針對域控制器部署進行疑難解答
本文涵蓋網域控制站設定和部署的詳細疑難排解方法。
適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016
試用虛擬助理 - 其可協助您快速找出並修正常見 Active Directory 複寫問題。
疑難解答簡介
內建疑難排解記錄檔
內建記錄檔是疑難排解網域控制站升級和降級問題的最重要工具。 預設會啟用及設定所有的這些記錄檔以提供最詳盡的詳細資訊。
| 階段 | 記錄 |
|---|---|
| 伺服器管理員或 ADDSDeployment Windows PowerShell 作業 | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
| 網域控制站的安裝/升級 | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - 事件檢視器 Windows 記錄系統\\ - 事件檢視器 Windows 記錄應用程式\\ - 事件檢視器 應用程式與服務記錄\目錄服務\ - 事件檢視器 應用程式與服務記錄\檔復寫服務\ - 事件檢視器 應用程式與服務記錄\DFS 複寫\ |
| 樹系或網域升級 | - %systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
| 伺服器管理員 ADDSDeployment Windows PowerShell 部署引擎 | - 事件檢視器 應用程式與服務記錄\Microsoft\Windows\DirectoryServices-Deployment 作業\\ |
| Windows 維護 | - %systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
針對域控制器設定進行疑難解答的工具和命令
若要疑難排解記錄檔未說明的問題,請使用下列工具做為起點:
- Dcdiag.exe
- Repadmin.exe
- AutoRuns.exe、任務管理員和MSInfo32.exe
- Network Monitor 3.4 (或協力廠商網路擷取和分析工具)
針對域控制器設定進行疑難解答的一般方法
語法問題是否造成錯誤?
- 您是否輸入錯誤或忘記提供 ADDSDeployment Windows PowerShell 引數? 例如,如果使用 ADDSDeployment Windows PowerShell,您是否忘記新增具有有效名稱的必要自變數
-domainname? - 請仔細檢查 Windows PowerShell 主控台輸出,以查看無法剖析所提供命令列的確切原因。
- 您是否輸入錯誤或忘記提供 ADDSDeployment Windows PowerShell 引數? 例如,如果使用 ADDSDeployment Windows PowerShell,您是否忘記新增具有有效名稱的必要自變數
是先決條件失敗的錯誤吗?
- 許多之前顯示為嚴重升級結果的錯誤現在已可透過先決條件檢查程式來排除。
- 請仔細檢查先決條件錯誤的文字,它們會提供必要指導方針以解決大部分問題,因為它們是受控制的狀況。
這是升級時發生錯誤而成為嚴重錯誤嗎?
仔細檢查結果:許多錯誤都有錯誤的說明,例如密碼錯誤、網路名稱解析或重大離線域控制器。
檢查輸出 中所顯示錯誤的Dcpromoui.log 和 dcpromo.log ,然後向後工作以查看失敗發生原因的指示。
- 一律與工作中的範例記錄檔比較
- 請只有在結果指示延伸架構或準備樹系或網域發生問題時,才檢查 ADPrep 記錄檔是否有錯誤。
- 只有在Dcpromoui.log缺少詳細數據或因為組態程式中未處理的例外狀況而任意結束時,才檢查 DirectoryServices-Deployment 事件記錄檔中是否有錯誤。
請檢查其他組態問題指示器的目錄服務、系統及應用程式事件記錄檔。 網域控制站升級通常只是影響所有分散式系統之其他網路設定錯誤的問題。
使用 dcdiag.exe 和 repadmin.exe 來驗證整體樹系健康情況,並指出可能會造成進一步域控制器升級的細微設定錯誤。
使用 AutoRuns.exe、任務管理員或 MSinfo32.exe 檢查計算機是否有可能干擾的第三方軟體。
拿掉第三方軟體(請勿停用軟體;這不會防止驅動程式載入)。
在無法升級的電腦上和複寫夥伴網域控制站上安裝 NetMon 3.4,然後使用雙端網路擷取來分析升級處理程序。
- 將此結果與您工作實驗室環境比較,以了解正常升級情況和失敗位置。
- 此時,可能是樹系物件、非預設安全性變更或網路發生問題,而且這個新的網域控制站是 DNS、防火牆、主機入侵保護軟體設定錯誤,或其他外部因素的受害者。
針對事件和錯誤訊息進行疑難解答
域控制器升級和降級一律會在作業結束時傳回程式代碼,與大多數程式不同,不會傳回零成功。 若要查看網域控制站組態設定結束時的代碼,您有幾個選項可選:
使用伺服器管理員時,請在自動重新開機之前 10 秒內檢查升級結果。
使用 ADDSDeployment Windows PowerShell 時,請在自動重新開機之前 10 秒內檢查升級結果。 或者,在完成時選擇不要自動重新啟動。 您應該新增
format-list管線,讓輸出更容易讀取。 例如:Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list先決條件驗證和確認錯誤不會在重新開機時持續發生,因此在所有情況下都會看到那些錯誤。 例如:
在任何案例中 ,檢查dcpromo.log 和 dcpromoui.log。
注意
下面列出的部分錯誤已經因為較新版作業系統中的作業系統與網域控制站組態變更而不可能再發生。 新的 ADDSDeployment Windows PowerShell 程式代碼也會防止某些錯誤,但
dcpromo.exe /unattend不會;這是另一個令人信服的理由,可將您目前所有已取代的 DCPromo 切換至 ADDSDeployment Windows PowerShell。
升級和降級成功碼
| 錯誤碼 | 說明 | 注意 |
|---|---|---|
| 1 | 順利結束 | 您仍然必須重新啟動,這隻會指出已移除自動重新啟動旗標。 |
| 2 | 順利結束,需重新開機 | |
| 3 | 順利結束,但發生非重大失敗 | 通常會在傳回 DNS 委派警告時出現。 如果未設定 DNS 委派,請使用:
|
| 4 | 順利結束,但發生非重大失敗,需要重新開機 | 通常會在傳回 DNS 委派警告時出現。 如果未設定 DNS 委派,請使用:
|
升級和降級失敗碼
升級和降級會傳回下列失敗訊息代碼。 也可能是延伸的錯誤訊息,請務必仔細閱讀完整錯誤訊息,不要只注意數字部分。
| 錯誤碼 | 說明 | 建議的解決方法 |
|---|---|---|
| 11 | 網域控制站已經在執行中 | 請勿針對相同的目標計算機同時執行一個以上的域控制器升級實例。 |
| 12 | 使用者必須是系統管理員 | 以內建 Administrators 群組的成員身分登入,並確定您使用 UAC 提升許可權。 |
| 13 | 已安裝憑證授權單位 | 您無法將此網域控制站降級,因為其也是憑證授權單位。 在您仔細清查 CA 的使用方式之前,請勿移除 CA。 如果是頒發證書,移除角色將會導致中斷。 不建議在域控制器上執行CA。 |
| 14 | 以安全開機模式執行 | 將伺服器開機進入一般模式。 |
| 15 | 正在變更角色或需要重新開機 | 升級之前,您必須重新啟動伺服器(因為先前的設定變更)。 |
| 16 | 在錯誤的平台上執行 | 不太可能收到此錯誤。 |
| 17 | 沒有 NTFS 5 磁碟機存在 | Windows Server 2012 中不可能發生此錯誤,這至少需要以 NTFS 格式化 %systemdrive%。 |
| 18 | 溫蒂爾空間 不足 | 使用 cleanmgr.exe 釋放 %systemdrive% 磁碟區的空間。 |
| 19 | 名稱變更擱置。需要重新開機 | 重新開機伺服器。 |
| 20 | 電腦名稱的語法無效 | 以有效的名稱重新命名計算機。 |
| 21 | 此網域控制站保有 FSMO 角色、是一個 GC,以及 (或) 是一部 DNS 伺服器 | 使用 -forceremoval時新增 -demoteoperationmasterrole 。 |
| 22 | 必須安裝 TCP/IP,或 TCP/IP 未運作 | 確認計算機已設定 TCP/IP、系結並正常運作。 |
| 23 | 必須先設定 DNS 用戶端 | 將新的域控制器新增至網域時,設定主要 DNS 伺服器。 |
| 24 | 提供的認證無效或遺失必要項目 | 確認您的使用者名稱和密碼正確無誤。 |
| 25 | 無法找到指定網域的域控制器 | 驗證 DNS 用戶端設定、防火牆規則。 |
| 26 | 無法從樹系讀取網域清單 | 驗證 DNS 用戶端設定、LDAP 功能、防火牆規則。 |
| 27 | 遺失網域名稱 | 在升階或降級時指定網域。 |
| 28 | 網域名稱無效 | 升級時,請選擇不同的有效 DNS 功能變數名稱。 |
| 29 | 父域不存在 | 確認在建立新的子域或樹狀網域時指定的父域。 |
| 30 | 網域不在樹系中 | 確認提供的功能變數名稱。 |
| 31 | 子網域已存在 | 指定不同的功能變數名稱。 |
| 32 | NetBIOS 網域名稱無效 | 指定有效的 NetBIOS 功能變數名稱。 |
| 33 | IFM 檔案的路徑無效 | 驗證 [從媒體安裝] 資料夾的路徑。 |
| 34 | IFM 資料庫無效 | 針對此操作系統和角色使用正確的 [從媒體安裝] (相同作業系統版本、相同類型的域控制器 - RODC 與 RWDC)。 |
| 35 | 遺失 SYSKEY | [從媒體安裝] 已加密,您必須提供有效的 SYSKEY 才能使用它。 |
| 37 | NTDS 資料庫或其記錄檔的路徑無效 | 將資料庫和記錄的路徑變更為固定的NTFS磁碟區,而不是對應的磁碟驅動器或 UNC 路徑。 |
| 38 | 磁碟區沒有足夠的空間供NTDS資料庫或記錄使用 | 使用 cleanmgr.exe釋出空間、新增更多磁碟空間、在其他地方移動不必要的數據以手動清除空間。 |
| 39 | SYSVOL 的路徑無效 | 將 SYSVOL 資料夾的路徑變更為固定的NTFS磁碟區,而不是對應的磁碟驅動器或 UNC 路徑。 |
| 40 | 無效的站台名稱 | 提供存在的網站名稱。 |
| 41 | 必須指定安全模式的密碼 | 提供 DSRM 帳戶的密碼,無論密碼原則的設定方式為何,都不能空白。 |
| 42 | 安全模式密碼不符合準則(僅限促銷) | 為符合密碼原則所設定規則的 DSRM 帳戶提供密碼。 |
| 43 | 系統管理員密碼不符合準則(僅限降級) | 為符合密碼原則所設定規則的本機系統管理員帳戶提供密碼。 |
| 44 | 指定的樹系名稱無效 | 指定有效的樹系根 DNS 功能變數名稱。 |
| 45 | 具有指定名稱的樹系已存在 | 選擇不同的樹系根 DNS 功能變數名稱。 |
| 46 | 指定的樹狀目錄名稱無效 | 指定有效的樹狀結構 DNS 功能變數名稱。 |
| 47 | 具有指定名稱的樹狀目錄已存在 | 選擇不同的樹狀結構 DNS 功能變數名稱。 |
| 48 | 樹狀結構名稱不符合樹系結構 | 選擇不同的樹狀結構 DNS 功能變數名稱。 |
| 49 | 指定的網域不存在 | 確認您具類型的功能變數名稱。 |
| 50 | 降級期間,即使未偵測到最後一個域控制器,或指定了最後一個域控制器,但並未偵測到最後一個域控制器 | 除非為 true,否則請勿在 [網域-lastdomaincontrollerindomain] 中指定最後一個域控制器。 如果這是真正的最後一個域控制器,而且有虛設的域控制器元數據,請使用 -ignorelastdcindomainmismatch 來覆寫。 |
| 51 | 此網域控制站上有應用程式磁碟分割存在 | 指定 以 移除應用程式分割 區 (-removeapplicationpartitions)。 |
| 52 | 遺失必要的命令列引數 (也就是命令列中必須指定回應檔案) | 只有 使用 dcpromo /unattend,才會被取代。 請參閱較舊的文件。 |
| 53 | 升級/降級失敗,必須重新開機以清理電腦 | 檢查擴充的錯誤和記錄。 |
| 54 | 升級/降級失敗 | 檢查擴充的錯誤和記錄。 |
| 55 | 使用者已取消升級/降級 | 檢查擴充的錯誤和記錄。 |
| 56 | 使用者已取消升級/降級,必須重新開機以清理電腦 | 檢查擴充的錯誤和記錄。 |
| 58 | 必須在 RODC 升級期間指定站台名稱 | 您必須指定 RODC 的網站,它不會自動偵測到像是 RWDC 的網站。 |
| 59 | 此網域控制站在降級期間是其其中一個區域中的最後一部 DNS 伺服器 | 指定這是網域中的最後一部 DNS 伺服器或使用 -ignorelastdnsserverfordomain。 |
| 60 | 網域中必須有執行 Windows Server 2008 或更新版本的網域控制站存在才能升級 RODC | 升級至少一個 Windows Server 2008 或更新版本的模型可寫入域控制器。 |
| 61 | 您無法在尚未載入 DNS 的現有網域中,使用 DNS 安裝 Active Directory 網域服務 | 無法取得此錯誤。 |
| 62 | 回應檔案沒有 [DCInstall] 區段 | 只有 使用 dcpromo /unattend,才會被取代。 請參閱較舊的文件。 |
| 63 | 樹系功能等級低於 Windows Server 2003 | 請將樹系功能等級至少提高至 Windows Server 2003 原生。 不再支援 Windows 2000 和 Windows NT 4.0 操作系統。 |
| 64 | 升級失敗,因為元件二進位偵測失敗 | 安裝 AD DS 角色。 |
| 65 | 升級失敗,因為元件二進位安裝失敗 | 安裝 AD DS 角色。 |
| 66 | 升級失敗,因為作業系統偵測失敗 | 請檢查延伸錯誤和記錄檔。伺服器無法傳回其作業系統版本。 計算機可能需要重新安裝,因為其整體健康情況非常可疑。 |
| 68 | 複寫協力電腦無效 | 使用 repadmin.exe 或 Get-ADReplication\* Windows PowerShell 來驗證合作夥伴域控制器健康情況。 |
| 69 | 必要的連接埠已由其他應用程式使用 | 使用 netstat.exe -anob 來找出未正確指派給保留 AD DS 埠的進程。 |
| 70 | 樹系根網域控制站必須是 GC | 只有 使用 dcpromo /unattend,才會被取代。 請參閱較舊的文件。 |
| 71 | 已安裝 DNS 伺服器 | 如果未安裝 DNS 服務,請勿指定安裝 DNS (-installDNS)。 |
| 72 | 電腦正以非系統管理模式執行遠端桌面服務 | 您無法升級此網域控制站,因為其也是針對兩個以上系統管理員使用者所設定的 RDS 伺服器。 在您仔細清查 RDS 的使用方式之前,請勿移除 RDS。 如果應用程式或使用者正在使用它,移除將會導致中斷。 |
| 73 | 指定的樹系功能等級無效。 | 指定有效的樹系功能等級。 |
| 74 | 指定的網域功能等級無效。 | 指定有效的網域功能等級。 |
| 75 | 無法判斷預設的密碼複寫原則。 | 驗證 RODC 密碼復寫策略是否存在且可存取。 |
| 76 | 指定的複寫/非複寫安全性群組無效 | 確認您在指定密碼複寫策略時已輸入有效的網域和用戶帳戶。 |
| 77 | 指定的引數無效 | 檢查擴充的錯誤和記錄。 |
| 78 | 無法檢查 Active Directory 樹系 | 檢查擴充的錯誤和記錄。 |
| 79 | RODC 無法升級,因為 rodcprep 尚未執行 | 使用 Windows Server 2012 準備樹系或使用 adprep.exe /rodcprep。 |
| 80 | 尚未執行準備網域 | 使用 Windows Server 2012 來準備網域或使用 adprep.exe /domainprep。 |
| 81 | 尚未執行 Forestprep | 使用 Windows Server 2012 準備樹系或使用 adprep.exe /forestprep。 |
| 82 | 樹系架構不符 | 使用 Windows Server 2012 準備樹系或使用 adprep.exe /forestprep。 |
| 83 | 不支援的 SKU | 不太可能收到此錯誤。 |
| 84 | 無法偵測到網域控制站帳戶 | 請驗證現有網域控制站具有正確的使用者帳戶控制屬性集。 |
| 85 | 無法在階段 2 選取網域控制站帳戶 | 會在您指定 [使用現有帳戶] 但找不到帳戶或帳戶查閱期間發生錯誤時傳回。 請確定您提供了正確的 RODC 暫存帳戶。 |
| 86 | 需執行階段 2 升級 | 如果您升級其他域控制器,但現有的帳戶存在且未指定「允許重新安裝」,則傳回 。 |
| 87 | 有類型衝突的網域控制站帳戶存在 | 如果不是要嘗試附加到未佔用的網域控制站,請先將電腦重新命名之後再升級。 您必須使用 -useexistingaccount 和 正確的只讀或可寫入自變數,視帳戶類型而定,附加至未加入的域控制器帳戶。 |
| 88 | 指定的伺服器管理員無效 | 您指定的 RODC 管理委派帳戶無效。 確認指定的帳戶是有效的使用者或群組。 |
| 89 | 指定網域的 RID 主機已離線。 | 使用 netdom.exe query fsmo 來偵測 RID 主機。 將它上線,並使其可供您推廣的域控制器存取。 |
| 90 | 網域命名主機已離線。 | 使用 netdom.exe query fsmo 來偵測網域命名主機。 將它上線,並使其可供您推廣的域控制器存取。 |
| 91 | 無法偵測處理程序是否為 wow64 | 無法再收到此錯誤,操作系統是64位。 |
| 92 | 不支援 Wow64 程序 | 無法再收到此錯誤,操作系統是64位。 |
| 93 | 網域控制站服務未執行,無法執行非強制降級 | 啟動 AD DS 服務。 |
| 94 | 本機系統管理員密碼不符合需求:空白或非必要 | 提供非空白密碼,並確定本機密碼原則需要密碼。 |
| 95 | 無法將即時 RODC 所在網域中的最後一個 Windows Server 2008 或更新版本的網域控制站降級 | 您必須先降級所有 RODC,才能降級所有 Windows Server 2008 或更新版本的可寫入域控制器。 |
| 96 | 無法解除安裝 DS 二進位檔 | 只有 使用 dcpromo /unattend,才會被取代。 請參閱較舊的文件。 |
| 97 | 樹系功能等級版本高於子網域作業系統版本 | 提供與樹系功能等級相同或高於樹系功能等級的子域。 |
| 98 | 元件二進位安裝/解除安裝正在進行中。 | 只有 使用 dcpromo /unattend,才會被取代。 請參閱較舊的文件。 |
| 99 | 樹系功能等級太低 (只有 Windows Server 2012 才會發生此錯誤) | 請將樹系功能等級至少提高至 Windows Server 2003 原生。 不再支援 Windows 2000 和 Windows NT 4.0 操作系統。 |
| 100 | 網域功能等級太低 (只有 Windows Server 2012 才會發生此錯誤) | 請將網域功能等級至少提高至 Windows Server 2003 原生。 不再支援 Windows 2000 和 Windows NT 4.0 操作系統。 |
已知問題和常見支援案例
以下是 Windows Server 2012 開發程序的過程中常見的問題。 這所有的問題都是「經過設計的」,具有有效的因應措施或更適當的技術,可在第一時間避免發生這些問題。 這些行為中有許多在 Windows Server 2008 R2 和較舊的作業系統中完全相同,但是重寫 AD DS 部署提高了問題的敏感性。
| 問題 | 將網域控制站降級會讓 DNS 維持在沒有區域的情況下執行 |
|---|---|
| 徵兆 | 伺服器仍會回應 DNS 要求但沒有區域資訊 |
| 解決方式和注意事項 | 移除 AD DS 角色時,也會移除 DNS 伺服器角色或將 DNS 伺服器服務設定為停用。 請記得將 DNS 用戶端指向其本身之外的其他伺服器。 如果使用 Windows PowerShell,請在將伺服器降級之後執行以下項目: 法典- 或 法典- |
| 問題 | 將 Windows Server 2012 升級至現有單一標籤網域並不會設定 updatetopleveldomain=1 或 allowsinglelabeldnsdomain=1 |
|---|---|
| 徵兆 | 不會發生 DNS 動態記錄註冊 |
| 解決方式和注意事項 | 使用 Netlogon 與 DNS 群組原則設定這些值。 Microsoft 已開始封鎖在 Windows Server 2008 中建立單一標籤網域。您可以使用 ADMT 或網域重新命名工具來變更為已核准的 DNS 網域結構。 |
| 問題 | 如果有預先建立、未佔用的 RODC 帳戶,降級網域中最後一個網域控制站就會失敗 |
|---|---|
| 徵兆 | 降級失敗時會顯示以下訊息:
Active Directory Domain Services 找不到另一個 Active Directory 網域控制站來傳輸目錄磁碟分割 CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com 中剩餘的資料。 「 指定之網域名稱的格式無效。」 |
| 解決方式和注意事項 | 請先移除任何剩餘的預先建立 RODC 帳戶,再將網域降級 (使用 Dsa.msc 或 Ntdsutil.exe metadata cleanup)。 |
| 問題 | 自動化樹系和網域準備未執行 GPPREP |
|---|---|
| 徵兆 | 群組原則的跨網域計畫功能 (原則結果組 (RSOP) 計劃模式) 需要已針對現有 GP 更新的檔案系統和 Active Directory 權限。 沒有 Gpprep,您就無法跨網域使用 RSOP 規劃。 |
| 解決方式和注意事項 | 針對先前尚未針對 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 準備的所有網域手動執行 adprep.exe /gpprep 。 在網域的紀錄中,系統管理員應只執行一次 GPPrep,而非每次升級都執行。 它不是由自動 Adprep 執行,因為如果您已經設定適當的自訂權限,則這會導致在所有網域控制站上複寫所有 SYSVOL 內容。 |
| 問題 | 在指向 UNC 路徑時驗證「從媒體安裝」失敗 |
|---|---|
| 徵兆 | 傳回錯誤: 代碼 - 無法驗證媒體路徑。 呼叫具有 "2" 引數的 "GetDatabaseInfo" 時發生例外狀況。 資料夾無效。 |
| 解決方式和注意事項 | 您必須將 IFM 檔案儲存在本機磁碟,而非遠端 UNC 路徑。 此刻意區塊可防止因為網路中斷而導致伺服器只有部分升級。 |
| 問題 | 在網域控制站升級期間顯示兩次 DNS 委派警告 |
|---|---|
| 徵兆 | 使用 ADDSDeployment Windows PowerShell 升級時,傳回警告「兩次」: 法典- |
| 解決方式和注意事項 | 忽略。 ADDSDeployment Windows PowerShell 會在先決條件檢查時第一次顯示警告,然後在設定網域控制站時再顯示一次。 如果您不想要設定 DNS 委派,則請使用引數: 法典- 請勿略過必要條件檢查,以隱藏此訊息。 |
| 問題 | 在設定期間指定 UPN 或非網域認證時傳回誤導錯誤 |
|---|---|
| 徵兆 | 伺服器管理員傳回錯誤: 代碼 - 呼叫具有 "6" 引數的 "DNSOption" 時發生例外狀況 ADDSDeployment Windows PowerShell 傳回錯誤: 法典- |
| 解決方式和注意事項 | 請確定您是以 domain\<user> 的形式<提供有效的網域>認證。 |
| 問題 | 使用 Dism.exe 移除 DirectoryServices-DomainController 角色會導致無法啟動的伺服器 |
|---|---|
| 徵兆 | 如果使用Dism.exe在正常降級域控制器之前移除 AD DS 角色,伺服器就不會再正常開機並顯示錯誤: 代碼 - 狀態:0x000000000 |
| 解決方式和注意事項 | 使用 Shift+F8 開機進入目錄服務修復模式。 重新新增 AD DS 角色,然後強制降級網域控制站。 或者,從備份還原系統狀態。 請勿將 Dism.exe 用於AD DS角色移除;公用程式不知道域控制器。 |
| 問題 | 設定 Win2012 的 Forestmode 時安裝新樹系失敗 |
|---|---|
| 徵兆 | 使用 ADDSDeployment Windows PowerShell 升級時傳回錯誤: 法典-
|
| 解決方式和注意事項 | 請不要在「也」未指定 Win2012 網域功能模式的情況下指定 Win2012 樹系功能模式。 以下是正常運作而未發生錯誤的範例: 法典- |
| 問題 | 在 [從媒體安裝] 選取區域中選取 [驗證 ] 似乎不會執行任何動作 |
|---|---|
| 徵兆 | 當您指定 IFM 資料夾的路徑時,選取 [ 驗證 ] 按鈕永遠不會傳回訊息,或顯示為執行任何動作。 |
| 解決方式和注意事項 | [驗證] 按鈕只有在發生問題時才會傳回錯誤。 否則,如果您已提供 IFM 路徑,則會讓 [下一步] 按鈕變成可供選取。 如果您已選取 IFM,則必須選取 [驗證] 才能繼續。 |
| 問題 | 除非完成,否則使用伺服器管理員進行降級並不會提供意見反應。 |
|---|---|
| 徵兆 | 使用伺服器管理員移除 AD DS 角色以及將網域控制站降級時,除非降級完成或失敗,否則不會持續提供意見反應。 |
| 解決方式和注意事項 | 這是伺服器管理員的限制。 如需意見反應,請使用 ADDSDeployment Windows PowerShell Cmdlet: 法典- |
| 問題 | 「從媒體安裝驗證」不會偵測針對可寫入網域控制站提供的 RODC 媒體,反之亦然。 |
|---|---|
| 徵兆 | 使用 IFM 升級新的域控制器,並將不正確的媒體提供給 IFM 時,例如可寫入域控制器的 RODC 媒體,或 RODC 的 RWDC 媒體 - [ 驗證 ] 按鈕不會傳回錯誤。 之後,升級會失敗並顯示錯誤: 代碼 - 嘗試將此機器設定為網域控制站時發生錯誤。 |
| 解決方式和注意事項 | 驗證時只會驗證 IFM 的整體完整性。 請不要將錯誤的 IFM 類型提供給伺服器。 請先重新啟動伺服器,然後使用正確的媒體再次嘗試升級。 |
| 問題 | 將 RODC 升級至預先建立的電腦帳戶失敗 |
|---|---|
| 徵兆 | 使用 ADDSDeployment Windows PowerShell 來升級具備分段電腦帳戶的新 RODC 時,收到錯誤: 法典- |
| 解決方式和注意事項 | 請不要提供已在預先建立的 RODC 帳戶中定義的參數。 包括: 代碼 - |
| 問題 | 取消選取/選取 [必要時自動重新啟動目的地伺服器] 時未執行任何動作 |
|---|---|
| 徵兆 | 如果在透過移除角色來將網域控制站降級時選取 (或未選取) 伺服器管理員選項 [需要時自動重新啟動每個目的地伺服器],則無論選擇為何,一律會重新啟動伺服器。 |
| 解決方式和注意事項 | 這是刻意設計的。 無論此設定為何,降級處理程序都會重新啟動伺服器。 |
| 問題 | Dcpromo.log 顯示「[錯誤] 伺服器檔案設定安性失敗,發生 2 項失敗」 |
|---|---|
| 徵兆 | 網域控制站降級完成且未發生問題,但是檢查 dcpromo 記錄時顯示錯誤: 法典- |
| 解決方式和注意事項 | 請忽略,預期會發生此錯誤且沒有實質作用。 |
| 問題 | 先決條件 adprep 檢查失敗,發生「 無法執行 Exchange 架構衝突檢查 」錯誤 |
|---|---|
| 徵兆 | 嘗試將 Windows Server 2012 網域控制站升級到現有的 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 樹系時,先決條件檢查失敗並發生錯誤: 代碼 - AD 準備的先決條件驗證失敗。 無法執行網域 <網域名稱> 的 Exchange 結構描述衝突檢查 (例外狀況:RPC 伺服器無法使用) adprep.log顯示錯誤: 法典- 透過 Windows Management Instrumentation (WMI)。 |
| 解決方式和注意事項 | 新的網域控制站無法透過 DCOM/RPC 通訊協定對現有網域控制站存取 WMI。 到目前為止,有三個原因造成此問題: - 防火牆規則會封鎖對現有域控制器的存取。 |
| 問題 | 建立新的 AD DS 樹系一律會顯示 DNS 警告 |
|---|---|
| 徵兆 | 在新的網域控制站上為其本身建立新的 AD DS 樹系及建立 DNS 區域時,您一定會收到警告訊息: 代碼 - DNS 設定中偵測到錯誤。 |
| 解決方式和注意事項 | 忽略。 這個警告是在新樹系之根網域中第一個網域控制站上刻意設計的,以方便您指向現有 DNS 伺服器和區域。 |
| 問題 | Windows PowerShell -whatif 自變數傳回不正確的 DNS 伺服器資訊 |
|---|---|
| 徵兆 | 如果您在使用隱含或明確-installdns:$true設定網域控制器時使用 -whatif 自變數,則產生的輸出會顯示:法典- |
| 解決方式和注意事項 | 忽略。 已正確安裝及設定 DNS。 |
| 問題 | 升級之後,登入失敗,並出現「沒有足夠的記憶體可用來處理此命令」 |
|---|---|
| 徵兆 | 在您升級新的網域控制站之後,接著登出並嘗試以互動方式登入時,您收到錯誤: 代碼 - 儲存體不足,無法處理此命令 |
| 解決方式和注意事項 | 升級之後,域控制器不會重新啟動,可能是因為發生錯誤,或因為您指定ADDSDeployment Windows PowerShell 自變數 -norebootoncompletion。 重新啟動網域控制站。 |
| 問題 | [網域控制站選項] 頁面上的 [下一步] 按鈕無法使用 |
|---|---|
| 徵兆 | 即使您已設定密碼,伺服器管理員 [網域控制站選項] 頁面上的 [下一步] 按鈕還是無法使用。 [網站名稱] 功能表中沒有列出任何網站。 |
| 解決方式和注意事項 | 您有多個 AD DS 站台且至少有一個站台遺失子網路。這個新的網域控制站隸屬於那些子網路的其中之一。 您必須從 [站台名稱] 下拉式功能表手動選取子網路。 您也應該使用 DSSITE 檢閱所有 AD 網站。MSC 或使用下列 Windows PowerShell 命令來尋找所有遺失子網的網站: 程序代碼 - “get-adreplicationsite -filter * -property subnets |where-object {!$_.subnets -eq “*”} |format-table name” |
| 問題 | 升級或降級失敗,且顯示「無法啟動服務」訊息 |
|---|---|
| 徵兆 | 如果您嘗試升級、降級,或複製網域控制站,會收到錯誤: 代碼 - 無法啟動服務,因為已將其停用或沒有相關聯的已啟用裝置 (0x80070422) 錯誤可能是互動式、事件或寫入記錄檔,例如 dcpromoui.log 或 dcpromo.log。 |
| 解決方式和注意事項 | DS 角色伺服器服務 (DsRoleSvc) 已停用。 安裝 AD DS 角色時預設會安裝此服務,並設定為手動啟動類型。 請不要停用此服務。 將服務設回手動並允許 DS 角色作業在需要時啟動及停止該服務。 這是設計的行為。 |
| 問題 | 伺服器管理員仍然會顯示您需要升級 DC 的警告 |
|---|---|
| 徵兆 | 如果您使用已被dcpromo.exe /unattend取代或將現有的 Windows Server 2008 R2 域控制器升級為 Windows Server 2012,伺服器管理員 仍會顯示部署後設定工作將這部伺服器升級至域控制器。 |
| 解決方式和注意事項 | 選取部署後警告連結,訊息就會消失。 此行為沒有實質作用且是預期的行為。 |
| 問題 | 伺服器管理員部署指令碼遺失角色安裝 |
|---|---|
| 徵兆 | 如果您使用 伺服器管理員 升級域控制器並儲存 Windows PowerShell 部署腳本,則不包含角色安裝 Cmdlet 和自變數 (install-windowsfeature -name ad-domain-services -includemanagementtools)。 無法在沒有角色的情況下設定 DC。 |
| 解決方式和注意事項 | 手動新增該 Cmdlet 與引數至任何指令碼。 此行為是預期的行為且是設計使然。 |
| 問題 | 伺服器管理員部署指令碼的名稱不是 PS1 |
|---|---|
| 徵兆 | 如果您使用伺服器管理員升級網域控制站並儲存 Windows PowerShell 部署指令碼,檔案是以隨機暫時名稱命名,而不是命名為 PS1 檔案。 |
| 解決方式和注意事項 | 手動重新命名檔案。 此行為是預期的行為且是設計使然。 |
| 問題 | Dcpromo /unattend 允許使用不支援的功能等級 |
|---|---|
| 徵兆 | 如果您使用 下列範例回應檔案來升級域控制器 dcpromo /unattend :代碼 - [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Yes AutoConfigDNS=Yes RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=No DomainLevel=0 ForestLevel=0 升級失敗,dcpromoui.log發生下列錯誤: 代碼 - dcpromoui EA4.5B8 0089 13:31:50.783 輸入 CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 DomainLevel 的值是 0 dcpromoui EA4.5B8 008B 13:31:50.783 結束碼是 77 dcpromoui EA4.5B8 008C 13:31:50.783 指定的引數無效。 dcpromoui EA4.5B8 008D 13:31:50.783 正在關閉記錄檔 dcpromoui EA4.5B8 0032 13:31:50.830 結束碼是 77 層級 0 是 Windows 2000,Windows Server 2012 不予支援。 |
| 解決方式和注意事項 | 請勿使用已被 dcpromo /unattend 取代,並瞭解它可讓您指定稍後失敗的無效設定。 此行為是預期的行為且是設計使然。 |
| 問題 | 升級在建立 NTDS 設定物件時「停止回應」,因此從未完成 |
|---|---|
| 徵兆 | 如果您升級複本 DC 或 RODC,則升級會執行到「正在建立 NTDS 設定物件」,而且絕對不會繼續或完成。 記錄檔也停止更新。 |
| 解決方式和注意事項 | 這是因提供了與內建網域系統管理員帳戶密碼相同之內建本機系統管理員帳戶的認證而產生的已知問題。 這會導致核心設定引擎失敗,但不會發生錯誤,而是會無限期等待 (半迴圈)。 雖然不想這樣,但這是預期行為。 修正伺服器: 1.將它重新開機。 1.在 AD 中,刪除該伺服器的成員電腦帳戶 (它還不是 DC 帳戶) 2. 在該伺服器上,強制將它從網域取消加入 3.在該伺服器上,移除 AD DS 角色。 4.重新啟動 5.讀取 AD DS 角色並重新嘗試升級,確保您一律將網域\<系統管理員>格式化的認證提供給 <DC 升級,而不只是內建的>本機系統管理員帳戶。 |