Pemecahan Masalah Penyebaran Pengendali Domain
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik ini mencakup metodologi terperinci tentang pemecahan masalah konfigurasi dan penyebaran pengendali domain.
Pengantar Pemecahan Masalah
Log bawaan untuk pemecahan masalah
Log bawaan adalah instrumen terpenting untuk memecahkan masalah dengan promosi dan demosi pengendali domain. Semua log ini diaktifkan dan dikonfigurasi untuk verbositas maksimum secara default.
| Fase | Log |
|---|---|
| Manajer Server atau ADDSDeployment Windows PowerShell operasi | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui*.log |
| Penginstalan/Promosi pengendali domain | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - Penampil peristiwa\log Windows\Sistem - Penampil peristiwa\Windows log\Aplikasi - Penampil peristiwa\Aplikasi dan layanan logs\Directory Service - Penampil peristiwa\Aplikasi dan layanan logs\Layanan Replikasi File - Penampil peristiwa\Aplikasi dan log layanan\Replikasi DFS |
| Peningkatan forest atau domain | - %systemroot%\debug\adprep\<datetime>\adprep.log - %systemroot%\debug\adprep\<datetime>\csv.log - %systemroot%\debug\adprep\<datetime>\dspecup.log - %systemroot%\debug\adprep\<datetime>\ldif.log* |
| Server Manager ADDSDeployment Windows PowerShell mesin penyebaran | - Penampil peristiwa\Aplikasi dan layanan logs\Microsoft\Windows\DirectoryServices-Deployment\Operational |
| Layanan Windows | - %systemroot%\Logs\CBS\* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
Alat dan Perintah untuk Pemecahan Masalah Konfigurasi Pengendali Domain
Untuk memecahkan masalah yang tidak dijelaskan oleh log, gunakan alat berikut sebagai titik awal:
Dcdiag.exe
Repadmin.exe
AutoRuns.exe, Pengelola Tugas, dan MSInfo32.exe
Monitor Jaringan 3.4 (atau alat tangkapan dan analisis jaringan pihak ketiga)
Metodologi Umum untuk Pemecahan Masalah Konfigurasi Pengendali Domain
Apakah masalah sintaks sederhana menyebabkan kesalahan?
Apakah Anda salah ketik atau lupa memberikan argumen ke ADDSDeployment Windows PowerShell? Misalnya, jika menggunakan ADDSDeployment Windows PowerShell, apakah Anda lupa menambahkan argumen -domainname yang diperlukan dengan nama yang valid?
Periksa output konsol Windows PowerShell dengan hati-hati untuk melihat persis mengapa gagal mengurai baris perintah yang disediakan.
Apakah kesalahan tersebut merupakan kegagalan prasyarat?
Banyak kesalahan yang dulu muncul sebagai hasil promosi fatal sekarang dicegah oleh pemeriksa prasyarat.
Periksa teks kesalahan prasyarat dengan hati-hati, mereka memberikan panduan yang diperlukan untuk menyelesaikan sebagian besar masalah, karena skenario tersebut dikontrol.
Apakah kesalahan dalam promosi dan karenanya fatal?
Periksa hasilnya dengan cermat: banyak kesalahan memiliki penjelasan sederhana seperti kata sandi yang buruk, resolusi nama jaringan, atau pengontrol domain offline penting.
Periksa Dcpromoui.log dan dcpromo.log untuk kesalahan yang ditunjukkan dalam output, lalu bekerja mundur dari mereka untuk melihat indikasi mengapa kegagalan terjadi.
Selalu bandingkan dengan log sampel yang berfungsi
Periksa log ADPrep untuk kesalahan hanya jika hasilnya menunjukkan masalah memperluas skema atau menyiapkan forest atau domain.
Periksa log peristiwa DirectoryServices-Deployment untuk kesalahan hanya jika Dcpromoui.log tidak memiliki detail atau berakhir secara acak karena pengecualian yang tidak tertangani dalam proses konfigurasi.
Periksa log peristiwa Layanan Direktori, Sistem, dan Aplikasi untuk indikator lain dari masalah konfigurasi. Sering kali, promosi pengendali domain hanyalah gejala dari kesalahan konfigurasi jaringan lain yang akan memengaruhi semua sistem terdistribusi.
Gunakan dcdiag.exe dan repadmin.exe untuk memvalidasi kesehatan hutan secara keseluruhan dan menunjukkan kesalahan konfigurasi halus yang dapat mencegah promosi pengendali domain lebih lanjut.
Gunakan AutoRuns.exe, Task Manager, atau MSinfo32.exe untuk memeriksa komputer untuk perangkat lunak pihak ketiga yang mungkin mengganggu.
- Hapus perangkat lunak pihak ketiga (jangan hanya menonaktifkan perangkat lunak; itu tidak mencegah pemuatan driver).
Instal NetMon 3.4 di komputer yang gagal mempromosikan serta pengontrol domain mitra replikasi dan analisis proses promosi dengan tangkapan jaringan dua sisi.
Bandingkan ini dengan lingkungan lab kerja Anda untuk memahami seperti apa promosi yang sehat dan di mana ia gagal.
Pada titik ini, kesalahan kemungkinan dengan objek forest, perubahan keamanan non-default, atau jaringan, dan pengendali domain baru ini adalah korban kesalahan konfigurasi di DNS, firewall, perangkat lunak perlindungan intrusi host, atau faktor luar lainnya.
Pemecahan Masalah Peristiwa dan Pesan Kesalahan
Promosi dan demosi pengendali domain selalu mengembalikan kode di akhir operasi dan tidak seperti kebanyakan program, tidak mengembalikan nol untuk keberhasilan. Untuk melihat kode di akhir konfigurasi pengendali domain, Anda memiliki beberapa opsi:
Saat menggunakan Server Manager, periksa hasil promosi dalam sepuluh detik sebelum reboot otomatis.
Saat menggunakan ADDSDeployment Windows PowerShell, periksa hasil promosi dalam sepuluh detik sebelum reboot otomatis. Atau, pilih untuk tidak memulai ulang secara otomatis setelah selesai. Anda harus menambahkan alur Format-List untuk membuat output lebih mudah dibaca. Contohnya:
Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-listKesalahan dalam validasi dan verifikasi prasyarat tidak berlanjut ke reboot, sehingga terlihat dalam semua kasus. Contohnya:
Dalam skenario apa pun, periksa dcpromo.log dan dcpromoui.log.
Catatan
Beberapa kesalahan yang tercantum di bawah ini tidak lagi dimungkinkan karena sistem operasi dan perubahan konfigurasi pengendali domain dalam sistem operasi nanti. AddSDeployment baru Windows PowerShell kode juga mencegah kesalahan tertentu, tetapi dcpromo.exe /unattend tidak; ini adalah alasan menarik lainnya untuk mengalihkan semua otomatisasi Anda saat ini dari DCPromo yang tidak digunakan lagi ke ADDSDeployment Windows PowerShell.
Kode keberhasilan promosi dan demosi
| Kode Kesalahan | Penjelasan | Catatan |
|---|---|---|
| 1 | Keluar, berhasil | Anda masih harus me-reboot, ini hanya mencatat bahwa bendera hidupkan ulang otomatis telah dihapus |
| 2 | Keluar, berhasil, perlu di-boot ulang | |
| 3 | Keluar, berhasil, dengan kegagalan non-kritis | Biasanya terlihat saat mengembalikan peringatan Delegasi DNS. Jika tidak mengonfigurasi delegasi DNS, gunakan: -creatednsdelegation:$false |
| 4 | Keluar, berhasil, dengan kegagalan non-kritis, perlu di-boot ulang | Biasanya terlihat saat mengembalikan peringatan Delegasi DNS. Jika tidak mengonfigurasi delegasi DNS, gunakan: -creatednsdelegation:$false |
Kode kegagalan promosi dan demosi
Promosi dan demosi mengembalikan kode pesan kegagalan berikut. Kemungkinan juga ada pesan kesalahan yang diperpanjang; selalu baca seluruh kesalahan dengan hati-hati, bukan hanya bagian numerik.
| Kode Kesalahan | Penjelasan | Resolusi yang disarankan |
|---|---|---|
| 11 | Promosi pengendali domain sudah berjalan | Jangan menjalankan lebih dari satu instans promosi pengendali domain pada saat yang sama untuk komputer target yang sama |
| 12 | Pengguna harus menjadi administrator | Masuk sebagai anggota grup Administrator bawaan dan pastikan Anda meningkatkan dengan UAC |
| 13 | Otoritas Sertifikasi diinstal | Anda tidak dapat menurunkan pengendali domain ini, karena ini juga merupakan Otoritas Sertifikasi. Jangan hapus CA sebelum Anda dengan hati-hati menginventarasikan penggunaannya - jika mengeluarkan sertifikat, menghapus peran akan menyebabkan pemadaman. Menjalankan CA pada pengendali domain tidak disarankan |
| 14 | Berjalan dalam mode boot aman | Boot server ke mode normal |
| 15 | Perubahan peran sedang berlangsung atau perlu di-boot ulang | Anda harus memulai ulang server (karena perubahan konfigurasi sebelumnya) sebelum promosi |
| 16 | Berjalan pada platform yang salah | Tidak mungkin mendapatkan kesalahan ini |
| 17 | Tidak ada drive NTFS 5 | Kesalahan ini tidak dimungkinkan di Windows Server 2012, yang memerlukan setidaknya %systemdrive% diformat dengan NTFS |
| 18 | Tidak cukup ruang di windir | Kosongkan ruang pada volume %systemdrive% menggunakan cleanmgr.exe |
| 19 | Perubahan nama tertunda, perlu di-boot ulang | Reboot server |
| 20 | Sintaks nama komputer tidak valid | Ganti nama komputer dengan nama yang valid |
| 21 | Pengendali domain ini memegang peran FSMO, adalah GC, dan/atau adalah server DNS | Tambahkan -demoteoperationmasterrole saat menggunakan -forceremoval. |
| 22 | TCP/IP perlu diinstal atau tidak berfungsi | Pastikan komputer memiliki TCP/IP yang dikonfigurasi, terikat, dan berfungsi dengan benar |
| 23 | Klien DNS perlu dikonfigurasi terlebih dahulu | Mengatur server DNS utama saat menambahkan pengendali domain baru ke domain |
| 24 | Kredensial yang disediakan tidak valid atau tidak memiliki elemen yang diperlukan | Pastikan nama pengguna dan kata sandi Anda sudah benar |
| 25 | Pengendali domain untuk domain yang ditentukan tidak dapat ditemukan | Memvalidasi pengaturan klien DNS, aturan firewall |
| 26 | Daftar domain tidak dapat dibaca dari forest | Memvalidasi pengaturan klien DNS, fungsionalitas LDAP, aturan firewall |
| 27 | Nama domain hilang | Tentukan domain saat mempromosikan atau menurunkan |
| 28 | Nama domain buruk | Pilih nama domain DNS yang berbeda dan valid saat mempromosikan |
| 29 | Domain induk tidak ada | Verifikasi domain induk yang ditentukan saat membuat domain turunan atau domain pohon baru |
| 30 | Domain tidak ada di forest | Verifikasi nama domain yang disediakan |
| 31 | Domain Anak sudah ada | Tentukan nama domain yang berbeda |
| 32 | Nama domain NetBIOS buruk | Tentukan nama domain NetBIOS yang valid |
| 33 | Jalur ke file IFM tidak valid | Memvalidasi jalur Anda ke folder Instal Dari Media |
| 34 | Database IFM buruk | Gunakan Instal Dari Media yang benar untuk sistem operasi dan peran ini (versi sistem operasi yang sama, jenis pengendali domain yang sama - RODC versus RWDC) |
| 35 | Syskey hilang | Instal dari Media dienkripsi dan Anda harus menyediakan SYSKEY yang valid untuk menggunakannya |
| 37 | Jalur untuk Database NTDS atau lognya tidak valid | Mengubah jalur Database dan Log ke volume NTFS tetap, bukan drive yang dipetakan atau jalur UNC |
| 38 | Volume tidak memiliki cukup ruang untuk database atau log NTDS | Kosongkan ruang menggunakan cleanmgr.exe, tambahkan lebih banyak ruang disk, kosongkan ruang secara manual dengan memindahkan data yang tidak perlu di tempat lain |
| 39 | Jalur untuk SYSVOL tidak valid | Ubah jalur folder SYSVOL ke volume NTFS tetap, bukan drive yang dipetakan atau jalur UNC |
| 40 | Nama situs tidak valid | Berikan nama situs yang ada |
| 41 | Perlu menentukan kata sandi untuk mode aman | Berikan kata sandi untuk akun DSRM, tidak boleh kosong tidak peduli bagaimana kebijakan kata sandi dikonfigurasi |
| 42 | kata sandi mode Brankas tidak memenuhi kriteria (hanya promosi) | Berikan kata sandi untuk akun DSRM yang memenuhi aturan yang dikonfigurasi kebijakan kata sandi |
| 43 | Kata sandi admin tidak memenuhi kriteria (hanya demosi) | Berikan kata sandi untuk akun administrator lokal yang memenuhi aturan yang dikonfigurasi kebijakan kata sandi |
| 44 | Nama yang ditentukan untuk forest tidak valid | Tentukan nama domain DNS akar forest yang valid |
| 45 | Forest dengan nama yang ditentukan sudah ada | Pilih nama domain DNS akar forest yang berbeda |
| 46 | Nama yang ditentukan untuk pohon tidak valid | Tentukan nama domain DNS pohon yang valid |
| 47 | Pohon dengan nama yang ditentukan sudah ada | Pilih nama domain DNS pohon yang berbeda |
| 48 | Nama pohon tidak sesuai dengan struktur forest | Pilih nama domain DNS pohon yang berbeda |
| 49 | Domain yang ditentukan tidak ada | Memverifikasi nama domain yang Anda ketik |
| 50 | Selama demosi, pengendali domain terakhir terdeteksi meskipun tidak, atau pengontrol domain terakhir ditentukan, tetapi tidak | Jangan tentukan Pengendali Domain Terakhir di Domain (-lastdomaincontrollerindomain) kecuali itu benar. Gunakan -ignorelastdcindomainmismatch untuk mengambil alih jika ini benar-benar pengendali domain terakhir dan ada metadata pengendali domain phantom |
| 51 | Partisi aplikasi ada di pengendali domain ini | Tentukan untuk Menghapus Partisi Aplikasi (-removeapplicationpartitions) |
| 52 | Argumen baris perintah yang diperlukan hilang (yaitu, file jawaban harus ditentukan pada baris perintah) | Hanya terlihat dengan dcpromo /unattend, yang tidak digunakan lagi. Lihat dokumentasi yang lebih lama |
| 53 | Promosi/demosi gagal, mesin harus di-boot ulang untuk dibersihkan | Memeriksa kesalahan dan log yang diperluas |
| 54 | Promosi/demosi gagal | Memeriksa kesalahan dan log yang diperluas |
| 55 | Promosi/demosi dibatalkan oleh pengguna | Memeriksa kesalahan dan log yang diperluas |
| 56 | Promosi/demosi dibatalkan oleh pengguna, mesin harus di-boot ulang untuk membersihkan | Memeriksa kesalahan dan log yang diperluas |
| 58 | Nama situs harus ditentukan selama promosi RODC | Anda harus menentukan situs untuk RODC, situs tersebut tidak akan secara otomatis mendeteksinya seperti RWDC |
| 59 | Selama demosi, pengendali domain ini adalah server DNS terakhir untuk salah satu zonanya | Tentukan bahwa ini adalah Server DNS Terakhir di Domain atau gunakan -ignorelastdnsserverfordomain |
| 60 | Pengendali domain yang menjalankan Windows Server 2008 atau yang lebih baru harus ada di domain untuk mempromosikan RODC | Promosikan setidaknya satu Windows Server 2008 atau yang lebih baru pengontrol domain bisa-tulis model |
| 61 | Anda tidak dapat menginstal Active Directory Domain Services dengan DNS di domain yang sudah ada yang belum menghosting DNS | Tidak dimungkinkan untuk mendapatkan kesalahan ini |
| 62 | File jawaban tidak memiliki bagian [DCInstall] | Hanya terlihat dengan dcpromo /unattend, yang tidak digunakan lagi. Lihat dokumentasi yang lebih lama. |
| 63 | Tingkat fungsi forest di bawah windows server 2003 | Naikkan tingkat fungsional forest ke setidaknya Windows Server 2003 Native. Windows 2000 dan Windows NT 4.0 tidak lagi didukung sistem operasi |
| 64 | Promo gagal karena deteksi biner komponen gagal | Menginstal peran AD DS |
| 65 | Promo gagal karena penginstalan biner komponen gagal | Menginstal peran AD DS |
| 66 | Promo gagal karena deteksi sistem operasi gagal | Memeriksa kesalahan dan log yang diperluas; server gagal mengembalikan versi sistem operasinya. Kemungkinan komputer perlu diinstal ulang, karena kesehatan keseluruhannya sangat dicurigai |
| 68 | Mitra replikasi tidak valid | Gunakan repadmin.exe atau Windows PowerShell Get-ADReplication\* untuk memvalidasi kesehatan pengendali domain mitra |
| 69 | Port yang Diperlukan sudah digunakan oleh beberapa aplikasi lain | Gunakan netstat.exe -anob untuk menemukan proses yang salah ditetapkan ke port AD DS yang dipesan |
| 70 | Pengendali domain akar hutan harus GC | Hanya terlihat dengan dcpromo /unattend, yang tidak digunakan lagi. Lihat dokumentasi yang lebih lama |
| 71 | Server DNS sudah diinstal | Jangan tentukan untuk menginstal DNS (-installDNS) jika layanan DNS sudah diinstal |
| 72 | Komputer menjalankan Layanan Desktop Jauh dalam mode non-admin | Anda tidak dapat mempromosikan pengendali domain ini, karena ini juga merupakan server RDS yang dikonfigurasi untuk lebih dari dua pengguna admin. Jangan hapus RDS sebelum Anda menginventarasikan penggunaannya dengan hati-hati - jika digunakan oleh aplikasi atau pengguna akhir, penghapusan akan menyebabkan pemadaman |
| 73 | Tingkat fungsional forest yang ditentukan tidak valid. | Tentukan tingkat fungsi hutan yang valid |
| 74 | Tingkat fungsional domain yang ditentukan tidak valid. | Tentukan tingkat fungsi domain yang valid |
| 75 | Tidak dapat menentukan kebijakan replikasi kata sandi default. | Validasi bahwa kebijakan replikasi kata sandi RODC ada dan dapat diakses |
| 76 | Grup keamanan yang direplikasi/tidak direplikasi yang ditentukan tidak valid | Validasi bahwa Anda telah mengetik domain dan akun pengguna yang valid saat menentukan kebijakan replikasi kata sandi |
| 77 | Argumen yang ditentukan tidak valid | Memeriksa kesalahan dan log yang diperluas |
| 78 | Gagal memeriksa Active Directory Forest | Memeriksa kesalahan dan log yang diperluas |
| 79 | RODC tidak dapat dipromosikan karena rodcprep belum dilakukan | Gunakan Windows Server 2012 untuk menyiapkan forest atau menggunakan adprep.exe /rodcprep |
| 80 | Domainprep belum dilakukan | Gunakan Windows Server 2012 untuk menyiapkan domain atau menggunakan adprep.exe /domainprep |
| 81 | Forestprep belum dilakukan | Gunakan Windows Server 2012 untuk menyiapkan forest atau menggunakan adprep.exe /forestprep |
| 82 | Ketidakcocokan skema hutan | Gunakan Windows Server 2012 untuk menyiapkan forest atau menggunakan adprep.exe /forestprep |
| 83 | SKU tidak didukung | Tidak mungkin mendapatkan kesalahan ini |
| 84 | Tidak dapat mendeteksi akun pengendali domain | Validasi bahwa pengendali domain yang ada memiliki set atribut kontrol akun pengguna yang benar. |
| 85 | Tidak dapat memilih akun pengendali domain untuk tahap 2 | Dikembalikan jika Anda menentukan "Gunakan Akun yang Ada" tetapi tidak ada akun yang ditemukan atau ada kesalahan selama pencarian akun. Pastikan Anda memberikan akun bertahap RODC yang benar |
| 86 | Perlu menjalankan promosi tahap 2 | Dikembalikan jika Anda mempromosikan pengendali domain tambahan tetapi ada akun yang sudah ada dan "Izinkan Penginstalan Ulang" tidak ditentukan |
| 87 | Ada akun pengendali domain dari jenis yang berkonflik | Ganti nama komputer sebelum mempromosikan, jika tidak mencoba melampirkan ke pengendali domain yang tidak ditempati. Anda harus melampirkan ke akun pengendali domain yang tidak ditempati menggunakan -useexistingaccount dan argumen baca-saja atau bisa-tulis yang benar, tergantung pada jenis akun |
| 88 | Admin server yang ditentukan tidak valid | Anda menentukan akun yang tidak valid untuk delegasi admin RODC. Verifikasi bahwa akun yang ditentukan adalah pengguna atau grup yang valid |
| 89 | Master RID untuk domain yang ditentukan sedang offline. | Gunakan netdom.exe fsmo kueri untuk mendeteksi master RID. Jadikan online dan membuatnya dapat diakses oleh pengendali domain yang Anda promosikan |
| 90 | Master penamaan domain sedang offline. | Gunakan netdom.exe fsmo kueri untuk mendeteksi master penamaan domain. Jadikan online dan membuatnya dapat diakses oleh pengendali domain yang Anda promosikan |
| 91 | Gagal mendeteksi apakah prosesnya wow64 | Tidak mungkin untuk mendapatkan kesalahan ini lagi, sistem operasi adalah 64-bit |
| 92 | Proses Wow64 tidak didukung | Tidak mungkin untuk mendapatkan kesalahan ini lagi, sistem operasi adalah 64-bit |
| 93 | Layanan pengontrol domain tidak berjalan untuk demosi yang tidak paksa | Memulai layanan AD DS |
| 94 | Kata sandi admin lokal tidak memenuhi persyaratan: kosong atau tidak diperlukan | Berikan kata sandi yang tidak kosong dan pastikan bahwa kebijakan kata sandi lokal memerlukan kata sandi |
| 95 | Tidak dapat menurunkan pengontrol domain terakhir Windows Server 2008 atau yang lebih baru di domain tempat RODC langsung ada | Anda harus terlebih dahulu mendemosikan semua RODC sebelum dapat menurunkan semua pengontrol domain bisa-tulis Windows Server 2008 atau yang lebih baru |
| 96 | Tidak dapat menghapus instalan biner DS | Hanya terlihat dengan dcpromo /unattend, yang tidak digunakan lagi. Lihat dokumentasi yang lebih lama |
| 97 | Versi tingkat fungsi forest lebih tinggi dari sistem operasi domain anak | Sediakan fungsi domain anak yang sama atau lebih tinggi dari tingkat fungsi forest |
| 98 | Penginstalan/penghapusan instalan biner komponen sedang berlangsung. | Hanya terlihat dengan dcpromo /unattend, yang tidak digunakan lagi. Lihat dokumentasi yang lebih lama |
| 99 | Tingkat fungsi hutan terlalu rendah (kesalahan hanya Windows Server 2012) | Naikkan tingkat fungsional forest ke setidaknya Windows Server 2003 asli. Windows 2000 dan Windows NT 4.0 tidak lagi didukung sistem operasi |
| 100 | Tingkat fungsi domain terlalu rendah (kesalahan hanya Windows Server 2012) | Naikkan tingkat fungsional domain ke setidaknya Windows Server 2003 asli. Windows 2000 dan Windows NT 4.0 tidak lagi didukung sistem operasi |
Masalah umum dan skenario dukungan umum
Berikut ini adalah masalah umum yang terlihat selama proses pengembangan Windows Server 2012. Semua masalah ini adalah "berdasarkan desain" dan memiliki solusi yang valid atau teknik yang lebih tepat untuk menghindarinya di tempat pertama. Banyak dari perilaku ini identik dalam Windows Server 2008 R2 dan sistem operasi yang lebih lama, tetapi penulisan ulang penyebaran AD DS membawa sensitivitas yang tinggi terhadap masalah.
| Masalah | Menurunkan pengendali domain membuat DNS berjalan tanpa zona |
|---|---|
| Gejala | Server masih merespons permintaan DNS tetapi tidak memiliki informasi zona |
| Resolusi dan Catatan | Saat menghapus peran AD DS, hapus juga peran Server DNS atau atur layanan Server DNS ke dinonaktifkan. Ingatlah untuk mengarahkan klien DNS ke server lain daripada itu sendiri. Jika menggunakan Windows PowerShell, jalankan hal berikut setelah Anda menurunkan server: Kode - uninstall-windowsfeature dns atau Kode - dns set-service -starttype dinonaktifkan |
| Masalah | Mempromosikan Windows Server 2012 ke domain label tunggal yang ada tidak mengonfigurasi updatetopleveldomain=1 atau mengizinkanlelabeldnsdomain=1 |
|---|---|
| Gejala | Pendaftaran rekaman dinamis DNS tidak terjadi |
| Resolusi dan Catatan | Atur nilai-nilai ini menggunakan kebijakan grup Netlogon dan DNS. Microsoft mulai memblokir pembuatan domain label tunggal di Windows Server 2008; Anda dapat menggunakan ADMT atau Alat Ganti Nama Domain untuk mengubah ke struktur domain DNS yang disetujui. |
| Masalah | Demosi pengendali domain terakhir di domain gagal jika ada akun RODC yang telah dibuat sebelumnya dan tidak ditempati |
|---|---|
| Gejala | Demosi gagal dengan pesan: Dcpromo.General.54 Active Directory Domain Services tidak dapat menemukan Pengendali Domain Direktori Aktif lain untuk mentransfer data yang tersisa di partisi direktori CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com. "Format nama domain yang ditentukan tidak valid." |
| Resolusi dan Catatan | Hapus akun RODC yang tersisa yang telah dibuat sebelumnya sebelum mendemosikan domain, menggunakan Dsa.msc atau pembersihan metadataNtdsutil.exe. |
| Masalah | Persiapan forest dan domain otomatis tidak menjalankan GPPREP |
|---|---|
| Gejala | Fungsionalitas perencanaan lintas domain untuk Kebijakan Grup, Mode Perencanaan Tataan Kebijakan Hasil (RSOP), memerlukan sistem file yang diperbarui dan izin Direktori Aktif untuk GP yang ada. Tanpa Gpprep, Anda tidak dapat menggunakan Perencanaan RSOP di seluruh domain. |
| Resolusi dan Catatan | Jalankan adprep.exe /gpprep secara manual untuk semua domain yang sebelumnya tidak disiapkan untuk Windows Server 2003, Windows Server 2008, atau Windows Server 2008 R2. Administrator harus menjalankan GPPrep hanya sekali dalam riwayat domain, bukan dengan setiap peningkatan. Ini tidak dijalankan oleh adprep otomatis karena jika Anda telah menetapkan izin kustom yang memadai, itu akan menyebabkan semua konten SYSVOL direplikasi ulang pada semua pengontrol domain. |
| Masalah | Penginstalan dari media gagal memverifikasi ketika menunjuk ke jalur UNC |
|---|---|
| Gejala | Kesalahan yang dikembalikan: Kode - Tidak dapat memvalidasi jalur media. Pengecualian memanggil "GetDatabaseInfo" dengan argumen "2". Folder tidak valid. |
| Resolusi dan Catatan | Anda harus menyimpan file IFM pada disk lokal, bukan jalur UNC jarak jauh. Blok yang disengaja ini mencegah promosi server parsial karena gangguan jaringan. |
| Masalah | Peringatan delegasi DNS ditampilkan dua kali selama promosi pengendali domain |
|---|---|
| Gejala | Peringatan dikembalikan dua kali saat mempromosikan menggunakan ADDSDeployment Windows PowerShell: Kode - "Delegasi untuk server DNS ini tidak dapat dibuat karena zona induk otoritatif tidak dapat ditemukan atau tidak berjalan Windows server DNS. Jika Anda mengintegrasikan dengan infrastruktur DNS yang ada, Anda harus membuat delegasi secara manual ke server DNS ini di zona induk untuk memastikan resolusi nama yang andal dari luar domain. Jika tidak, tidak ada tindakan yang diperlukan." |
| Resolusi dan Catatan | Mengabaikan. ADDSDeployment Windows PowerShell menunjukkan peringatan terlebih dahulu selama pemeriksaan prasyarat, lalu sekali lagi selama konfigurasi pengendali domain. Jika Anda tidak ingin mengonfigurasi delegasi DNS, gunakan argumen: Kode - -creatednsdelegation:$false Jangan lewati pemeriksaan prasyarat untuk menekan pesan ini |
| Masalah | Menentukan kredensial UPN atau non-domain selama konfigurasi mengembalikan kesalahan yang menyesatkan |
|---|---|
| Gejala | Manajer Server mengembalikan kesalahan: Kode - Pengecualian memanggil "DNSOption" dengan Argumen "6" ADDSDeployment Windows PowerShell mengembalikan kesalahan: Kode - Verifikasi izin pengguna gagal. Anda harus menyediakan nama domain tempat akun pengguna ini berada. |
| Resolusi dan Catatan | Pastikan Anda memberikan kredensial domain yang valid dalam bentuk domain\user. |
| Masalah | Menghapus peran DirectoryServices-DomainController menggunakan Dism.exe mengarah ke server yang tidak dapat di-boot |
|---|---|
| Gejala | Jika menggunakan Dism.exe untuk menghapus peran AD DS sebelum menurunkan pengontrol domain dengan baik, server tidak lagi melakukan boot secara normal dan menunjukkan kesalahan: Kode - Status: 0x000000000 |
| Resolusi dan Catatan | Boot ke Mode Perbaikan Layanan Direktori menggunakan Shift+F8. Tambahkan kembali peran AD DS, lalu turunkan pengontrol domain secara paksa. Atau, pulihkan Status Sistem dari cadangan. Jangan gunakan Dism.exe untuk penghapusan peran AD DS; utilitas tidak memiliki pengetahuan tentang pengendali domain. |
| Masalah | Menginstal forest baru gagal saat mengatur forestmode ke Win2012 |
|---|---|
| Gejala | Promosi menggunakan ADDSDeployment Windows PowerShell mengembalikan kesalahan: Kode - Test.VerifyDcPromoCore.DCPromo.General.74 Verifikasi prasyarat untuk promosi Pengendali Domain gagal. Tingkat fungsional domain yang ditentukan tidak valid |
| Resolusi dan Catatan | Jangan tentukan mode fungsi hutan Win2012 tanpa juga menentukan mode fungsi domain Win2012. Berikut adalah contoh yang akan berfungsi tanpa kesalahan: Kode - -forestmode Win2012 -domainmode Win2012] |
| Masalah | Mengklik Verifikasi di area pilihan Instal dari Media tampaknya tidak melakukan apa pun |
|---|---|
| Gejala | Saat Anda menentukan jalur ke folder IFM, mengklik tombol Verifikasi tidak pernah mengembalikan pesan atau tampaknya melakukan apa pun. |
| Resolusi dan Catatan | Tombol Verifikasi hanya mengembalikan kesalahan jika ada masalah. Jika tidak, tombol Berikutnya dapat dipilih jika Anda telah menyediakan jalur IFM. Anda harus mengklik Verifikasi untuk melanjutkan jika Anda telah memilih IFM. |
| Masalah | Demosi dengan Manajer Server tidak memberikan umpan balik hingga selesai. |
|---|---|
| Gejala | Saat menggunakan Manajer Server untuk menghapus peran AD DS dan menurunkan pengontrol domain, tidak ada umpan balik berkelanjutan yang diberikan sampai demosi selesai atau gagal. |
| Resolusi dan Catatan | Ini adalah batasan Manajer Server. Untuk umpan balik, gunakan ADDSDeployment Windows PowerShell cmdlet: Kode - Uninstall-addsdomaincontroller |
| Masalah | Instal dari Media Verify tidak mendeteksi bahwa media RODC yang disediakan untuk pengontrol domain bisa-tulis, atau sebaliknya. |
|---|---|
| Gejala | Saat mempromosikan pengendali domain baru menggunakan IFM dan menyediakan media yang salah ke IFM - seperti media RODC untuk pengendali domain bisa-tulis, atau media RWDC untuk RODC - tombol Verifikasi tidak mengembalikan kesalahan. Kemudian, promosi gagal dengan kesalahan: Kode - Terjadi kesalahan saat mencoba mengonfigurasi komputer ini sebagai pengendali domain. |
| Resolusi dan Catatan | Verifikasi hanya memvalidasi integritas IFM secara keseluruhan. Jangan berikan jenis IFM yang salah ke server. Mulai ulang server sebelum Anda mencoba promosi lagi dengan media yang benar. |
| Masalah | Mempromosikan RODC ke akun komputer yang telah dibuat sebelumnya gagal |
|---|---|
| Gejala | Saat menggunakan ADDSDeployment Windows PowerShell untuk mempromosikan RODC baru dengan akun komputer bertahap, terima kesalahan: Kode - Set parameter tidak dapat diselesaikan menggunakan parameter bernama yang ditentukan. |
| Resolusi dan Catatan | Jangan berikan parameter yang sudah ditentukan pada akun RODC yang telah dibuat sebelumnya. Ini termasuk: Kode - -readonlyreplica |
| Masalah | Membatalkan pilihan/memilih "Hidupkan ulang setiap server tujuan secara otomatis jika diperlukan" tidak melakukan apa pun |
|---|---|
| Gejala | Jika memilih (atau tidak memilih) opsi Manajer Server Hidupkan ulang setiap server tujuan secara otomatis jika diperlukan saat melepas pengendali domain melalui penghapusan peran, server selalu dimulai ulang, terlepas dari pilihan. |
| Resolusi dan Catatan | Ini disengaja. Proses demosi menghidupkan ulang server terlepas dari pengaturan ini. |
| Masalah | Dcpromo.log menunjukkan "[kesalahan] pengaturan keamanan pada file server gagal dengan 2" |
|---|---|
| Gejala | Demosi pengendali domain selesai tanpa masalah, tetapi pemeriksaan log dcpromo menunjukkan kesalahan: Kode - [kesalahan] pengaturan keamanan pada file server gagal dengan 2 |
| Resolusi dan Catatan | Abaikan, kesalahan diharapkan dan kosmetik. |
| Masalah | Pemeriksaan adprep prasyarat gagal dengan kesalahan "Tidak dapat melakukan pemeriksaan konflik skema Exchange" |
|---|---|
| Gejala | Saat mencoba mempromosikan pengendali domain Windows Server 2012 ke Windows Server 2003 yang ada, Windows Server 2008, atau forest Windows Server 2008 R2, pemeriksaan prasyarat gagal dengan kesalahan: Kode - Verifikasi prasyarat untuk persiapan AD gagal. Tidak dapat melakukan pemeriksaan konflik skema Exchange untuk <nama> domain (Pengecualian: server RPC tidak tersedia) Adprep.log menunjukkan kesalahan: Kode - Adprep tidak dapat mengambil data dari pengontrol> domain server< melalui Windows Management Instrumentation (WMI). |
| Resolusi dan Catatan | Pengendali domain baru tidak dapat mengakses WMI melalui protokol DCOM/RPC terhadap pengendali domain yang ada. Hingga saat ini, ada tiga penyebab untuk ini: - Aturan firewall memblokir akses ke pengendali domain yang ada - Akun LAYANAN JARINGAN hilang dari hak istimewa "Masuk sebagai layanan" (SeServiceLogonRight) pada pengontrol domain yang ada - NTLM dinonaktifkan pada pengendali domain, menggunakan kebijakan keamanan yang dijelaskan dalam Memperkenalkan Pembatasan Autentikasi NTLM |
| Masalah | Membuat forest AD DS baru selalu memperlihatkan peringatan DNS |
|---|---|
| Gejala | Saat membuat forest AD DS baru dan membuat zona DNS pada pengendali domain baru untuk dirinya sendiri, Anda selalu menerima pesan peringatan: Kode - Kesalahan terdeteksi dalam konfigurasi DNS. |
| Resolusi dan Catatan | Mengabaikan. Peringatan ini disengaja pada pengendali domain pertama di domain akar forest baru, jika Anda ingin menunjuk ke server dan zona DNS yang ada. |
| Masalah | Windows PowerShell -whatif argumen mengembalikan informasi server DNS yang salah |
|---|---|
| Gejala | Jika Anda menggunakan argumen -whatif saat mengonfigurasi pengendali domain dengan implisit atau eksplisit -installdns:$true, output yang dihasilkan menunjukkan: Kode - "Server DNS: Tidak" |
| Resolusi dan Catatan | Mengabaikan. DNS diinstal dan dikonfigurasi dengan benar. |
| Masalah | Setelah promosi, masuk gagal dengan "Penyimpanan tidak cukup tersedia untuk memproses perintah ini" |
|---|---|
| Gejala | Setelah Anda mempromosikan pengendali domain baru lalu keluar dan mencoba masuk secara interaktif, Anda menerima kesalahan: Kode - Penyimpanan tidak cukup tersedia untuk memproses perintah ini |
| Resolusi dan Catatan | Pengendali domain tidak di-boot ulang setelah promosi, baik karena kesalahan atau karena Anda menentukan ADDSDeployment Windows PowerShell argumen -norebootoncompletion. Mulai ulang pengendali domain. |
| Masalah | Tombol Berikutnya tidak tersedia di halaman Opsi Pengendali Domain |
|---|---|
| Gejala | Meskipun Anda telah mengatur kata sandi, tombol Berikutnya pada halaman Opsi Pengendali Domain di Manajer Server tidak tersedia. Tidak ada situs yang tercantum di menu Nama situs. |
| Resolusi dan Catatan | Anda memiliki beberapa situs AD DS dan setidaknya satu adalah subnet yang hilang; pengendali domain di masa mendatang ini milik salah satu subnet tersebut. Anda harus memilih subnet secara manual dari menu dropdown Nama situs. Anda juga harus meninjau semua situs AD menggunakan DSSITE. MSC atau gunakan perintah Windows PowerShell berikut untuk menemukan semua subnet yang hilang situs: Kode - get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | nama tabel format |
| Masalah | Promosi atau demosi gagal dengan pesan "layanan tidak dapat dimulai" |
|---|---|
| Gejala | Jika Anda mencoba promosi, penurunan pangkat, atau kloning pengendali domain, Anda menerima kesalahan: Kode - Layanan tidak dapat dimulai, baik karena dinonaktifkan atau tidak memiliki perangkat yang diaktifkan yang terkait dengannya" (0x80070422) Kesalahan mungkin interaktif, peristiwa, atau ditulis ke log seperti dcpromoui.log atau dcpromo.log |
| Resolusi dan Catatan | Layanan DS Role Server (DsRoleSvc) dinonaktifkan. Secara default, layanan ini diinstal selama penginstalan peran AD DS dan diatur ke Jenis mulai manual. Jangan nonaktifkan layanan ini. Atur kembali ke Manual dan izinkan operasi peran DS untuk memulai dan menghentikannya sesuai permintaan. Perilaku ini secara desain. |
| Masalah | Manajer Server masih memperingatkan bahwa Anda perlu mempromosikan DC |
|---|---|
| Gejala | Jika Anda mempromosikan pengendali domain menggunakan pengontrol domain yang tidak digunakan lagi dcpromo.exe /tanpa pengawasan atau memutakhirkan pengendali domain Windows Server 2008 R2 yang sudah ada untuk Windows Server 2012, Manajer Server masih menampilkan tugas konfigurasi pasca-penyebaran Mempromosikan server ini ke pengendali domain. |
| Resolusi dan Catatan | Klik tautan peringatan pasca-penyebaran dan pesan akan hilang untuk selamanya. Perilaku ini kosmetik dan diharapkan. |
| Masalah | Skrip penyebaran Manajer Server kehilangan penginstalan peran |
|---|---|
| Gejala | Jika Anda mempromosikan pengendali domain menggunakan Manajer Server dan menyimpan skrip penyebaran Windows PowerShell, itu tidak termasuk cmdlet dan argumen penginstalan peran (install-windowsfeature -name ad-domain-services -includemanagementtools). Tanpa peran, DC tidak dapat dikonfigurasi. |
| Resolusi dan Catatan | Tambahkan cmdlet dan argumen tersebut secara manual ke skrip apa pun. Perilaku ini diharapkan dan berdasarkan desain. |
| Masalah | Skrip penyebaran Manajer Server tidak bernama PS1 |
|---|---|
| Gejala | Jika Anda mempromosikan pengendali domain menggunakan Manajer Server dan menyimpan skrip penyebaran Windows PowerShell, file dinamai dengan nama sementara acak dan bukan sebagai file PS1. |
| Resolusi dan Catatan | Ganti nama file secara manual. Perilaku ini diharapkan dan berdasarkan desain. |
| Masalah | Dcpromo /unattend memungkinkan tingkat fungsional yang tidak didukung |
|---|---|
| Gejala | Jika Anda mempromosikan pengendali domain menggunakan dcpromo /unattend dengan file jawaban sampel berikut: Kode - [DCInstall] ReplicaOrNewDomain=Domain NewDomainDNSName=corp.contoso.com SafeModeAdminPassword=Safepassword@6 DomainNetbiosName=corp DNSOnNetwork=Ya AutoConfigDNS=Ya RebootOnSuccess=NoAndNoPromptEither RebootOnCompletion=Tidak DomainLevel=0 ForestLevel=0 Promosi gagal dengan kesalahan berikut di dcpromoui.log: Kode - dcpromoui EA4.5B8 0089 13:31:50.783 Masukkan CArgumentsSpec::ValidateArgument DomainLevel dcpromoui EA4.5B8 008A 13:31:50.783 Nilai untuk DomainLevel adalah 0 dcpromoui EA4.5B8 008B 13:31:50.783 Kode keluar adalah 77 dcpromoui EA4.5B8 008C 13:31:50.783 Argumen yang ditentukan tidak valid. dcpromoui EA4.5B8 008D 13:31:50.783 log penutupan dcpromoui EA4.5B8 0032 13:31:50.830 Kode keluar adalah 77 Tingkat 0 Windows 2000, yang tidak didukung di Windows Server 2012. |
| Resolusi dan Catatan | Jangan gunakan dcpromo /unattend yang tidak digunakan lagi dan pahami bahwa hal ini memungkinkan Anda menentukan pengaturan yang tidak valid yang nantinya gagal. Perilaku ini diharapkan dan berdasarkan desain. |
| Masalah | Promosi "macet" saat membuat objek pengaturan NTDS, tidak pernah selesai |
|---|---|
| Gejala | Jika Anda mempromosikan replika DC atau RODC, promosi mencapai "membuat objek pengaturan NTDS" dan tidak pernah berlanjut atau selesai. Log juga berhenti memperbarui. |
| Resolusi dan Catatan | Ini adalah masalah yang diketahui yang disebabkan oleh penyediaan kredensial akun Administrator lokal bawaan dengan kata sandi yang cocok dengan akun Administrator domain bawaan. Ini menyebabkan kegagalan di mesin penyiapan inti yang tidak bermasalah, tetapi sebaliknya menunggu tanpa batas waktu (quasi-loop). Ini diharapkan - meskipun tidak diinginkan - perilaku. Untuk memperbaiki server: 1. Reboot. 1. Dalam AD, hapus akun komputer anggota server tersebut (belum akan menjadi akun DC) 1. Di server itu, putuskan secara paksa dari domain 1. Di server tersebut, hapus peran AD DS. 1. Reboot 1. Tambahkan kembali peran AD DS dan lampirkan kembali promosi, memastikan bahwa Anda selalu memberikan info masuk berformat domain\admin ke promosi DC dan bukan hanya akun administrator lokal bawaan |