Condividi tramite

Risolvere i problemi di distribuzione del controller di dominio

  • Articolo

Questo articolo illustra la metodologia dettagliata per la risoluzione dei problemi di configurazione e distribuzione dei controller di dominio.

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Provare l'agente virtuale: consente di identificare e risolvere rapidamente i problemi comuni di replica di Active Directory.

Introduzione alla risoluzione dei problemi

Diagramma che mostra il flusso di lavoro per la risoluzione dei problemi di distribuzione del controller di dominio.

Log predefiniti per la risoluzione dei problemi

I log predefiniti rappresentano lo strumento più importante per la risoluzione dei problemi di innalzamento e abbassamento di livello dei controller di dominio. Per impostazione predefinita, tutti questi log sono abilitati e configurati per il massimo livello di dettaglio.

Fase Log
Operazioni di Server Manager o di ADDSDeployment per Windows PowerShell - %systemroot%\debug\dcpromoui.log

- %systemroot%\debug\dcpromoui.log*
Installazione/innalzamento di livello del controller di dominio - %systemroot%\debug\dcpromo.log

- %systemroot%\debug\dcpromo*.log

- Visualizzatore eventi Windows Logs\System\

- \applicazione log\di Visualizzatore eventi Windows

- Visualizzatore eventi Applications and Services Logs\Directory Service\

- Visualizzatore eventi Applications and Services Logs\File Replication Service\

- replica DFS di\Visualizzatore eventi Applicazioni e servizi\
Aggiornamento della foresta o del dominio - %systemroot%\debug\adprep\<datetime>\adprep.log

- %systemroot%\debug\adprep\<datetime>\csv.log

- %systemroot%\debug\adprep\<datetime>\dspecup.log

- %systemroot%\debug\adprep\<datetime>\ldif.log*
Motore di distribuzione di Server Manager o di ADDSDeployment per Windows PowerShell - Visualizzatore eventi Applicazioni e log\dei servizi Microsoft\Windows\DirectoryServices-Deployment Operational\\
Manutenzione pacchetti Windows - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml

- %systemroot%\winsxs\poqexec.log

- %systemroot%\winsxs\pending.xml

Strumenti e comandi per la risoluzione dei problemi di configurazione del controller di dominio

Per risolvere i problemi non spiegati dai log, usare gli strumenti seguenti come punto di partenza:

  • Dcdiag.exe
  • Repadmin.exe
  • AutoRuns.exe, Gestione attività e MSInfo32.exe
  • Network Monitor 3.4 (o uno strumento di acquisizione e analisi di terze parti)

Metodologia generale per la risoluzione dei problemi di configurazione del controller di dominio

  1. Un problema di sintassi ha causato l'errore?

    1. L'argomento è stato digitato in modo errato o non è stato fornito ad ADDSDeployment per Windows PowerShell? Ad esempio, se si usa ADDSDeployment di Windows PowerShell, si è dimenticato di aggiungere l'argomento -domainname obbligatorio con un nome valido?
    2. Esaminare attentamente l'output della console di Windows PowerShell per vedere esattamente perché l'analisi della riga di comando fornita non riesce.

  2. Si tratta di un errore relativo ai prerequisiti?

    1. Molti errori visualizzati come risultati di innalzamento di livello irreversibili ora vengono evitati grazie allo strumento di controllo dei prerequisiti.
    2. Esaminare attentamente il testo degli errori dei prerequisiti che specificano le indicazioni necessarie per la risoluzione della maggior parte dei problemi, poiché si tratta di scenari controllati.

  3. Si tratta di un errore di innalzamento di livello e pertanto irreversibile?

    1. Esaminare attentamente i risultati: molti errori hanno spiegazioni come password non valida, risoluzione dei nomi di rete o controller di dominio offline critici.

    2. Esaminare il Dcpromoui.log e dcpromo.log per individuare gli errori visualizzati nell'output, quindi tornare indietro per visualizzare le indicazioni sul motivo per cui si è verificato l'errore.

      1. Eseguire sempre il confronto con un log di esempio funzionante
      2. Esaminare gli errori nei log ADPrep solo se nei risultati viene indicato un problema relativo all'estensione dello schema o alla preparazione della foresta o del dominio.
      3. Esaminare il registro eventi DirectoryServices-Deployment per individuare gli errori solo se il Dcpromoui.log non contiene dettagli o termina arbitrariamente a causa di un'eccezione non gestita nel processo di configurazione.

    3. Esaminare i registri eventi dei servizi directory, del sistema e dell'applicazione per altre indicazioni relative a un errore di configurazione. Spesso, l'innalzamento di livello del controller di dominio è solo un sintomo di altri errori di configurazione della rete che interessano tutti i sistemi distribuiti.

    4. Usare dcdiag.exe e repadmin.exe per convalidare l'integrità complessiva della foresta e indicare errori di configurazione che potrebbero impedire ulteriori promozioni del controller di dominio.

    5. Utilizzare AutoRuns.exe, Gestione attività o MSinfo32.exe per esaminare il computer per individuare software di terze parti che potrebbero interferire.

      Rimuovere il software di terze parti (non disabilitare il software, che non impedisce il caricamento dei driver).

    6. Installare NetMon 3.4 nel computer in cui l'innalzamento di livello non riesce e nel controller di dominio del partner di replica e analizzare il processo di innalzamento di livello con acquisizioni di rete su due lati.

      1. Confrontare i risultati con l'ambiente lab di lavoro per visualizzare l'aspetto di un innalzamento di livello svolto in modo corretto e individuare la posizione dell'errore.
      2. A questo punto, è probabile che gli errori interessino gli oggetti della foresta, modifiche alla sicurezza non predefinite o la rete e il nuovo controller di dominio è una vittima di errori di configurazione del DNS, dei firewall, del software di prevenzione intrusioni o altri fattori esterni.

Risoluzione dei problemi relativi a eventi e messaggi di errore

La promozione e l'abbassamento di livello del controller di dominio restituiscono sempre un codice alla fine dell'operazione e, a differenza della maggior parte dei programmi, non restituiscono zero per l'esito positivo. Per visualizzare il codice alla fine della configurazione di un controller di dominio, sono disponibili varie opzioni:

  1. Se si usa Server Manager, esaminare i risultati dell'innalzamento nei 10 secondi prima del riavvio automatico.

  2. Se si usa ADDSDeployment per Windows PowerShell, esaminare i risultati dell'innalzamento nei 10 secondi prima del riavvio automatico. In alternativa, scegliere di non riavviare automaticamente al completamento. È consigliabile aggiungere la format-list pipeline per semplificare la lettura dell'output. Ad esempio:

    Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list

    Gli errori nella convalida e nella verifica dei prerequisiti non continuano dopo il riavvio, pertanto sono visibili in tutti i casi. Ad esempio:

    Screenshot degli errori nella convalida e nella verifica dei prerequisiti.

  3. In qualsiasi scenario esaminare le dcpromo.log e le dcpromoui.log.

    Nota

    Alcuni degli errori elencati di seguito non sono più possibili a causa delle modifiche di configurazione del sistema operativo o del controller di dominio nei sistemi operativi successivi. Il nuovo codice ADDSDeployment di Windows PowerShell impedisce anche determinati errori, ma dcpromo.exe /unattend non lo fa. Questo è un altro motivo interessante per cambiare tutta l'automazione corrente dal DCPromo deprecato a ADDSDeployment di Windows PowerShell.

Codici di riuscita dell'innalzamento e abbassamento di livello

Codice errore Spiegazione Nota
1 Uscita, operazione riuscita È comunque necessario riavviare, si nota semplicemente che il flag di riavvio automatico è stato rimosso.
2 Uscita, operazione riuscita, occorre riavviare
3 Uscita, operazione riuscita con errore non critico In genere viene visualizzato quando viene restituito l'avviso relativo alla delega DNS. Se non si configura la delega DNS, usare:

-creatednsdelegation:$false.
4 Uscita, operazione riuscita con un errore non critico, occorre riavviare In genere viene visualizzato quando viene restituito l'avviso relativo alla delega DNS. Se non si configura la delega DNS, usare:

-creatednsdelegation:$false.

Codici di errore dell'innalzamento e abbassamento di livello

L'innalzamento e l'abbassamento di livello restituiscono i codici di messaggio di errore seguenti. È anche possibile che vengano visualizzati messaggi di errore estesi. Leggere sempre con attenzione l'intero errore e non solo la parte numerica.

Codice errore Spiegazione Risoluzione suggerita
11 L'innalzamento di livello del controller di dominio è già in esecuzione Non eseguire più di un'istanza di promozione del controller di dominio contemporaneamente per lo stesso computer di destinazione.
12 L'utente deve essere un amministratore Accedere come membro del gruppo Administrators predefinito e assicurarsi di essere elevati con controllo dell'account utente.
13 L'autorità di certificazione (CA) è installata Non è possibile abbassare di livello questo controller di dominio perché è anche un'Autorità di certificazione (CA). Non rimuovere la CA prima di inventariare attentamente l'utilizzo. Se emette certificati, la rimozione del ruolo causerà un'interruzione. L'esecuzione di CA nei controller di dominio è sconsigliata.
14 Esecuzione in modalità di avvio provvisoria Avviare il server in modalità normale.
15 La modifica del ruolo è in corso o occorre riavviare È necessario riavviare il server (a causa delle modifiche di configurazione precedenti) prima dell'innalzamento di livello.
16 Esecuzione nella piattaforma errata Non è probabile che venga visualizzato questo errore.
17 Non esistono unità NTFS 5 Questo errore non è possibile in Windows Server 2012, che richiede almeno la formattazione di %systemdrive% con NTFS.
18 Spazio insufficiente in windir Liberare spazio nel volume %systemdrive% usando cleanmgr.exe.
19 Modifica del nome in sospeso. È necessario un riavvio. Riavviare il server.
20 La sintassi del nome computer non è valida Rinominare il computer con un nome valido.
21 Questo controller di dominio riveste ruoli FSMO, è un server di catalogo globale e/o è un server DNS Aggiungere -demoteoperationmasterrole quando si usa -forceremoval.
22 TCP/IP deve essere installato o non funziona Verificare che il computer disponga di TCP/IP configurato, associato e funzionante correttamente.
23 È prima necessario configurare le impostazioni del client DNS Impostare un server DNS primario quando si aggiunge un nuovo controller di dominio a un dominio.
24 Le credenziali specificate non sono valide o sono incomplete Verificare che il nome utente e la password siano corretti.
25 Impossibile trovare il controller di dominio per il dominio specificato Convalidare le impostazioni del client DNS, le regole del firewall.
26 Impossibile leggere l'elenco di domini dalla foresta Convalidare le impostazioni client DNS, la funzionalità LDAP, le regole del firewall.
27 Nome di dominio mancante Specificare un dominio quando si promuove o si abbassa di livello.
28 Nome di dominio errato Scegliere un nome di dominio DNS diverso e valido durante l'innalzamento di livello.
29 Il dominio padre non esiste Verificare il dominio padre specificato durante la creazione di un nuovo dominio figlio o di un dominio ad albero.
30 Il dominio specificato non esiste nella foresta Verificare il nome di dominio specificato.
31 Il dominio figlio esiste già Specificare un nome di dominio diverso.
32 Nome di dominio NetBIOS errato Specificare un nome di dominio NetBIOS valido.
33 Il percorso dei file IFM non è valido Convalidare il percorso della cartella Installa da file multimediali.
34 Il database IFM non è valido Usare il supporto di installazione corretto per questo sistema operativo e il ruolo (stessa versione del sistema operativo, stesso tipo di controller di dominio - RODC e RWDC).
35 SYSKEY mancante Install from Media è crittografato ed è necessario specificare un SYSKEY valido per usarlo.
37 Il percorso del database NTDS o dei relativi registri non è valido Modificare il percorso del database e dei log in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC.
38 Il volume non dispone di spazio sufficiente per il database NTDS o i log Liberare spazio usando cleanmgr.exe, aggiungere più spazio su disco, cancellare manualmente lo spazio spostando i dati non necessari altrove.
39 Percorso per SYSVOL non valido Modificare il percorso della cartella SYSVOL in un volume NTFS fisso, non in un'unità mappata o in un percorso UNC.
40 Nome di sito non valido Specificare un nome di sito esistente.
41 È necessario specificare una password per la modalità provvisoria Specificare una password per l'account DSRM, non può essere vuota indipendentemente dalla configurazione dei criteri password.
42 La password in modalità provvisoria non soddisfa i criteri (solo promozione) Specificare una password per l'account DSRM che soddisfa le regole configurate dei criteri password.
43 La password amministratore non soddisfa i criteri (solo abbassamento di livello) Specificare una password per l'account amministratore locale che soddisfi le regole configurate dei criteri password.
44 Il nome specificato per la foresta non è valido Specificare un nome di dominio DNS radice della foresta valido.
45 Esiste già una foresta con il nome specificato Scegliere un nome di dominio DNS radice della foresta diverso.
46 Il nome specificato per l'albero non è valido Specificare un nome di dominio DNS dell'albero valido.
47 Esiste già un albero con il nome specificato Scegliere un nome di dominio DNS dell'albero diverso.
48 Il nome dell'albero non rientra nella struttura della foresta Scegliere un nome di dominio DNS dell'albero diverso.
49 Il dominio specificato non esiste Verificare il nome di dominio digitato.
50 Durante la demo, è stato rilevato l'ultimo controller di dominio anche se non è o è stato specificato l'ultimo controller di dominio, ma non è Non specificare Last Domain Controller nel dominio (-lastdomaincontrollerindomain) a meno che non sia true. Usare -ignorelastdcindomainmismatch per eseguire l'override se si tratta effettivamente dell'ultimo controller di dominio e dei metadati del controller di dominio fantasma.
51 In questo controller di dominio esistono partizioni di directory applicative Specificare per rimuovere le partizioni dell'applicazione (-removeapplicationpartitions).
52 Un argomento obbligatorio della riga di comando è mancante (significa che è necessario specificare un file di risposte nella riga di comando) Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
53 L'operazione di innalzamento/abbassamento di livello non è riuscita. Per eseguire la pulizia del computer è necessario riavviare Esaminare gli errori estesi e i log.
54 Innalzamento/abbassamento di livello non riuscito Esaminare gli errori estesi e i log.
55 L'operazione di innalzamento/abbassamento di livello è stata annullata dall'utente Esaminare gli errori estesi e i log.
56 L'operazione di innalzamento/abbassamento di livello è stata annullata. Per eseguire la pulizia del computer è necessario riavviare Esaminare gli errori estesi e i log.
58 Durante l'innalzamento di livello del controller di dominio di sola lettura è necessario specificare un nome di sito È necessario specificare un sito per un controller di dominio di sola lettura, che non rileverà automaticamente come un RWDC.
59 Durante l'abbassamento di livello, questo controller di dominio è l'ultimo server DNS per una delle relative zone Specificare che si tratta dell'ultimo server DNS nel dominio o usare -ignorelastdnsserverfordomain.
60 Nel dominio deve essere presente un controller di dominio che esegue Windows Server 2008 per poter installare un controller di dominio di sola lettura Alzare di livello almeno un controller di dominio scrivibile di windows Server 2008 o versione successiva.
61 Non è possibile installare Dominio di Active Directory Services con DNS in un dominio esistente che non ospita già DNS Non è possibile ottenere questo errore.
62 Il file di risposte non ha una sezione [DCInstall] Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
63 Livello di funzionalità della foresta è inferiore a Windows Server 2003 Aumentare il livello di funzionalità della foresta ad almeno Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.
64 L'innalzamento di livello non è riuscito a causa del mancato rilevamento del binario del componente Installare il ruolo Servizi di dominio Active Directory.
65 L'innalzamento di livello non è riuscito a causa della mancata installazione del binario del componente Installare il ruolo Servizi di dominio Active Directory.
66 L'innalzamento di livello non è riuscito a causa del mancato rilevamento del sistema operativo Esaminare i registri e i messaggi di errore estesi. Il server non riesce a restituire la versione del sistema operativo in uso. È probabile che il computer debba essere reinstallato, perché la sua integrità complessiva è altamente sospetta.
68 Il partner di replica specificato non è valido Usare repadmin.exe o Windows PowerShell per convalidare l'integrità Get-ADReplication\* del controller di dominio partner.
69 La porta necessaria è già usata da altre applicazioni Usare netstat.exe -anob per individuare i processi assegnati in modo non corretto alle porte di Active Directory Domain Services riservate.
70 Il controller di dominio radice della foresta deve essere un server di catalogo globale Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
71 Servizio Server DNS già installato Non specificare di installare DNS (-installDNS) se il servizio DNS è già installato.
72 Nel computer è in esecuzione Servizi Desktop remoto in modalità non amministrativa Non è possibile alzare di livello questo controller di dominio, perché è anche un server Servizi Desktop remoto configurato per più di due utenti amministratori. Non rimuovere Servizi Desktop remoto prima di inventariare attentamente l'utilizzo. Se viene usato dalle applicazioni o dagli utenti finali, la rimozione causerà un'interruzione.
73 Il livello di funzionalità specificato per la foresta non è valido. Specificare un livello di funzionalità della foresta valido.
74 Il livello di funzionalità specificato per il dominio non è valido. Specificare un livello di funzionalità di dominio valido.
75 Impossibile determinare i criteri di replica password predefiniti. Verificare che il criterio di replica delle password del controller di dominio di sola lettura esista ed è accessibile.
76 I gruppi di sicurezza replicati/non replicati specificati non sono validi Verificare di aver digitato in account utente e dominio validi quando si specificano criteri di replica delle password.
77 L'argomento specificato non è valido. Esaminare gli errori estesi e i log.
78 Impossibile esaminare la foresta di Active Directory Esaminare gli errori estesi e i log.
79 Il controller di dominio di sola lettura non può essere alzato di livello perché rodcprep non è stato eseguito Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /rodcprep.
80 Domainprep non è stato eseguito Usare Windows Server 2012 per preparare il dominio o usare adprep.exe /domainprep.
81 Forestprep non è stato eseguito Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep.
82 Mancata corrispondenza degli schemi della foresta Usare Windows Server 2012 per preparare la foresta o usare adprep.exe /forestprep.
83 SKU non supportata Non è probabile che venga visualizzato questo errore.
84 Non è possibile rilevare un account del controller di dominio Verificare che per i controller di dominio esistenti siano stati impostati gli attributi di controllo dell'account utente corretti.
85 Non è possibile selezionare un account del controller di dominio per la fase 2 Questo errore viene restituito quando si specifica l'opzione "Usa account esistente" ma non viene trovato alcun account o si verifica un errore durante la ricerca dell'account. Assicurarsi di aver specificato l'account di gestione temporanea corretto del controller di dominio di sola lettura.
86 È necessario eseguire l'innalzamento di livello alla fase 2 Restituito se si alza di livello un controller di dominio aggiuntivo, ma esiste un account esistente e non è stato specificato "Consenti reinstallazione".
87 È presente un account del controller di dominio di tipo in conflitto Se non si tenta di collegarsi a un controller di dominio non occupato, Rinominare il computer prima di eseguire l'innalzamento di livello. È necessario connettersi all'account del controller di dominio non occupato usando -useexistingaccount e l'argomento corretto di sola lettura o scrivibile, a seconda del tipo di account.
88 L'amministratore del server specificato non è valido È stato specificato un account non valido per la delega dell'amministrazione del controller di dominio di sola lettura. Verificare che l'account specificato sia un utente o un gruppo valido.
89 Il master RID per il dominio specificato è offline. Usare netdom.exe query fsmo per rilevare il master RID. Portarlo online e renderlo accessibile al controller di dominio che stai promuovendo.
90 Il master per la denominazione dei domini è offline. Usare netdom.exe query fsmo per rilevare il master di denominazione del dominio. Portarlo online e renderlo accessibile al controller di dominio che stai promuovendo.
91 Impossibile rilevare se il processo corrente è in esecuzione in WOW64 Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit.
92 Il processo WOW64 non è supportato Non è più possibile ottenere questo errore, il sistema operativo è a 64 bit.
93 Il servizio Controller di dominio non è in esecuzione per l'abbassamento di livello non forzato Avviare il servizio Active Directory Domain Services.
94 La password dell'amministratore locale non soddisfa i requisiti perché è vuota o non è richiesta Specificare una password non crittografata e assicurarsi che i criteri password locali richiedano una password.
95 Non è possibile abbassare di livello l'ultimo controller di dominio Windows Server 2008 o versione successiva nel dominio in cui sono presenti controller di dominio di sola lettura attivi È prima necessario abbassare di livello tutti i controller di dominio di sola lettura prima di abbassare di livello tutti i controller di dominio scrivibili di Windows Server 2008 o versioni successive.
96 Non è possibile disinstallare i file binari di Servizi di dominio Active Directory Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
97 La versione del livello di funzionalità della foresta è successiva a quella del sistema operativo del dominio figlio Fornire un dominio figlio uguale o superiore al livello funzionale della foresta.
98 L'installazione o la disinstallazione del binario del componente è in corso. Viene visualizzato solo con dcpromo /unattend, che è deprecato. Vedere la documentazione precedente.
99 Il livello di funzionalità della foresta è troppo basso (questo errore si verifica solo in Windows Server 2012) Aumentare il livello di funzionalità della foresta ad almeno Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.
100 Il livello di funzionalità del dominio è troppo basso (questo errore si verifica solo in Windows Server 2012) Aumentare il livello di funzionalità del dominio ad almeno Windows Server 2003 nativo. Windows 2000 e Windows NT 4.0 non sono più sistemi operativi supportati.

Problemi noti e scenari di supporto comuni

Di seguito sono riportati gli errori comuni riscontrati durante il processo di sviluppo di Windows Server 2012. Tutti questi problemi sono "da progettazione" e prevedono una soluzione alternativa valida o una tecnica più appropriata per evitarli del tutto. Molti di questi comportamenti sono identici in Windows Server 2008 R2 e nei sistemi operativi precedenti, ma la nuova distribuzione di Servizi di dominio Active Directory presenta maggiore sensibilità nei confronti di questi problemi.

Problema In seguito all'abbassamento di livello del controller di dominio, il DNS viene eseguito senza zone
Sintomi Il server risponde ancora alle richieste DNS ma non dispone di informazioni sulla zona
Risoluzione e note Quando si rimuove il ruolo Servizi di dominio Active Directory rimuovere anche il ruolo Server DNS o disabilitare il servizio Server DNS Ricordare di indirizzare il client DNS a un server diverso da se stesso. Se si usa Windows PowerShell, dopo avere abbassato di livello il server eseguire i comandi seguenti:

Codice- uninstall-windowsfeature dns

o

Codice- set-service dns -starttype disabled
stop-service dns
Problema Durante l'innalzamento di livello di un controller di dominio Windows Server 2012 a un dominio con etichetta singola esistente non viene configurato updatetopleveldomain=1 o allowsinglelabeldnsdomain=1
Sintomi Non si verifica la registrazione dinamica dei record DNS
Risoluzione e note Impostare questi valori usando i criteri di gruppo Netlogon e DNS. Microsoft ha iniziato a bloccare la creazione dei domini con etichetta singola a partire da Windows Server 2008. È possibile usare ADMT o lo strumento di ridenominazione dei domini per passare a una struttura di dominio DNS approvata.
Problema L'abbassamento di livello dell'ultimo controller di dominio in un dominio ha esito negativo se sono presenti account del controller di dominio di sola lettura non occupati creati in modo preliminare
Sintomi L'abbassamento di livello non riesce e viene visualizzato il messaggio seguente:

Dcpromo.General.54

Active Directory Domain Services non è riuscito a trovare un altro controller di dominio Active Directory per trasferire i dati rimanenti nella partizione di directory CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.

"Il formato del nome di dominio specificato non è valido."
Risoluzione e note Rimuovere gli eventuali account del controller di dominio di sola lettura creati in precedenza prima di abbassare di livello un dominio usando Dsa.msc o Ntdsutil.exe metadata cleanup.
Problema La preparazione automatica della foresta e del dominio non esegue GPPREP
Sintomi La funzionalità di pianificazione per più domini per Criteri di gruppo, la Modalità di pianificazione RSOP (Gruppo di criteri risultante), richiede autorizzazioni sul file system e per Active Directory aggiornate per i Criteri di gruppo esistenti. Senza GPPREP non è possibile usare la modalità pianificazione di Gruppo di criteri risultante per più domini.
Risoluzione e note Eseguire adprep.exe /gpprep manualmente per tutti i domini non preparati in precedenza per Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. È consigliabile che gli amministratori eseguano GPPrep una sola volta nella cronologia di un dominio e non a ogni aggiornamento. Questa operazione non viene eseguita automaticamente da adprep perché se sono già state impostate autorizzazioni personalizzate adeguate, tutto il contenuto di SYSVOL verrebbe nuovamente replicato in tutti i controller di dominio.
Problema La verifica dell'installazione non riesce quando punta a un percorso UNC
Sintomi Errore restituito:

Codice - Impossibile convalidare il percorso del supporto. Eccezione durante la chiamata a "GetDatabaseInfo" con "2" argomenti. La cartella non è valida.
Risoluzione e note È necessario archiviare i file IFM in un disco locale e non in un percorso UNC remoto. Questo blocco intenzionale consente di prevenire l'innalzamento di livello del server parziale a causa di un'interruzione di rete.
Problema L'avviso di delega DNS viene visualizzato due volte durante l'innalzamento di livello del controller di dominio
Sintomi Avviso restituito due volte durante l'operazione di innalzamento di livello usando ADDSDeployment per Windows PowerShell:

Codice- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
Risoluzione e note Ignorare. ADDSDeployment per Windows PowerShell visualizza l'avviso una volta durante la verifica dei prerequisiti e una seconda durante la configurazione del controller di dominio. Se non si vuole configurare la delega DNS, usare l'argomento seguente:

Codice- -creatednsdelegation:$false

Non ignorare i controlli dei prerequisiti per eliminare questo messaggio.
Problema Quando si specificano credenziali UPN o non di dominio durante la configurazione, vengono restituiti errori fuorvianti
Sintomi Server Manager restituisce l'errore:

Codice - Eccezione durante la chiamata a "DNSOption" con "6" argomenti

ADDSDeployment per Windows PowerShell restituisce l'errore:

Codice- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
Risoluzione e note Assicurarsi di fornire credenziali di dominio valide sotto forma di <dominio>\<utente>.
Problema La rimozione del ruolo DirectoryServices-DomainController tramite Dism.exe comporta l'annullamento dell'avvio del server
Sintomi Se si usa Dism.exe per rimuovere il ruolo Servizi di dominio Active Directory prima di abbassare di livello un controller di dominio normalmente, il server non viene più avviato normalmente e viene visualizzato l'errore:

Codice - Stato: 0x000000000
Info: Si è verificato un errore imprevisto.
Risoluzione e note Avviare la modalità di ripristino dei servizi directory usando MAIUSC+F8. Aggiungere di nuovo il ruolo Servizi di dominio Active Directory e abbassare di livello in modo forzato il controller di dominio. In alternativa, ripristinare lo stato del sistema dal backup. Non usare Dism.exe per la rimozione dei ruoli di Active Directory Domain Services. L'utilità non ha alcuna conoscenza dei controller di dominio.
Problema L'installazione di una foresta non riesce quando ForestMode è impostato su Win2012
Sintomi L'innalzamento di livello con ADDSDeployment per Windows PowerShell restituisce l'errore:

Codice- Test.VerifyDcPromoCore.DCPromo.General.74

Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
Risoluzione e note Non specificare una modalità di funzionalità della foresta di Win2012 senza specificare anche una modalità di funzionalità del dominio di Win2012. Ecco un esempio che funziona senza errori:

Codice- -forestmode Win2012 -domainmode Win2012
Problema Se si seleziona Verifica nell'area di selezione Installa da elementi multimediali, non viene visualizzata alcuna operazione
Sintomi Quando si specifica un percorso di una cartella IFM, la selezione del pulsante Verifica non restituisce mai un messaggio o sembra eseguire alcuna operazione.
Risoluzione e note Il pulsante Verifica restituisce un errore solo in presenza di errori. In caso contrario, se è stato specificato un percorso IFM, il pulsante Avanti diventa selezionabile. Se è stato selezionato IFM, è necessario fare clic su Verifica per poter continuare.
Problema L'abbassamento di livello con Server Manager non restituisce alcun messaggio fino al termine dell'operazione.
Sintomi Quando si usa Server Manager per rimuovere il ruolo AD DS e abbassare di livello un controller di dominio, non vengono visualizzati messaggi fino al completamento dell'operazione, con esito positivo o negativo.
Risoluzione e note Si tratta di una limitazione di Server Manager. Per visualizzare messaggi sullo stato dell'operazione, usare il cmdlet ADDSDeployment di Windows PowerShell:

Codice- Uninstall-addsdomaincontroller
Problema La verifica dell'installazione dal supporto non rileva il supporto del controller di dominio di sola lettura per il controller di dominio scrivibile o viceversa.
Sintomi Quando si promuove un nuovo controller di dominio usando IFM e si forniscono supporti non corretti a IFM, ad esempio il supporto rodc per un controller di dominio scrivibile o un supporto RWDC per un controller di dominio di sola lettura, il pulsante Verifica non restituisce un errore. Successivamente, l'innalzamento di livello non riesce e viene visualizzato l'errore seguente:

Codice - Si è verificato un errore durante il tentativo di configurare questo computer come controller di dominio.
Impossibile avviare l'innalzamento di livello di un controller di dominio di sola lettura tramite l'opzione di installazione da supporti perché il database di origine specificato non è consentito. Per l'innalzamento di livello IFM di un controller di dominio è possibile utilizzare solo database di altri controller di dominio.
Risoluzione e note La verifica convalida solo l'integrità complessiva di IFM. Non specificare il tipo di IFM errato al server. Riavviare il server prima di ripetere l'operazione di innalzamento di livello con il supporto corretto.
Problema L'innalzamento di livello di un controller di dominio di sola lettura in un account computer precreato non riesce
Sintomi Quando si usa ADDSDeployment di Windows PowerShell per innalzare di livello un nuovo controller di dominio di sola lettura con un account computer preconfigurato, viene restituito l'errore:

Codice- Parameter set can't be resolved using the specified named parameters.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Risoluzione e note Non fornire parametri già definiti in un account del controller di dominio di sola lettura creato in precedenza. tra cui:

Codice:
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-sitename
-installdns
Problema Quando si seleziona/deseleziona "Riavvia automaticamente il server di destinazione se necessario" non accade nulla
Sintomi Quando si seleziona (o non si seleziona) l'opzione di Server Manager Riavvia automaticamente il server di destinazione se necessario durante l'abbassamento di livello di un controller di dominio tramite rimozione del ruolo, il server viene sempre riavviato, indipendentemente dall'opzione selezionata.
Risoluzione e note Si tratta di un comportamento intenzionale. Il processo di abbassamento di livello determina un riavvio del server indipendentemente da questa impostazione.
Problema Nel file Dcpromo.log viene visualizzato "[errore] l'impostazione della sicurezza sui file del server non riuscita con 2"
Sintomi L'abbassamento di livello di un controller di dominio viene completato senza errori, ma se si esamina il registro dcpromo viene visualizzato l'errore seguente:

Codice- [error] setting security on server files failed with 2
Risoluzione e note Ignorarlo, l'errore è previsto e cosmetico.
Problema La verifica dei prerequisiti con adprep non riesce e viene visualizzato l'errore "Impossibile eseguire la verifica dei conflitti dello schema di Exchange"
Sintomi Quando si tenta di alzare di livello un controller di dominio Windows Server 2012 in una foresta di Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, la verifica dei prerequisiti non riesce e viene visualizzato l'errore:

Codice - Verifica dei prerequisiti per la preparazione di Active Directory non riuscita. Impossibile eseguire la verifica dei conflitti dello schema di Exchange per il dominio<nome di dominio> (eccezione: il server RPC non è disponibile)

Il adprep.log mostra l'errore:

Codice- Adprep couldn't retrieve data from the server <domain controller>

tramite Strumentazione gestione Windows (WMI).
Risoluzione e note Il nuovo controller di dominio non può accedere a WMI tramite i protocolli DCOM/RPC sui controller di dominio esistenti. A oggi, vi sono tre cause per questo comportamento:

- Una regola del firewall blocca l'accesso ai controller di dominio esistenti.
- L'account DEL SERVIZIO DI RETE non è presente nel privilegio "Accesso come servizio" (SeServiceLogonRight) nei controller di dominio esistenti.
- NTLM è disabilitato nei controller di dominio, usando i criteri di sicurezza descritti in Introduzione alla restrizione dell'autenticazione NTLM.
Problema Durante la creazione di una nuova foresta di Servizi di dominio Active Directory viene sempre visualizzato un avviso relativo al DNS
Sintomi Durante la creazione di una nuova foresta di Servizi di dominio Active Directory e della zona DNS nel nuovo controller di dominio, viene sempre visualizzato un messaggio di avviso:

Codice - Errore rilevato nella configurazione DNS.
Nessuno dei server DNS utilizzati dal computer ha risposto entro l'intervallo di timeout.
(codice di errore 0x000005B4 "ERROR_TIMEOUT")
Risoluzione e note Ignorare. Questo avviso è intenzionale per il primo controller di dominio nel dominio radice di una nuova foresta, nel caso in cui si intenda puntare a un server e a una zona DNS esistenti.
Problema L'argomento di Windows PowerShell -whatif restituisce informazioni non corrette sul server DNS
Sintomi Se si usa l'argomento durante la -whatif configurazione di un controller di dominio con implicito o esplicito -installdns:$true, l'output risultante mostra:

Codice- DNS Server: No
Risoluzione e note Ignorare. Il DNS è installato e configurato correttamente.
Problema Dopo l'innalzamento di livello, l'accesso non riesce con "Spazio di archiviazione insufficiente per l'elaborazione di questo comando"
Sintomi Quando si innalza di livello un nuovo controller di dominio, si esegue la disconnessione e si tenta di eseguire l'accesso in modo interattivo, viene visualizzato l'errore seguente:

Codice - Memoria insufficiente per eseguire il comando
Risoluzione e note Il controller di dominio non è stato riavviato dopo l'innalzamento di livello, a causa di un errore o perché è stato specificato l'argomento -norebootoncompletionADDSDeployment di Windows PowerShell . Riavviare il controller di dominio.
Problema Il pulsante Avanti non è disponibile nella pagina Opzioni Controller di dominio
Sintomi Anche se è stata impostata una password, il pulsante Avanti nella pagina Opzioni Controller di dominio in Server Manager non è disponibile. Nel menu Nome sito non è elencato alcun sito.
Risoluzione e note Sono presenti più siti di Servizi di dominio Active Directory e in almeno uno mancano le subnet. Questo futuro controller di dominio appartiene a una di queste subnet. È necessario selezionare manualmente la subnet dal menu a discesa Nome sito. È anche consigliabile esaminare tutti i siti di Active Directory usando DSSITE. MSC o usare il comando di Windows PowerShell seguente per trovare tutte le subnet mancanti dei siti:

Codice : "get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq "*"} | format-table name"
Problema L'operazione di innalzamento o abbassamento di livello non riesce e viene visualizzato il messaggio "Impossibile avviare il servizio"
Sintomi Se si tenta di eseguire un'operazione di innalzamento di livello, abbassamento di livello o clonazione di un controller di dominio, viene visualizzato l'errore:

Codice - Non è possibile avviare il servizio perché è disabilitato o perché ad esso non è associato alcun dispositivo abilitato" (0x80070422)

L'errore può essere interattivo, un evento o scritto in un log, ad esempio dcpromoui.log o dcpromo.log.
Risoluzione e note Il servizio Ruolo server DS (DsRoleSvc) è disabilitato. Per impostazione predefinita, questo servizio viene installato durante l'installazione del ruolo di Servizi di dominio Active Directory ed è impostato sul tipo di avvio manuale. Non disabilitare questo servizio. Impostarlo di nuovo su Manuale e consentire alle operazioni del ruolo DS di avviarlo e arrestarlo su richiesta. Questo comportamento dipende dalla progettazione.
Problema Server Manager visualizza ancora l'avviso che indica che è necessario alzare di livello un controller di dominio
Sintomi Se si alza di livello un controller di dominio usando il controller di dominio deprecato dcpromo.exe /unattend o si aggiorna un controller di dominio Windows Server 2008 R2 esistente sul posto a Windows Server 2012, Server Manager visualizza comunque l'attività di configurazione post-distribuzione Alzare di livello questo server a un controller di dominio.
Risoluzione e note Selezionare il collegamento dell'avviso post-distribuzione per non visualizzare più il messaggio. Questo comportamento è cosmetico e previsto.
Problema Manca l'installazione del ruolo dallo script di distribuzione di Server Manager
Sintomi Se si alza di livello un controller di dominio usando Server Manager e si salva lo script di distribuzione di Windows PowerShell, non include il cmdlet e gli argomenti di installazione del ruolo (install-windowsfeature -name ad-domain-services -includemanagementtools). Senza il ruolo, non è possibile configurare il controller di dominio.
Risoluzione e note Aggiungere manualmente il cmdlet e gli argomenti a qualsiasi script. Questo comportamento è previsto e da progettazione.
Problema Allo script di distribuzione di Server Manager non è assegnato il nome PS1
Sintomi Se si usa Server Manager per alzare di livello un controller di dominio e si salva lo script di distribuzione di Windows PowerShell, il file viene denominato con un nome temporaneo casuale e non come file PS1.
Risoluzione e note Rinominare manualmente il file. Questo comportamento è previsto e da progettazione.
Problema Dcpromo /unattend consente livelli di funzionalità non supportati
Sintomi Se si alza di livello un controller di dominio usando dcpromo /unattend con il file di risposte di esempio seguente:

Codice:

[DCInstall]
NewDomain=Forest

ReplicaOrNewDomain=Domain

NewDomainDNSName=corp.contoso.com

SafeModeAdminPassword=Safepassword@6

DomainNetbiosName=corp

DNSOnNetwork=Yes

AutoConfigDNS=Yes

RebootOnSuccess=NoAndNoPromptEither

RebootOnCompletion=No

DomainLevel=0

ForestLevel=0

L'innalzamento di livello ha esito negativo con gli errori seguenti nel dcpromoui.log:

Codice - dcpromoui EA4.5B8 0089 13:31:50.783 Immettere CArgumentsSpec::ValidateArgument DomainLevel

dcpromoui EA4.5B8 008A 13:31:50.783 Il valore per DomainLevel è 0

dcpromoui EA4.5B8 008B 13:31:50.783 Il codice di uscita è 77

dcpromoui EA4.5B8 008C 13:31:50.783 L'argomento specificato non è valido.

dcpromoui EA4.5B8 008D 13:31:50.783 chiusura del registro

dcpromoui EA4.5B8 008B 0032 13:31:50.830 Il codice di uscita è 77

Il livello 0 corrisponde a Windows 2000, che non è supportato in Windows Server 2012.
Risoluzione e note Non usare il deprecato dcpromo /unattend e comprendere che consente di specificare impostazioni non valide che in un secondo momento hanno esito negativo. Questo comportamento è previsto e da progettazione.
Problema Durante la creazione dell'oggetto impostazioni NTDS, l'operazione di innalzamento di livello si blocca e non viene mai completata
Sintomi Se si alza di livello un controller di dominio di replica o un controller di dominio di sola lettura, l'operazione raggiunge la fase di "creazione dell'oggetto impostazioni NTDS" e non continua, né viene completata. Anche l'aggiornamento del registro viene interrotto.
Risoluzione e note Si tratta di un problema noto causato dall'immissione delle credenziali dell'account amministratore locale predefinito con una password corrispondente all'account amministratore di dominio predefinito. Si genera quindi un errore nel modulo di gestione dell'installazione Core, che invece di visualizzare un messaggio di errore attende in modo indefinito (quasi a ciclo continuo). Si tratta di un comportamento previsto, sebbene indesiderato.

Per correggere l'errore nel server:

1. Riavviarlo.

1. In Active Directory eliminare l'account computer membro del server (non sarà ancora un account del controller di dominio)

2. In tale server, disgiunti forzatamente dal dominio

3. In tale server rimuovere il ruolo Servizi di dominio Active Directory.

4. Riavviare

5. È stato letto il ruolo Servizi di dominio Active Directory e la promozione annullata, assicurandosi di fornire sempre le <credenziali formattate domain>\<admin> per l'innalzamento di livello del controller di dominio e non solo l'account amministratore locale predefinito.