Risolvere i problemi di distribuzione del controller di dominio

  • Articolo

Questo articolo illustra la metodologia dettagliata per la risoluzione dei problemi di configurazione e distribuzione del controller di dominio.

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Provare l'agente virtuale : consente di identificare e risolvere rapidamente i problemi comuni di replica di Active Directory.

Introduzione alla risoluzione dei problemi

Diagramma che mostra il flusso di lavoro per la risoluzione dei problemi di distribuzione del controller di dominio.

Log predefiniti per la risoluzione dei problemi

I log predefiniti sono lo strumento più importante per la risoluzione dei problemi relativi alla promozione e all'abbassamento di livello del controller di dominio. Tutti questi log sono abilitati e configurati per la massima dettaglio per impostazione predefinita.

Fase Log
operazioni Windows PowerShell Server Manager o ADDSDeployment - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Installazione/promozione del controller di dominio - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- \ Visualizzatore eventi Sistema log di\Windows

- \applicazione Visualizzatore eventiWindows Logs\

- \Servizio directory registri \ applicazioni e serviziVisualizzatore eventi

- \servizio replica file log applicazioni e servizi\di Visualizzatore eventi

- \Replica DFS Visualizzatore eventi Applicazioni e log dei\ servizi
Aggiornamento della foresta o del dominio - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
motore di distribuzione Windows PowerShell SERVER MANAGER ADDSDeployment - \ Visualizzatore eventi Registri applicazioni e servizi\Microsoft\Windows\DirectoryServices-Deployment\Operational
Manutenzione di Windows - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Strumenti e comandi per la risoluzione dei problemi di configurazione del controller di dominio

Per risolvere i problemi non spiegati dai log, usare gli strumenti seguenti come punto di partenza:

  • Dcdiag.exe
  • Repadmin.exe
  • AutoRuns.exe, Gestione attività e MSInfo32.exe
  • Network Monitor 3.4 (o uno strumento di analisi e acquisizione di rete di terze parti)

Metodologia generale per la risoluzione dei problemi di configurazione del controller di dominio

  1. L'errore è stato causato da un problema di sintassi?

    1. È stato digitato o dimenticato di fornire un argomento a ADDSDeployment Windows PowerShell? Ad esempio, se si usa ADDSDeployment Windows PowerShell, si è dimenticato di aggiungere l'argomento -domainname obbligatorio con un nome valido?
    2. Esaminare attentamente l'output della console di Windows PowerShell per vedere esattamente perché non riesce ad analizzare la riga di comando fornita.

  2. L'errore è un errore dei prerequisiti?

    1. Molti errori visualizzati come risultati di promozione irreversibili vengono ora impediti dal controllo dei prerequisiti.
    2. Esaminare attentamente il testo degli errori dei prerequisiti, che forniscono le indicazioni necessarie per risolvere la maggior parte dei problemi, in quanto sono scenari controllati.

  3. L'errore nella promozione e quindi irreversibile?

    1. Esaminare attentamente i risultati: molti errori includono spiegazioni, ad esempio password non corrette, risoluzione dei nomi di rete o controller di dominio offline critici.

    2. Esaminare il Dcpromoui.log e dcpromo.log per individuare gli errori visualizzati nell'output, quindi tornare indietro per visualizzare le indicazioni sul motivo per cui si è verificato l'errore.

      1. Confronta sempre con un log di esempio funzionante
      2. Esaminare i log di ADPrep per individuare gli errori solo se i risultati indicano un problema durante l'estensione dello schema o la preparazione della foresta o del dominio.
      3. Esaminare il registro eventi DirectoryServices-Deployment per individuare gli errori solo se il Dcpromoui.log non dispone di dettagli o termina arbitrariamente a causa di un'eccezione non gestita nel processo di configurazione.

    3. Esaminare i log eventi di Servizi directory, Sistema e Applicazione per individuare altri indicatori di un problema di configurazione. Spesso, la promozione del controller di dominio è solo un sintomo di altri errori di configurazione della rete che potrebbero interessare tutti i sistemi distribuiti.

    4. Usare dcdiag.exe e repadmin.exe per convalidare l'integrità complessiva della foresta e indicare errori di configurazione che potrebbero impedire ulteriori promozioni del controller di dominio.

    5. Usare AutoRuns.exe, Gestione attività o MSinfo32.exe per esaminare il computer alla ricerca di software di terze parti che potrebbero interferire.

      Rimuovere software di terze parti (non disabilitare il software, che non impedisce il caricamento dei driver).

    6. Installare NetMon 3.4 nel computer che non riesce a alzare di livello e il controller di dominio del partner di replica e analizzare il processo di promozione con acquisizioni di rete a doppio lato.

      1. Confrontarlo con l'ambiente del lab di lavoro per comprendere l'aspetto di una promozione integro e la posizione in cui ha esito negativo.
      2. A questo punto, è probabile che gli errori si verifichino con gli oggetti foresta, le modifiche di sicurezza non predefinite o la rete e questo nuovo controller di dominio è vittima di configurazioni errate in DNS, firewall, software di protezione dalle intrusioni host o altri fattori esterni.

Risoluzione dei problemi relativi a eventi e messaggi di errore

La promozione e l'abbassamento di livello del controller di dominio restituiscono sempre un codice alla fine dell'operazione e, a differenza della maggior parte dei programmi, non restituiscono zero per l'esito positivo. Per visualizzare il codice alla fine della configurazione di un controller di dominio, sono disponibili diverse opzioni:

  1. Quando si usa Server Manager, esaminare i risultati della promozione nei 10 secondi precedenti al riavvio automatico.

  2. Quando si usa ADDSDeployment Windows PowerShell, esaminare i risultati dell'innalzamento di livello nei 10 secondi precedenti al riavvio automatico. In alternativa, scegliere di non riavviare automaticamente al completamento. È consigliabile aggiungere la format-list pipeline per semplificare la lettura dell'output. Ad esempio:

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Gli errori nella convalida e nella verifica dei prerequisiti non continuano a essere riavviate, quindi sono visibili in tutti i casi. Ad esempio:

    Screenshot degli errori nella convalida e nella verifica dei prerequisiti.

  3. In qualsiasi scenario esaminare le dcpromo.log e dcpromoui.log.

    Nota

    Alcuni degli errori elencati di seguito non sono più possibili a causa delle modifiche alla configurazione del sistema operativo e del controller di dominio nei sistemi operativi successivi. I nuovi codici di Windows PowerShell ADDSDeployment impediscono anche determinati errori, ma dcpromo.exe /unattend non lo fanno. Questo è un altro motivo interessante per passare dall'automazione corrente da DCPromo deprecato a ADDSDeployment Windows PowerShell.

Codici di successo per la promozione e l'abbassamento di livello

Codice errore Spiegazione Nota
1 Exit, success È comunque necessario riavviare, questo solo nota che il flag di riavvio automatico è stato rimosso.
2 Uscita, esito positivo, necessità di riavvio
3 Exit, success, with a noncritical failure In genere viene visualizzato quando si restituisce l'avviso di delega DNS. Se non si configura la delega DNS, usare:

-creatednsdelegation:$false.
4 Exit, success, with a noncritical failure, need to reboot In genere viene visualizzato quando si restituisce l'avviso di delega DNS. Se non si configura la delega DNS, usare:

-creatednsdelegation:$false.

Codici di errore di innalzamento di livello e abbassamento di livello

La promozione e l'abbassamento di livello restituiscono i codici di messaggio di errore seguenti. È anche probabile che sia presente un messaggio di errore esteso; leggere sempre attentamente l'intero errore, non solo la parte numerica.

Codice errore Spiegazione Risoluzione suggerita
11 L'innalzamento di livello del controller di dominio è già in esecuzione Non eseguire più istanze di promozione del controller di dominio contemporaneamente per lo stesso computer di destinazione.
12 L'utente deve essere amministratore Accedere come membro del gruppo Administrators predefinito e assicurarsi di essere elevati con Controllo dell'account utente.
13 Autorità di certificazione installata Non è possibile abbassare di livello questo controller di dominio, perché è anche un'autorità di certificazione. Non rimuovere la CA prima di inventariarne attentamente l'utilizzo. Se emette certificati, la rimozione del ruolo causerà un'interruzione. L'esecuzione di CA nei controller di dominio è sconsigliata.
14 Esecuzione in modalità di avvio sicuro Avviare il server in modalità normale.
15 La modifica del ruolo è in corso o richiede il riavvio È necessario riavviare il server (a causa di modifiche di configurazione precedenti) prima dell'innalzamento di livello.
16 Esecuzione su una piattaforma errata Non è probabile che venga visualizzato questo errore.
17 Nessuna unità NTFS 5 esistente Questo errore non è possibile in Windows Server 2012, che richiede che almeno %systemdrive% sia formattato con NTFS.
18 Spazio insufficiente nel windir Liberare spazio nel volume %systemdrive% usando cleanmgr.exe.
19 Modifica del nome in sospeso, è necessario riavviare Riavviare il server.
20 Sintassi del nome del computer non valida Rinominare il computer con un nome valido.
21 Questo controller di dominio contiene i ruoli FSMO, è un GC e/o è un server DNS Aggiungere -demoteoperationmasterrole quando si usa -forceremoval.
22 TCP/IP deve essere installato o non funziona Verificare che TCP/IP sia configurato, associato e funzionante correttamente nel computer.
23 Il client DNS deve essere configurato per primo Impostare un server DNS primario quando si aggiunge un nuovo controller di dominio a un dominio.
24 Le credenziali specificate non sono valide o mancano elementi obbligatori Verificare che il nome utente e la password siano corretti.
25 Non è stato possibile individuare il controller di dominio per il dominio specificato Convalidare le impostazioni del client DNS, le regole del firewall.
26 Impossibile leggere l'elenco dei domini dalla foresta Convalidare le impostazioni del client DNS, la funzionalità LDAP, le regole del firewall.
27 Nome di dominio mancante Specificare un dominio durante la promozione o l'abbassamento di livello.
28 Nome di dominio non valido Scegliere un nome di dominio DNS diverso e valido durante la promozione.
29 Il dominio padre non esiste Verificare il dominio padre specificato durante la creazione di un nuovo dominio figlio o di un dominio albero.
30 Dominio non incluso nella foresta Verificare il nome di dominio specificato.
31 Dominio figlio già esistente Specificare un nome di dominio diverso.
32 Nome di dominio NetBIOS non valido Specificare un nome di dominio NetBIOS valido.
33 Percorso dei file IFM non valido Convalidare il percorso della cartella Installa dal supporto.
34 Il database IFM non è valido Usare l'installazione corretta da supporti per questo sistema operativo e ruolo (stessa versione del sistema operativo, stesso tipo di controller di dominio - RODC rispetto a RWDC).
35 SYSKEY mancante L'installazione da supporti è crittografata ed è necessario fornire un SYSKEY valido per usarlo.
37 Percorso del database NTDS o dei relativi log non valido Modificare il percorso del database e dei log in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC.
38 Il volume non ha spazio sufficiente per i log o il database NTDS Liberare spazio usando cleanmgr.exe, aggiungere più spazio su disco, cancellare manualmente lo spazio spostando i dati non necessari altrove.
39 Il percorso per SYSVOL non è valido Modificare il percorso della cartella SYSVOL in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC.
40 Nome sito non valido Specificare un nome di sito esistente.
41 È necessario specificare una password per la modalità provvisoria Specificare una password per l'account DSRM. Non può essere vuota indipendentemente dalla configurazione dei criteri password.
42 La password in modalità provvisoria non soddisfa i criteri (solo promozione) Specificare una password per l'account DSRM che soddisfi le regole configurate dei criteri password.
43 Amministrazione password non soddisfa i criteri (solo abbassamento di livello) Specificare una password per l'account amministratore locale che soddisfi le regole configurate dei criteri password.
44 Il nome specificato per la foresta non è valido Specificare un nome di dominio DNS radice della foresta valido.
45 Esiste già una foresta con il nome specificato Scegliere un nome di dominio DNS radice della foresta diverso.
46 Il nome specificato per l'albero non è valido Specificare un nome di dominio DNS ad albero valido.
47 Esiste già un albero con il nome specificato Scegliere un nome di dominio DNS ad albero diverso.
48 Il nome dell'albero non rientra nella struttura della foresta Scegliere un nome di dominio DNS ad albero diverso.
49 Il dominio specificato non esiste Verificare il nome di dominio tipizzato.
50 Durante l'abbassamento di livello, è stato rilevato l'ultimo controller di dominio anche se non lo è, o l'ultimo controller di dominio è stato specificato, ma non lo è Non specificare l'ultimo controller di dominio nel dominio (-lastdomaincontrollerindomain) a meno che non sia vero. Usare -ignorelastdcindomainmismatch per eseguire l'override se si tratta effettivamente dell'ultimo controller di dominio e sono presenti metadati del controller di dominio fantasma.
51 Le partizioni dell'app esistono in questo controller di dominio Specificare per rimuovere le partizioni dell'applicazione (-removeapplicationpartitions).
52 L'argomento obbligatorio della riga di comando è mancante(ovvero è necessario specificare un file di risposte nella riga di comando) Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
53 L'innalzamento di livello/abbassamento di livello non è riuscito, il computer deve essere riavviato per eseguire la pulizia Esaminare l'errore esteso e i log.
54 Promozione/abbassamento di livello non riuscita Esaminare l'errore esteso e i log.
55 La promozione/abbassamento di livello è stata annullata dall'utente Esaminare l'errore esteso e i log.
56 La promozione/abbassamento di livello è stata annullata dall'utente, il computer deve essere riavviato per eseguire la pulizia Esaminare l'errore esteso e i log.
58 È necessario specificare un nome di sito durante la promozione del controller di dominio di sola lettura È necessario specificare un sito per un controller di dominio di sola lettura, che non ne rileverà automaticamente uno come un RWDC.
59 Durante l'abbassamento di livello, questo controller di dominio è l'ultimo server DNS per una delle relative zone Specificare che si tratta dell'ultimo server DNS nel dominio o usare -ignorelastdnsserverfordomain.
60 Un controller di dominio che esegue Windows Server 2008 o versione successiva deve essere presente nel dominio per promuovere controller di dominio di sola lettura Alzare di livello almeno un controller di dominio scrivibile del modello Windows Server 2008 o versione successiva.
61 Non è possibile installare Active Directory Domain Services con DNS in un dominio esistente che non ospita già DNS Non è possibile ottenere questo errore.
62 Il file di risposte non ha una sezione [DCInstall] Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
63 Il livello di funzionalità della foresta è inferiore a Windows Server 2003 Aumentare il livello di funzionalità della foresta almeno a Windows Server 2003 Native. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.
64 Promo non riuscita perché il rilevamento binario dei componenti non è riuscito Installare il ruolo Active Directory Domain Services.
65 Promo non riuscita perché l'installazione binaria del componente non è riuscita Installare il ruolo Active Directory Domain Services.
66 Promo non riuscita perché il rilevamento del sistema operativo non è riuscito Esaminare l'errore esteso e i log; il server non riesce a restituire la versione del sistema operativo. È probabile che il computer dovrà essere reinstallato, in quanto la sua integrità complessiva è altamente sospetta.
68 Il partner di replica non è valido Usare repadmin.exe o il Windows PowerShell per convalidare l'integrità Get-ADReplication\* del controller di dominio partner.
69 La porta richiesta è già in uso da un'altra applicazione Usare netstat.exe -anob per individuare i processi assegnati in modo errato alle porte riservate di Active Directory Domain Services.
70 Il controller di dominio radice della foresta deve essere un gc Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
71 Il server DNS è già installato Non specificare di installare DNS (-installDNS) se il servizio DNS è già installato.
72 Il computer esegue Servizi Desktop remoto in modalità non amministratore Non è possibile alzare di livello questo controller di dominio, perché è anche un server Servizi Desktop remoto configurato per più di due utenti amministratori. Non rimuovere Servizi Desktop remoto prima di analizzarne attentamente l'utilizzo. Se viene usato da applicazioni o utenti finali, la rimozione causerà un'interruzione.
73 Il livello di funzionalità della foresta specificato non è valido. Specificare un livello di funzionalità della foresta valido.
74 Il livello di funzionalità del dominio specificato non è valido. Specificare un livello di funzionalità di dominio valido.
75 Impossibile determinare i criteri di replica delle password predefiniti. Verificare che i criteri di replica delle password del controller di dominio di sola lettura esistano ed siano accessibili.
76 I gruppi di sicurezza replicati/non replicati specificati non sono validi Verificare di aver digitato account utente e dominio validi quando si specificano criteri di replica delle password.
77 L'argomento specificato non è valido Esaminare l'errore esteso e i log.
78 Impossibile esaminare la foresta di Active Directory Esaminare l'errore esteso e i log.
79 RodC non può essere promosso perché rodcprep non è stato eseguito Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /rodcprep.
80 Domainprep non è stato eseguito Usare Windows Server 2012 per preparare il dominio o usare adprep.exe /domainprep.
81 Forestprep non è stato eseguito Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep.
82 Mancata corrispondenza dello schema della foresta Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep.
83 SKU non supportato Non è probabile che venga visualizzato questo errore.
84 Impossibile rilevare un account controller di dominio Verificare che i controller di dominio esistenti abbiano impostato l'attributo di controllo dell'account utente corretto.
85 Impossibile selezionare un account controller di dominio per la fase 2 Restituito se si specifica "Usa account esistente", ma non è stato trovato alcun account o si è verificato un errore durante la ricerca dell'account. Assicurarsi di aver fornito l'account a fasi del controller di dominio di sola lettura corretto.
86 È necessario eseguire la promozione della fase 2 Restituito se si alza di livello un controller di dominio aggiuntivo ma esiste un account esistente e non è stato specificato "Consenti reinstallazione".
87 Esiste un account controller di dominio di tipo in conflitto Rinominare il computer prima di alzare di livello, se non si tenta di connettersi a un controller di dominio non occupato. È necessario collegarsi all'account del controller di dominio non occupato usando -useexistingaccount e l'argomento di sola lettura o scrivibile corretto, a seconda del tipo di account.
88 L'amministratore del server specificato non è valido È stato specificato un account non valido per la delega dell'amministratore del controller di dominio di sola lettura. Verificare che l'account specificato sia un utente o un gruppo valido.
89 Il master RID per il dominio specificato è offline. Usare netdom.exe query fsmo per rilevare il master RID. Portarlo online e renderlo accessibile al controller di dominio che si sta promuovendo.
90 Il master di denominazione dei domini è offline. Usare netdom.exe query fsmo per rilevare il master di denominazione del dominio. Portarlo online e renderlo accessibile al controller di dominio che si sta promuovendo.
91 Impossibile rilevare se il processo è wow64 Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit.
92 Il processo Wow64 non è supportato Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit.
93 Il servizio controller di dominio non è in esecuzione per l'abbassamento di livello non forzato Avviare il servizio Active Directory Domain Services.
94 La password dell'amministratore locale non soddisfa i requisiti: vuoto o non obbligatorio Specificare una password non vuota e assicurarsi che i criteri password locali richiedano una password.
95 Non è possibile abbassare di livello l'ultimo controller di dominio di Windows Server 2008 o versione successiva nel dominio in cui sono presenti controller di dominio live È necessario abbassare di livello tutti i controller di dominio prima di abbassare di livello tutti i controller di dominio scrivibili di Windows Server 2008 o versioni successive.
96 Impossibile disinstallare i file binari DS Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
97 Versione del livello di funzionalità della foresta superiore a quella del sistema operativo del dominio figlio Specificare un dominio figlio che funzioni allo stesso livello o superiore al livello di funzionalità della foresta.
98 Installazione/disinstallazione binaria del componente in corso. Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
99 Il livello di funzionalità della foresta è troppo basso (l'errore è solo Windows Server 2012) Aumentare il livello di funzionalità della foresta almeno a Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.
100 Il livello di funzionalità del dominio è troppo basso (l'errore è Windows Server 2012 solo) Aumentare il livello di funzionalità del dominio almeno a Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.

Problemi noti e scenari di supporto comuni

Di seguito sono riportati i problemi comuni riscontrati durante il processo di sviluppo Windows Server 2012. Tutti questi problemi sono "in base alla progettazione" e hanno una soluzione alternativa valida o una tecnica più appropriata per evitarli in primo luogo. Molti di questi comportamenti sono identici in Windows Server 2008 R2 e nei sistemi operativi meno recenti, ma la riscrittura della distribuzione di Active Directory Domain Services aumenta la sensibilità ai problemi.

Problema L'abbassamento di livello di un controller di dominio lascia il DNS in esecuzione senza zone
Sintomi Il server risponde ancora alle richieste DNS, ma non dispone di informazioni sulla zona
Risoluzione e note Quando si rimuove il ruolo Active Directory Domain Services, rimuovere anche il ruolo Server DNS o impostare il servizio Server DNS su disabilitato. Ricordarsi di puntare il client DNS a un altro server diverso da se stesso. Se si usa Windows PowerShell, eseguire quanto segue dopo aver abbassato di livello il server:

Codice- uninstall-windowsfeature dns

oppure

Codice- set-service dns -starttype disabled
stop-service dns
Problema La promozione di un Windows Server 2012 in un dominio con etichetta singola esistente non configura updatetopleveldomain=1 o consenteinglelabeldnsdomain=1
Sintomi La registrazione dei record dinamici DNS non viene eseguita
Risoluzione e note Impostare questi valori usando i criteri di gruppo Netlogon e DNS. Microsoft ha iniziato a bloccare la creazione di un dominio con etichetta singola in Windows Server 2008; è possibile usare ADMT o lo strumento di ridenominazione del dominio per passare a una struttura di dominio DNS approvata.
Problema L'abbassamento di livello dell'ultimo controller di dominio in un dominio ha esito negativo se sono presenti account controller di dominio di sola lettura creati in precedenza e non occupati
Sintomi L'abbassamento di livello non riesce con il messaggio:

Dcpromo.General.54

Active Directory Domain Services non è stato possibile trovare un altro controller di Dominio di Active Directory per trasferire i dati rimanenti nella partizione di directory CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

"Il formato del nome di dominio specificato non è valido."
Risoluzione e note Rimuovere eventuali account rodc creati in precedenza prima di abbassare di livello un dominio, usando Dsa.msc o Ntdsutil.exe pulizia dei metadati.
Problema La preparazione automatica della foresta e del dominio non esegue GPPREP
Sintomi La funzionalità di pianificazione tra domini per Criteri di gruppo, la modalità di pianificazione rsop (Resultant Set of Policy) richiede autorizzazioni aggiornate per il file system e Active Directory per criteri di gruppo esistenti. Senza Gpprep, non è possibile usare la pianificazione RSOP tra domini.
Risoluzione e note Eseguire adprep.exe /gpprep manualmente per tutti i domini non preparati in precedenza per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Gli amministratori devono eseguire GPPrep una sola volta nella cronologia di un dominio, non con ogni aggiornamento. Non viene eseguito da adprep automatico perché se hai già impostato autorizzazioni personalizzate adeguate, tutto il contenuto SYSVOL verrà replicato nuovamente in tutti i controller di dominio.
Problema L'installazione dai supporti non riesce a verificare quando si punta a un percorso UNC
Sintomi Errore restituito:

Codice: non è stato possibile convalidare il percorso multimediale. Eccezione che chiama "GetDatabaseInfo" con argomenti "2". La cartella non è valida.
Risoluzione e note È necessario archiviare i file IFM in un disco locale, non in un percorso UNC remoto. Questo blocco intenzionale impedisce l'innalzamento di livello parziale del server a causa di un'interruzione della rete.
Problema Avviso di delega DNS visualizzato due volte durante l'innalzamento di livello del controller di dominio
Sintomi Avviso restituito due volte durante la promozione tramite ADDSDeployment Windows PowerShell:

Codice- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Risoluzione e note Ignorare. ADDSDeployment Windows PowerShell visualizza prima l'avviso durante il controllo dei prerequisiti, quindi di nuovo durante la configurazione del controller di dominio. Se non si vuole configurare la delega DNS, usare l'argomento :

Codice- -creatednsdelegation:$false

Non ignorare i controlli dei prerequisiti per eliminare questo messaggio.
Problema Se si specificano credenziali UPN o non di dominio durante la configurazione, vengono restituiti errori fuorvianti
Sintomi Server Manager restituisce l'errore:

Codice - Eccezione che chiama "DNSOption" con argomenti "6"

ADDSDeployment Windows PowerShell restituisce l'errore:

Codice- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Risoluzione e note Assicurarsi di fornire credenziali di dominio valide sotto forma di <dominio>\<utente>.
Problema La rimozione del ruolo DirectoryServices-DomainController tramite Dism.exe porta a un server non avviabile
Sintomi Se si usaDism.exe per rimuovere il ruolo Active Directory Domain Services prima di abbassare di livello un controller di dominio normalmente, il server non viene più avviato normalmente e viene visualizzato un errore:

Codice - Stato: 0x000000000
Info: si è verificato un errore imprevisto.
Risoluzione e note Eseguire l'avvio in modalità di ripristino di Servizi directory usando maiusc+F8. Aggiungere nuovamente il ruolo Active Directory Domain Services e quindi abbassare forzatamente il controller di dominio. In alternativa, ripristinare lo stato del sistema dal backup. Non usare Dism.exe per la rimozione del ruolo di Active Directory Domain Services. l'utilità non è a conoscenza dei controller di dominio.
Problema L'installazione di una nuova foresta non riesce quando si imposta forestmode su Win2012
Sintomi La promozione tramite ADDSDeployment Windows PowerShell restituisce un errore:

Codice- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Risoluzione e note Non specificare una modalità funzionale della foresta di Win2012 senza specificare anche una modalità funzionale del dominio di Win2012. Ecco un esempio che funzionerà senza errori:

Codice- -forestmode Win2012 -domainmode Win2012
Problema Se si seleziona Verifica nell'area di selezione Installa da supporti, non viene visualizzata alcuna operazione
Sintomi Quando si specifica un percorso di una cartella IFM, la selezione del pulsante Verifica non restituisce mai un messaggio o sembra eseguire qualsiasi operazione.
Risoluzione e note Il pulsante Verifica restituisce errori solo in caso di problemi. In caso contrario, rende selezionabile il pulsante Avanti se è stato specificato un percorso IFM. È necessario selezionare Verifica per continuare se è stato selezionato IFM.
Problema L'abbassamento di livello con Server Manager non fornisce commenti e suggerimenti fino al completamento.
Sintomi Quando si usa Server Manager per rimuovere il ruolo Active Directory Domain Services e abbassare di livello un controller di dominio, non viene fornito alcun feedback continuo fino al completamento o all'esito negativo dell'abbassamento di livello.
Risoluzione e note Si tratta di una limitazione delle Server Manager. Per commenti e suggerimenti, usare il cmdlet ADDSDeployment Windows PowerShell:

Codice- Uninstall-addsdomaincontroller
Problema L'installazione da Verifica supporti non rileva il supporto del controller di dominio di sola lettura fornito per il controller di dominio scrivibile o viceversa.
Sintomi Quando si promuove un nuovo controller di dominio usando IFM e si fornisce un supporto non corretto a IFM, ad esempio un supporto del controller di dominio di sola lettura per un controller di dominio scrivibile o un supporto RWDC per un controller di dominio di sola lettura, il pulsante Verifica non restituisce un errore. In seguito, l'innalzamento di livello non riesce con errore:

Codice: si è verificato un errore durante il tentativo di configurare il computer come controller di dominio.
La promozione Install-From-Media di un controller di dominio Read-Only non può essere avviata perché il database di origine specificato non è consentito. Solo i database di altri controller di dominio di sola lettura possono essere usati per la promozione IFM di un controller di dominio di sola lettura.
Risoluzione e note Verifica convalida solo l'integrità complessiva di IFM. Non fornire il tipo IFM errato a un server. Riavviare il server prima di provare di nuovo la promozione con il supporto corretto.
Problema La promozione di un controller di dominio di sola lettura in un account computer precreato non riesce
Sintomi Quando si usa ADDSDeployment Windows PowerShell per alzare di livello un nuovo controller di dominio di sola lettura con un account computer a fasi, ricevere l'errore:

Codice- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Risoluzione e note Non specificare parametri già definiti in un account controller di dominio di sola lettura precreato. tra cui:

Codice-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-Sitename
-installdns
Problema Deselezionare/selezionare "Riavvia automaticamente ogni server di destinazione se necessario" non esegue alcuna operazione
Sintomi Se si seleziona o non si seleziona l'opzione Server Manager Riavviare automaticamente ogni server di destinazione se necessario quando si abbassa di livello un controller di dominio tramite la rimozione del ruolo, il server viene sempre riavviato, indipendentemente dalla scelta.
Risoluzione e note Questo è intenzionale. Il processo di abbassamento di livello riavvia il server indipendentemente da questa impostazione.
Problema Dcpromo.log mostra "[errore] impostazione della sicurezza nei file del server non riuscita con 2"
Sintomi L'abbassamento di livello di un controller di dominio viene completato senza problemi, ma l'esame del log dcpromo mostra un errore:

Codice- [error] setting security on server files failed with 2
Risoluzione e note Ignora, l'errore è previsto e cosmetico.
Problema Il controllo adprep dei prerequisiti non riesce con l'errore "Impossibile eseguire il controllo dei conflitti dello schema di Exchange"
Sintomi Quando si tenta di alzare di livello un controller di dominio Windows Server 2012 in una foresta esistente di Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, il controllo dei prerequisiti non riesce con errore:

Codice: la verifica dei prerequisiti per la preparazione di Active Directory non è riuscita. Impossibile eseguire il controllo dei conflitti dello schema di Exchange per il nome> di dominio di dominio <(eccezione: il server RPC non è disponibile)

Il adprep.log mostra l'errore:

Codice- Adprep couldn't retrieve data from the server <domain controller>

tramite Strumentazione gestione Windows (WMI).
Risoluzione e note Il nuovo controller di dominio non può accedere a WMI tramite protocolli DCOM/RPC sui controller di dominio esistenti. Fino ad oggi, ci sono state tre cause per questo:

- Una regola del firewall blocca l'accesso ai controller di dominio esistenti.
- L'account SERVIZIO DI RETE non è presente nel privilegio "Accesso come servizio" (SeServiceLogonRight) nei controller di dominio esistenti.
- NTLM è disabilitato nei controller di dominio, usando i criteri di sicurezza descritti in Introduzione alla restrizione dell'autenticazione NTLM.
Problema La creazione di una nuova foresta di Servizi di dominio Active Directory mostra sempre l'avviso DNS
Sintomi Quando si crea una nuova foresta di Servizi di dominio Active Directory e si crea la zona DNS nel nuovo controller di dominio, viene sempre visualizzato un messaggio di avviso:

Codice: è stato rilevato un errore nella configurazione DNS.
Nessuno dei server DNS usati da questo computer ha risposto entro l'intervallo di timeout.
(codice di errore 0x000005B4 "ERROR_TIMEOUT")
Risoluzione e note Ignorare. Questo avviso è intenzionale nel primo controller di dominio del dominio radice di una nuova foresta, nel caso in cui si intende puntare a un server DNS e a una zona esistenti.
Problema -whatif Windows PowerShell argomento restituisce informazioni non corrette sul server DNS
Sintomi Se si usa l'argomento durante la -whatif configurazione di un controller di dominio con implicito o esplicito -installdns:$true, l'output risultante mostra:

Codice- DNS Server: No
Risoluzione e note Ignorare. DNS è installato e configurato correttamente.
Problema Dopo l'innalzamento di livello, l'accesso non riesce con "Non è disponibile spazio di archiviazione sufficiente per elaborare questo comando"
Sintomi Dopo aver innalzato di livello un nuovo controller di dominio e quindi aver effettuato la disconnessione e aver tentato l'accesso in modo interattivo, viene visualizzato un errore:

Codice: spazio di archiviazione insufficiente per elaborare questo comando
Risoluzione e note Il controller di dominio non è stato riavviato dopo l'innalzamento di livello, a causa di un errore o perché è stato specificato l'argomento -norebootoncompletionADDSDeployment Windows PowerShell . Riavviare il controller di dominio.
Problema Il pulsante Avanti non è disponibile nella pagina Opzioni controller di dominio
Sintomi Anche se è stata impostata una password, il pulsante Avanti nella pagina Opzioni controller di dominio in Server Manager non è disponibile. Nessun sito elencato nel menu Nome sito .
Risoluzione e note Sono presenti più siti di Servizi di dominio Active Directory e almeno una subnet è mancante; questo controller di dominio futuro appartiene a una di queste subnet. È necessario selezionare manualmente la subnet dal menu a discesa Nome sito. È anche consigliabile esaminare tutti i siti di Active Directory usando DSSITE. MSC o usare il comando Windows PowerShell seguente per trovare tutte le subnet mancanti per tutti i siti:

Codice - "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | format-table name"
Problema La promozione o l'abbassamento di livello non riesce con il messaggio "Il servizio non può essere avviato"
Sintomi Se si tenta di promuovere, abbassare di livello o clonare un controller di dominio, viene visualizzato un errore:

Codice: il servizio non può essere avviato, perché è disabilitato o non ha dispositivi abilitati associati ad esso" (0x80070422)

L'errore può essere interattivo, un evento o scritto in un log come dcpromoui.log o dcpromo.log.
Risoluzione e note Il servizio DS Role Server (DsRoleSvc) è disabilitato. Per impostazione predefinita, questo servizio viene installato durante l'installazione del ruolo di Active Directory Domain Services e impostato su un tipo di avvio manuale. Non disabilitare questo servizio. Impostarlo di nuovo su Manuale e consentire alle operazioni del ruolo DS di avviarlo e arrestarlo su richiesta. Si tratta di un comportamento legato alla progettazione del prodotto.
Problema Server Manager avvisa ancora che è necessario alzare di livello dc
Sintomi Se si alza di livello un controller di dominio usando il controller di dominio deprecato dcpromo.exe /unattend o si aggiorna un controller di dominio di Windows Server 2008 R2 esistente per Windows Server 2012, Server Manager mostra comunque l'attività di configurazione post-distribuzione Alzare di livello questo server a un controller di dominio.
Risoluzione e note selezionare il collegamento di avviso post-distribuzione e il messaggio scomparirà per sempre. Questo comportamento è cosmetico e previsto.
Problema Server Manager l'installazione del ruolo mancante nello script di distribuzione
Sintomi Se si alza di livello un controller di dominio usando Server Manager e si salva lo script di distribuzione Windows PowerShell, non include il cmdlet e gli argomenti di installazione del ruolo (install-windowsfeature -name ad-domain-services -includemanagementtools). Senza il ruolo, il controller di dominio non può essere configurato.
Risoluzione e note Aggiungere manualmente il cmdlet e gli argomenti a qualsiasi script. Questo comportamento è previsto e dalla progettazione.
Problema Server Manager script di distribuzione non è denominato PS1
Sintomi Se si alza di livello un controller di dominio usando Server Manager e si salva lo script di distribuzione Windows PowerShell, il file viene denominato con un nome temporaneo casuale e non come file PS1.
Risoluzione e note Rinominare manualmente il file. Questo comportamento è previsto e dalla progettazione.
Problema Dcpromo /unattend consente livelli di funzionalità non supportati
Sintomi Se si alza di livello un controller di dominio usando dcpromo /unattend con il file di risposte di esempio seguente:

Codice-

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Sì

AutoConfigDNS=Sì

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=No

DomainLevel=0

ForestLevel=0

L'innalzamento di livello ha esito negativo con gli errori seguenti nella dcpromoui.log:

Codice - dcpromoui EA4.5B8 0089 13:31:50.783 Enter CArgumentsSpec::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13:31:50.783 Il valore per DomainLevel è 0

dcpromoui EA4.5B8 008B 13:31:50.783 Codice di uscita è 77

dcpromoui EA4.5B8 008C 13:31:50.783 L'argomento specificato non è valido.

dcpromoui EA4.5B8 008D 13:31:50.783 log di chiusura

dcpromoui EA4.5B8 0032 13:31:50.830 Codice di uscita è 77

Il livello 0 è Windows 2000, che non è supportato in Windows Server 2012.
Risoluzione e note Non usare il deprecato dcpromo /unattend e comprendere che consente di specificare impostazioni non valide che in un secondo momento non riescono. Questo comportamento è previsto e dalla progettazione.
Problema La promozione "si blocca" durante la creazione dell'oggetto impostazioni NTDS, non viene mai completata
Sintomi Se si alza di livello un controller di dominio di replica o un controller di dominio di sola lettura, la promozione raggiunge "creazione dell'oggetto impostazioni NTDS" e non procede o non viene mai completata. Anche i log interrompono l'aggiornamento.
Risoluzione e note Si tratta di un problema noto causato dalla fornitura di credenziali dell'account amministratore locale predefinito con una password corrispondente all'account amministratore di dominio predefinito. Questo causa un errore nel motore di configurazione principale che non genera errori, ma attende all'infinito (quasi ciclo). Questo comportamento è previsto, anche se indesiderabile.

Per correggere il server:

1. Riavviarlo.

1. In AD eliminare l'account computer membro del server (non sarà ancora un account controller di dominio)

2. In tale server, forzatamente disgiunti dal dominio

3. In tale server rimuovere il ruolo Active Directory Domain Services.

4. Riavvio

5. È stato letto il ruolo di Active Directory Domain Services e si è verificato un nuovo tentativo di promozione, assicurandosi di fornire sempre le <credenziali formattate dominio>\<amministratore> per la promozione del controller di dominio e non solo l'account amministratore locale predefinito.