在没有问题的情况下完成,但是 dcpromo 日志的检查显示错误: 法典- |
| 解析和注释 | 忽略,错误符合预期并且属于修饰。 |
| 问题 | 先决条件 adprep 检查失败并显示错误“无法执行 Exchange 架构冲突检查” |
|---|---|
| 症状 | 在尝试将 Windows Server 2012 域控制器升级到现有 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 林中时,先决条件检查失败并显示错误: Code - 验证 AD 准备的先决条件失败。 无法对域 域名> 执行 Exchange 架构冲突检查(异常:RPC 服务器不可用) adprep.log显示错误: 法典- 检索数据。 |
| 解析和注释 | 新域控制器无法通过 DCOM/RPC 协议根据现有域控制器访问 WMI。 到目前为止,此现象有三个原因: - 防火墙规则阻止访问现有域控制器。 |
| 问题 | 创建新 AD DS 林始终显示 DNS 警告 |
|---|---|
| 症状 | 在新建 AD DS 林并在新域控制器上为其自身的创建 DNS 区域时,你始终会收到警告消息: Code - 在 DNS 配置中检测到错误。 |
| 解析和注释 | 忽略。 此警告将在新林根域的第一个域控制器中有目的性地出现,以防你要指向现有的 DNS 服务器和区域。 |
| 问题 | Windows PowerShell -whatif 参数返回不正确的 DNS 服务器信息 |
|---|---|
| 现象 | 如果在配置包含隐式或显式-installdns:$true的域控制器时使用-whatif参数,则生成的输出显示:法典- |
| 解析和注释 | 忽略。 将正确安装并配置 DNS。 |
| 问题 | 升级后,登录失败,并显示“没有足够的存储可用于处理此命令” |
|---|---|
| 现象 | 在升级新的域控制器,然后注销并尝试以交互方式登录后,你将收到错误: Code - 存储空间不足,无法处理此命令 |
| 解析和注释 | 由于错误或指定了 ADDSDeployment Windows PowerShell 参数 -norebootoncompletion,域控制器在升级后未重新启动。 重新启动域控制器。 |
| 问题 | “域控制器选项”页上不提供“下一步”按钮 |
|---|---|
| 症状 | 即使已设置密码,服务器管理器中“域控制器选项”页上的“下一步”按钮仍不可用。 “站点名称”菜单中未列出站点。 |
| 解析和注释 | 你有多个 AD DS 站点且至少一个缺少子网;将来的这个域控制器属于这些子网之一。 必须从“站点名称”下拉菜单手动选择子网。 还应使用 DSSITE 查看所有 AD 站点。MSC 或使用以下 Windows PowerShell 命令查找缺少子网的所有站点: 代码 - “get-adreplicationsite -filter * -property subnets |where-object {!$_.subnets -eq “*”} |format-table name” |
| 问题 | 升级或降级失败并显示消息“无法启动服务” |
|---|---|
| 症状 | 如果尝试升级、降级或克隆域控制器,将收到错误: 代码 - 服务无法启动,因为它已被禁用或没有与其关联的已启用设备 (0x80070422) 错误可能是交互式的、事件或写入日志(如 dcpromoui.log 或 dcpromo.log)。 |
| 解析和注释 | DS 角色服务器服务 (DsRoleSvc) 处于禁用状态。 默认情况下,此服务在 AD DS 角色安装期间安装并设置为手动启动类型。 不要禁用此服务。 将其重新设置为手动,并允许 DS 角色操作按需启动和停止它。 此行为是设计使然。 |
| 问题 | 服务器管理器仍然警告你需要升级 DC |
|---|---|
| 现象 | 如果使用已弃用dcpromo.exe /unattend的域控制器升级域控制器或将现有的 Windows Server 2008 R2 域控制器升级到 Windows Server 2012,服务器管理器仍显示部署后配置任务“将此服务器提升到域控制器”。 |
| 解析和注释 | 选择部署后警告链接,该消息将永久消失。 此行为是修饰性的并且符合预期。 |
| 问题 | 缺少角色安装的服务器管理器部署脚本 |
|---|---|
| 症状 | 如果使用服务器管理器升级域控制器并保存 Windows PowerShell 部署脚本,则它不包括角色安装 cmdlet 和参数(install-windowsfeature -name ad-domain-services -includemanagementtools)。 在没有角色的情况下无法配置 DC。 |
| 解析和注释 | 将该 cmdlet 和参数手动添加到任何脚本。 此行为符合预期并且是设计使然。 |
| 问题 | 服务器管理器部署脚本名称不是 PS1 |
|---|---|
| 症状 | 如果使用服务器管理器升级域控制器并保存 Windows PowerShell 部署脚本,文件以随机临时名称命名并且不作为 PS1 文件。 |
| 解析和注释 | 手动重命名文件。 此行为符合预期并且是设计使然。 |
| 问题 | Dcpromo /unattend 允许不受支持的功能级别 |
|---|---|
| 现象 | 如果使用以下示例应答文件升级域控制器 dcpromo /unattend :Code - [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Yes AutoConfigDNS=Yes RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=No DomainLevel=0 ForestLevel=0 升级失败,dcpromoui.log中出现以下错误: Code - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 DomainLevel 的值为 0 dcpromoui EA4.5B8 008B 13:31:50.783 退出代码为 77 dcpromoui EA4.5B8 008C 13:31:50.783 指定的参数无效。 dcpromoui EA4.5B8 008D 13:31:50.783 结束日志 dcpromoui EA4.5B8 0032 13:31:50.830 退出代码为 77 级别 0 是 Windows 2000,它在 Windows Server 2012 中不受支持。 |
| 解析和注释 | 不要使用已弃用 dcpromo /unattend 并了解它允许指定以后失败的无效设置。 此行为符合预期并且是设计使然。 |
| 问题 | 升级在创建 NTDS 设置对象时“挂起”,永远不会完成 |
|---|---|
| 症状 | 如果升级副本 DC 或 RODC,升级将达到“正在创建 NTDS 设置对象”阶段且不再继续或永远不会完成。 日志也停止更新。 |
| 解析和注释 | 这是一个已知问题,原因在于向内置域管理员帐户提供带有匹配密码的内置本地管理员帐户的凭据。 这会导致核心安装引擎中的故障,此引擎不发生错误但会无限期等待(准循环)。 这是符合预期(虽然不可取)的行为。 若要修复服务器: 1. 重启它。 1. 在 AD 中,删除该服务器的成员计算机帐户(它还不是 DC 帐户) 2. 在该服务器上,强行将其从域取消加入 3. 在该服务器上,删除 AD DS 角色。 4. 重新启动 5.读取 AD DS 角色并重新尝试升级,确保始终向 DC 升级提供 <域>\<管理员> 格式的凭据,而不仅仅是内置的本地管理员帐户。 |