windows server 2016 下域环境的搭建(完整版)
- windows server 2016 下域环境的搭建
- 在搭建之前简单介绍一下基础知识:
- 一、环境介绍 :
- 1.这里用拓扑图进行展示:
- 2.所有环境配置如下
- 二、搭建主域:
- 一. 创建主域
- 1.设置ip
- 2.点击服务器管理器–>添加角色和功能–>下一步–>选择基于角色或基于功能的安装之后点击下一步–>下一步
- 3.勾选Active Directory 域服务–>点击添加功能–>下一步
- 4.直到确认这步点击安装等待
- 5.成功安装之后点击将此服务器提升为域控制器
- 6.选择添加新林–>并定义根域名–>下一步
- 7.直接点击下一步
- 8.检查此计算机是否满足安装AD 域服务器的条件,满足可点击安装
- 二. 创建域普通用户:
- 1.配置IP:
- 2.点击计算机–>右键属性更改–>加入ice.com主域–>点击确定,输入主域的账户名与密码为:administrator bing…123
- 三、搭建子域
- 一. 创建子域
- 1.配置IP:
- 2.点击添加角色功能和向导选择ad域服务(与上一步相似)
- 3.开始配置选择将域添加到现有林
- 4.点默认下一步…直到安装界面点击安装
- 5.安装成功之后自动重启计算机
- 二. 创建子域用户:
- 1.配置IP:
- 2.点击我的电脑右键属性–>选择域
- 3.加入成功:
- 四、搭建辅域
- 1.安装完子域之后,为避免出现单点故障,需要再部署一台辅域控制器为备用
- 2.先与主域用户配置同样的方法(加入ice.com域):
- 3.点击服务器管理器–>添加角色和功能–>与搭建子域操作类似,添加域服务
- 4.点击下一步直到等待安装
- 5.点击提升为域控制器:
- 6.这里将域控制器添加到现有的域,凭证为主域的用户名和密码
- 7.这里都为默认,填写完密码进行下一步
- 8.路径都为默认,直接下一步
- 9.先决条件成功之后 直接安装即可
- 10.最后辅域控服务器重启后检查DNS服务器是否已获取到主域控制器传输过来的DNS服务器配置,检查正常后需要把辅域控制器的DNS服务器_msds.ice.com和ice.com的起始授权机构(S○A)区域传送设置成允许。
- 五、搭建独立域
- 1.创建财务部系统
- 2.创建财务部存放核心资料系统
- 六、总结
- 七、排查域控制器部署问题
- 故障排除简介
- 用于故障排除的内置日志
- 用于排查域控制器配置问题的工具和命令
- 域控制器配置故障排除的一般方法
- 1. 语法问题是否导致了错误?
- 2. 该错误是否是先决条件故障?
- 3. 升级时的错误是否严重?
- 排查事件和错误消息
- 1. 使用服务器管理器时,请在自动重新启动前的 10 秒内检查升级结果。
- 2. 使用 ADDSDeployment Windows PowerShell时,请在自动重新启动之前的 10 秒内检查升级结果。 或者,选择不在完成后自动重启。 应添加管道, format-list 使输出更易于阅读。 例如:
- 3. 在任何方案中,检查 dcpromo.log 和 dcpromoui.log。
- 升级和降级成功代码
- 升级和降级失败代码
- 已知问题和常见支持方案
- 1. 问题
- 症状
- 解决方法和说明
- 2. 问题
- 症状
- 解决方法和说明
- 3. 问题
- 症状
- 解决方法和说明
- 4. 问题
- 症状
- 解决方法和说明
- 5. 问题
- 症状
- 解决方法和说明
- 6. 问题 域控制器升级期间显示两次 DNS 委派警告
- 症状
- 解决方法和说明
- 7. 问题
- 症状
- 解决方法和说明
- 8. 问题
- 症状
- 解决方法和说明
- 9. 问题
- 症状
- 解决方法和说明
- 10. 问题
- 症状
- 解决方法和说明
- 11. 问题
- 症状
- 解决方法和说明
- 12. 问题
- 症状
- 解决方法和说明
- 13. 问题
- 症状
- 解决方法和说明
- 14. 问题
- 症状
- 解决方法和说明
- 15. 问题
- 症状
- 解决方法和说明
- 16. 问题
- 症状
- 解决方法和说明
- 17. 问题
- 症状
- 解决方法和说明
- 18. 问题
- 症状
- 解决方法和说明
- 19. 问题
- 症状
- 解决方法和说明
- 20. 问题
- 症状
- 解决方法和说明
- 21. 问题
- 症状
- 解决方法和说明
- 22. 问题
- 症状
- 解决方法和说明
- 23. 问题
- 症状
- 解决方法和说明
- 24. 问题
- 症状
- 解决方法和说明
- 25. 问题
- 症状
- 解决方法和说明
- 26. 问题
- 症状
- 解决方法和说明
windows server 2016 下域环境的搭建
在搭建之前简单介绍一下基础知识:
1.工作组:默认模式,人人平等,不方便管理
2.域:人人不平等,集中管理,统一管理
-
域中计算机的分类:
域控制器、成员服务器、客户机、独立服务器 -
域的部署:
安装域控制器-就生成了域环境 安装了活动目录-就生成了域控制器
活动目录:Active Directory =AD是指域环境中提供目录服务的组件。目录用于存储有关网络对象的信息。活动目录存储的是网络中所有资源的快捷方式,用户可以通过寻找快捷方式来定位资源。
-
活动目录:
AD
特点:集中管理/统一管理
本次搭建过程需要在虚拟机下进行,需要虚拟机软件(例如VMware),windows 2016 Server(作为域控制器),windows 7 ,windows server 2008 R2.
这里需要注意以下所有环境都是属于链接克隆的,所以可能会遇到SID相同的错误,可参考http://www.donny.com.cn/tech/201908163.html来进行解决。
域创建过程中遇到的错误可参考:排查域控制器部署问题
一、环境介绍
二、搭建主域
1.创建主域
2.创建域普通用户
三、搭建子域
1.创建子域
2.创建子域用户
四、搭建辅域
五、搭建独立域
1.创建财务部电脑系统
2.创建财务部电脑核心资料系统
六、总结
七、排查域控制器部署问题
一、环境介绍 :
1.这里用拓扑图进行展示:
2.所有环境配置如下
(1)主域:
计算机全名:AD01
域:ice.com
ip:10.10.88.6 255.255.255.0
默认网关:10.10.88.1
首选dns服务器:10.10.88.6
DNS2:10.10.88.8
计算机名:AD01
域:ice.com
用户名:ICE\Administrator
(2)辅域:
计算机全名:fuyu.ice.com
域:ice.com
ip:10.10.88.8 255.255.255.0
默认网关:10.10.88.1
首选dns服务器:10.10.88.8
DNS2:10.10.88.6
(3)域用户:
计算机名:user1.ice.com
域:ice.com
ip:10.10.88.104 255.255.255.0
默认网关:10.10.88.1
首选dns服务器:10.10.88.6
用户名:USER0\ice
计算机全名:USER0.ice.com
(4)子域:
计算机全名:ziyu.ziyu.ice.com
域:ziyu.ice.com
ip:10.10.88.12 255.255.255.0
默认网关:10.10.88.1
首选dns服务器:10.10.88.6
DNS2:
10.10.88.6
财务部共享:IP 10.10.99.5 255.255.255.0
默认网关:10.10.99.1
首选DNS服务器:10.10.99.5
用户名:ZIYU0\administrator
(5)子域用户:
计算机名:
ip:10.10.88.22 255.255.255.0
默认网关:10.10.88.1
首选dns服务器:10.10.88.6
外网ip:
(6)财务部电脑:
ip:10.10.99.22 255.255.255.0
默认网关:10.10.99.1
DNS:10.10.99.5
ip:172.16.5.2 255.255.255.0
默认网关:172.16.5.1
DNS:172.16.5.2
(7)财务部存放核心资料:
IP:172.16.5.5
子网掩码:255.255.255.0
网关:172.16.5.1
DNS1:172.16.5.2
二、搭建主域:
一. 创建主域
1.设置ip
2.点击服务器管理器–>添加角色和功能–>下一步–>选择基于角色或基于功能的安装之后点击下一步–>下一步
3.勾选Active Directory 域服务–>点击添加功能–>下一步
4.直到确认这步点击安装等待
5.成功安装之后点击将此服务器提升为域控制器
6.选择添加新林–>并定义根域名–>下一步
7.直接点击下一步
8.检查此计算机是否满足安装AD 域服务器的条件,满足可点击安装
最后重启计算机即可!
二. 创建域普通用户:
1.配置IP:
2.点击计算机–>右键属性更改–>加入ice.com主域–>点击确定,输入主域的账户名与密码为:administrator bing…123
三、搭建子域
一. 创建子域
1.配置IP:
2.点击添加角色功能和向导选择ad域服务(与上一步相似)
3.开始配置选择将域添加到现有林
4.点默认下一步…直到安装界面点击安装
5.安装成功之后自动重启计算机
二. 创建子域用户:
1.配置IP:
2.点击我的电脑右键属性–>选择域
3.加入成功:
四、搭建辅域
1.安装完子域之后,为避免出现单点故障,需要再部署一台辅域控制器为备用
配置ip:
2.先与主域用户配置同样的方法(加入ice.com域):
3.点击服务器管理器–>添加角色和功能–>与搭建子域操作类似,添加域服务
4.点击下一步直到等待安装
5.点击提升为域控制器:
6.这里将域控制器添加到现有的域,凭证为主域的用户名和密码
7.这里都为默认,填写完密码进行下一步
8.路径都为默认,直接下一步
9.先决条件成功之后 直接安装即可
10.最后辅域控服务器重启后检查DNS服务器是否已获取到主域控制器传输过来的DNS服务器配置,检查正常后需要把辅域控制器的DNS服务器_msds.ice.com和ice.com的起始授权机构(S○A)区域传送设置成允许。
点击工具选择DNS
与上一步操作相同,选择到所有服务器之后点击确定
安装辅域控制器,如果主域控制器DNS和AD集成,辅域控制器会在安装AD后自动同步DNS记录,到此辅域就安装完成!
五、搭建独立域
1.创建财务部系统
配置ip:
2.创建财务部存放核心资料系统
配置ip:
六、总结
域环境搭建到此结束,接下来会使用以上搭建成功的环境来进行内网渗透,本章结束。
七、排查域控制器部署问题
本文介绍有关排查域控制器配置和部署问题的详细方法。
适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016
故障排除简介
用于故障排除的内置日志
内置日志是解决域控制器升级和降级问题的最重要工具。 默认情况下,会启用和配置所有这些日志,以实现最大详细程度。
阶段 | Log |
---|---|
服务器管理器或 ADDS部署Windows PowerShell操作 | - %systemroot%\debug\dcpromoui.log - %systemroot%\debug\dcpromoui.log* |
域控制器的安装/升级 | - %systemroot%\debug\dcpromo.log - %systemroot%\debug\dcpromo*.log - \事件查看器Windows 日志\系统 - \事件查看器Windows 日志\应用程序 - \事件查看器应用程序和服务日志\目录服务 - \事件查看器应用程序和服务日志文件\复制服务 - \事件查看器应用程序和服务日志\DFS 复制 |
林或域升级 | - %systemroot%\debug\adprep<datetime>\adprep.log - %systemroot%\debug\adprep<datetime>\csv.log - %systemroot%\debug\adprep<datetime>\dspecup.log - %systemroot%\debug\adprep<datetime>\ldif.log* |
服务器管理器 ADDS部署Windows PowerShell部署引擎 | - \事件查看器应用程序和服务日志\Microsoft\Windows\DirectoryServices-Deployment\Operational |
Windows 服务 | - %systemroot%\Logs\CBS* - %systemroot%\servicing\sessions\sessions.xml - %systemroot%\winsxs\poqexec.log - %systemroot%\winsxs\pending.xml |
用于排查域控制器配置问题的工具和命令
若要排查日志未解释的问题,请使用以下工具作为起点:
-
Dcdiag.exe
-
Repadmin.exe
-
AutoRuns.exe、任务管理器和 MSInfo32.exe
-
网络监视器 3.4 (或第三方网络捕获和分析工具)
域控制器配置故障排除的一般方法
1. 语法问题是否导致了错误?
a. 是否键入错误或忘记向 ADDSDeployment Windows PowerShell提供参数? 例如,如果使用 ADDSDeployment Windows PowerShell,是否忘记添加具有有效名称的必需参数-domainname?
b. 仔细检查Windows PowerShell控制台输出,确切了解无法分析提供的命令行的原因。
2. 该错误是否是先决条件故障?
a. 许多以前显示为致命升级结果的错误现在由先决条件检查程序阻止。
b. 仔细检查先决条件错误的文本,它们提供了解决大多数问题的必要指导,因为它们是受控方案。
3. 升级时的错误是否严重?
a. 仔细检查结果:许多错误具有密码错误、网络名称解析或关键的脱机域控制器等解释。
b. 检查 Dcpromoui.log 和 dcpromo.log 中是否有输出中显示的错误,然后从它们向后工作以查看失败原因的指示。
i. 始终与工作示例日志进行比较
ii. 仅当结果指示扩展架构或准备林或域时,才检查 ADPrep 日志中是否存在错误。
iii. 仅当 Dcpromoui.log 缺少详细信息或由于配置过程中未经处理的异常而任意结束时,才检查 DirectoryServices-Deployment 事件日志中是否存在错误。
c. 检查目录服务、系统和应用程序事件日志,了解配置问题的其他指示器。 通常,域控制器升级只是影响所有分布式系统的其他网络错误配置的症状。
d. 使用 dcdiag.exe 和 repadmin.exe 来验证整个林运行状况,并指示可能会阻止域控制器进一步升级的细微错误配置。
e. 使用 AutoRuns.exe、任务管理器或 MSinfo32.exe 来检查计算机中可能存在干扰的第三方软件。
删除第三方软件 (不禁用该软件;不会阻止驱动程序加载) 。
f. 在无法升级的计算机上安装 NetMon 3.4 以及复制伙伴域控制器,并使用双面网络捕获分析升级过程。
i. 将此与工作实验室环境进行比较,以了解正常提升的外观以及失败的位置。
ii. 此时,这些错误可能与林对象、非默认安全更改或网络有关,并且此新域控制器是 DNS、防火墙、主机入侵保护软件或其他外部因素的错误配置的受害者。
排查事件和错误消息
域控制器升级和降级始终在操作结束时返回代码,与大多数程序不同,不返回零表示成功。 若要查看域控制器配置末尾的代码,有以下几个选项:
1. 使用服务器管理器时,请在自动重新启动前的 10 秒内检查升级结果。
2. 使用 ADDSDeployment Windows PowerShell时,请在自动重新启动之前的 10 秒内检查升级结果。 或者,选择不在完成后自动重启。 应添加管道, format-list 使输出更易于阅读。 例如:
Install-addsdomaincontroller <options> -norebootoncompletion:$true | format-list
先决条件验证和验证中的错误不会继续重启,因此在所有情况下都可见。 例如:
3. 在任何方案中,检查 dcpromo.log 和 dcpromoui.log。
备注:
由于更高操作系统中的操作系统和域控制器配置更改,下面列出的某些错误不再可能。 新的 ADDSDeployment Windows PowerShell 代码也可防止某些错误,但dcpromo.exe /unattend不会;这是将当前所有自动化从已弃用的 DCPromo 切换到 ADDSDeployment Windows PowerShell的另一个令人信服的原因。
升级和降级成功代码
错误代码 | 说明 | 注意 |
---|---|---|
1 | 退出,成功 | 你仍必须重新启动,这只会指出自动重启标志已删除。 |
2 | 退出、成功、需要重新启动 | |
3 | 退出,成功,出现非关键故障 | 通常在返回 DNS 委派警告时看到。 如果未配置 DNS 委派,请使用:-creatednsdelegation:$false. |
4 | 退出,成功,出现非关键故障,需要重新启动 | 通常在返回 DNS 委派警告时看到。 如果未配置 DNS 委派,请使用:-creatednsdelegation:$false. |
升级和降级失败代码
升级和降级返回以下失败消息代码。 还可能存在扩展错误消息;始终仔细阅读整个错误,而不仅仅是数字部分。
错误代码 | 说明 | 建议的解决方法 |
---|---|---|
11 | 域控制器升级已在运行 | 不要为同一目标计算机同时运行多个域控制器升级实例。 |
12 | 用户必须是管理员 | 以内置管理员组的成员身份登录,并确保使用 UAC 进行提升。 |
13 | 已安装证书颁发机构 | 无法降级此域控制器,因为它也是证书颁发机构。 在仔细清点 CA 的使用情况之前,请勿删除 CA。 如果它正在颁发证书,则删除角色将导致中断。 不建议在域控制器上运行 CA。 |
14 | 在安全启动模式下运行 | 将服务器启动到正常模式。 |
15 | 角色更改正在进行或需要重新启动 | 升级之前,由于先前的配置更改) ,必须重启服务器 (。 |
16 | 在错误的平台上运行 | 不太可能收到此错误。 |
17 | 不存在 NTFS 5 驱动器 | 此错误在 Windows Server 2012中是不可能的,这要求至少使用 NTFS 格式化 %systemdrive%。 |
18 | 温迪尔空间不足 | 使用 cleanmgr.exe释放 %systemdrive% 卷上的空间。 |
19 | 名称更改挂起,需要重新启动 | 请重新启动服务器。 |
20 | 计算机名称语法无效 | 使用有效名称重命名计算机。 |
21 | 此域控制器持有 FSMO 角色、GC 和/或 DNS 服务器 | 使用 -forceremoval 时添加 -demoteoperationmasterrole 。 |
22 | 需要安装 TCP/IP 或无法正常运行 | 验证计算机是否已配置、绑定 TCP/IP 并正常工作。 |
23 | 需要先配置 DNS 客户端 | 将新的域控制器添加到域时设置主 DNS 服务器。 |
24 | 提供的凭据无效或缺少必需元素 | 验证用户名和密码是否正确。 |
25 | 找不到指定域的域控制器 | 验证 DNS 客户端设置、防火墙规则。 |
26 | 无法从林中读取域列表 | 验证 DNS 客户端设置、LDAP 功能和防火墙规则。 |
27 | 缺少域名 | 升级或降级时指定域。 |
28 | 域名错误 | 升级时选择其他有效的 DNS 域名。 |
29 | 父域不存在 | 验证在创建新的子域或树域时指定的父域。 |
30 | 域不在林中 | 验证提供的域名。 |
31 | 子域已存在 | 指定其他域名。 |
32 | NetBIOS 域名错误 | 指定有效的 NetBIOS 域名。 |
33 | IFM 文件的路径无效 | 验证“从媒体安装”文件夹的路径。 |
34 | IFM 数据库错误 | 为此操作系统和角色使用正确的“从媒体安装”, (相同操作系统版本、相同类型的域控制器 - RODC 与 RWDC) 。 |
35 | 缺少 SYSKEY | 从媒体安装是加密的,必须提供有效的 SYSKEY 才能使用它。 |
37 | NTDS 数据库或其日志的路径无效 | 将数据库和日志的路径更改为固定的 NTFS 卷,而不是映射的驱动器或 UNC 路径。 |
38 | 卷没有足够的空间用于 NTDS 数据库或日志 | 使用 cleanmgr.exe释放空间,添加更多磁盘空间,通过将不必要的数据移动到其他位置手动清除空间。 |
39 | SYSVOL 的路径无效 | 将 SYSVOL 文件夹的路径更改为固定的 NTFS 卷,而不是映射的驱动器或 UNC 路径。 |
40 | 站点名称无效 | 提供存在的站点名称。 |
41 | 需要为安全模式指定密码 | 为 DSRM 帐户提供密码,无论如何配置密码策略,它都不能为空。 |
42 | 安全模式密码不符合仅升级 (条件) | 为符合密码策略配置规则的 DSRM 帐户提供密码。 |
43 | 管理员密码不符合条件 (仅降级) | 为符合密码策略配置规则的本地管理员帐户提供密码。 |
44 | 林的指定名称无效 | 指定有效的林根 DNS 域名。 |
45 | 具有指定名称的林已存在 | 选择其他林根 DNS 域名。 |
46 | 树的指定名称无效 | 指定有效的树 DNS 域名。 |
47 | 具有指定名称的树已存在 | 选择其他树 DNS 域名。 |
48 | 树名称不适合林结构 | 选择其他树 DNS 域名。 |
49 | 指定的域不存在 | 验证键入的域名。 |
50 | 在降级期间,检测到最后一个域控制器,即使它不是,或最后一个域控制器已指定,但它未指定 | 除非为 true,否则不要 在域 (-lastdomaincontrollerindomain ) 中指定最后一个域控制器。 如果这确实是最后一个域控制器并且存在虚拟域控制器元数据,则使用 -ignorelastdcindomainmismatch 替代 。 |
51 | 此域控制器上存在应用分区 | 指定 以 () -removeapplicationpartitions 删除应用程序分区。 |
52 | 缺少必需的命令行参数 (即必须在命令行上指定应答文件) | 只看到已 dcpromo /unattend 弃用的 。 请参阅旧文档。 |
53 | 升级/降级失败,必须重启计算机才能清理 | 检查扩展错误和日志。 |
54 | 升级/降级失败 | 检查扩展错误和日志。 |
55 | 升级/降级已被用户取消 | 检查扩展错误和日志。 |
56 | 升级/降级已被用户取消,必须重启计算机才能清理 | 检查扩展错误和日志。 |
58 | 在 RODC 升级期间必须指定站点名称 | 必须为 RODC 指定站点,它不会自动检测像 RWDC 这样的站点。 |
59 | 在降级期间,此域控制器是其中一个区域的最后一个 DNS 服务器 | 指定这是 域中的最后一个 DNS 服务器 ,或使用 -ignorelastdnsserverfordomain 。 |
60 | 运行 Windows Server 2008 或更高版本的域控制器必须存在于域中才能提升 RODC | 升级至少一个 Windows Server 2008 或更高版本的可写域控制器。 |
61 | 无法在尚未托管 DNS 的现有域中安装带有 DNS 的Active Directory 域服务 | 无法获取此错误。 |
62 | 应答文件没有 [DCInstall] 部分 | 只看到已 dcpromo /unattend 弃用的 。 请参阅旧文档。 |
63 | 林功能级别低于 Windows Server 2003 | 将林功能级别至少提高到 Windows Server 2003 Native。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
64 | 由于组件二进制检测失败,促销失败 | 安装 AD DS 角色。 |
65 | 由于组件二进制安装失败,促销失败 | 安装 AD DS 角色。 |
66 | 由于操作系统检测失败,促销失败 | 检查扩展错误和日志;服务器无法返回其操作系统版本。 计算机可能需要重新安装,因为它的整体运行状况非常可疑。 |
68 | 复制伙伴无效 | 使用 repadmin.exe 或Get-ADReplication\* Windows PowerShell验证合作伙伴域控制器运行状况。 |
69 | 所需的端口已被其他一些应用程序使用 | 使用 netstat.exe -anob 查找错误地分配给保留 AD DS 端口的进程。 |
70 | 林根域控制器必须是 GC | 只看到已 dcpromo /unattend 弃用的 。 请参阅旧文档。 |
71 | DNS 服务器已安装 | 如果已安装 DNS 服务, -installDNS 则不要指定安装 DNS () 。 |
72 | 计算机在非管理员模式下运行远程桌面服务 | 无法升级此域控制器,因为它也是为两个以上的管理员用户配置的 RDS 服务器。 在仔细清点 RDS 的使用情况之前,请勿删除 RDS。 如果应用程序或最终用户正在使用它,删除会导致中断。 |
73 | 指定的林功能级别无效。 | 指定有效的林功能级别。 |
74 | 指定的域功能级别无效。 | 指定有效的域功能级别。 |
75 | 无法确定默认密码复制策略。 | 验证 RODC 密码复制策略是否存在且可访问。 |
76 | 指定的复制/非复制安全组无效 | 在指定密码复制策略时,验证是否已键入有效的域和用户帐户。 |
77 | 指定的参数无效 | 检查扩展错误和日志。 |
78 | 未能检查 Active Directory 林 | 检查扩展错误和日志。 |
79 | RODC 无法升级,因为未执行 rodcprep | 使用 Windows Server 2012 准备林或使用 adprep.exe /rodcprep 。 |
80 | 尚未执行 Domainprep | 使用 Windows Server 2012 准备域或使用 adprep.exe /domainprep 。 |
81 | 尚未执行 Forestprep | 使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep 。 |
82 | 林架构不匹配 | 使用 Windows Server 2012 准备林或使用 adprep.exe /forestprep 。 |
83 | 不支持的 SKU | 不太可能收到此错误。 |
84 | 无法检测域控制器帐户 | 验证现有域控制器是否设置了正确的用户帐户控制属性。 |
85 | 无法为阶段 2 选择域控制器帐户 | 如果指定了“使用现有帐户”,但没有找到帐户,或者在帐户查找过程中出现错误,则返回 。 确保提供了正确的 RODC 暂存帐户。 |
86 | 需要运行第 2 阶段升级 | 如果升级其他域控制器,但存在现有帐户且未指定“允许重新安装”,则返回 。 |
87 | 存在冲突类型的域控制器帐户 | 如果不尝试附加到未占用的域控制器,请在升级前重命名计算机。 必须使用 和 正确的只读或可写参数附加到未占用的域控制器帐户 -useexistingaccount ,具体取决于帐户类型。 |
88 | 指定的服务器管理员无效 | 为 RODC 管理员委派指定了无效帐户。 验证指定的帐户是否为有效的用户或组。 |
89 | 指定域的 RID 主机处于脱机状态。 | 使用 netdom.exe query fsmo 检测 RID 主机。 使其联机并使其可供你推广的域控制器访问。 |
90 | 域命名主机处于脱机状态。 | 使用 netdom.exe query fsmo 检测域命名母版。 使其联机并使其可供你推广的域控制器访问。 |
91 | 未能检测到进程是否为 wow64 | 无法再出现此错误,操作系统为 64 位。 |
92 | 不支持 Wow64 进程 | 无法再出现此错误,操作系统为 64 位。 |
93 | 域控制器服务未针对非强制降级运行 | 启动 AD DS 服务。 |
94 | 本地管理员密码不符合要求:空白或不需要 | 提供非空密码,并确保本地密码策略需要密码。 |
95 | 无法在存在实时 RODC 的域中降级最后一个 Windows Server 2008 或更高版本的域控制器 | 必须先降级所有 RODC,然后才能降级所有 Windows Server 2008 或更高版本的可写域控制器。 |
96 | 无法卸载 DS 二进制文件 | 只看到已 dcpromo /unattend 弃用的 。 请参阅旧文档。 |
97 | 林功能级别版本高于子域操作系统的版本 | 提供与林功能级别相同或更高的子域。 |
98 | 组件二进制文件安装/卸载正在进行中。 | 只看到已 dcpromo /unatten d弃用的 。 请参阅旧文档。 |
99 | 林功能级别太低 (错误仅Windows Server 2012) | 将林功能级别提升到至少为 Windows Server 2003 本机。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
100 | 域功能级别太低 (错误仅Windows Server 2012) | 将域功能级别至少提高到本机 Windows Server 2003。 Windows 2000 和 Windows NT 4.0 不再受支持操作系统。 |
已知问题和常见支持方案
以下是在Windows Server 2012开发过程中看到的常见问题。 所有这些问题都是“设计使然”的,并且具有有效的解决方法或更适当的技术来避免这些问题。 其中许多行为在 Windows Server 2008 R2 和更早的操作系统中是相同的,但重写 AD DS 部署可提高对问题的敏感性。
1. 问题
降级域控制器会让 DNS 在没有任何区域的情况下运行
症状
服务器仍响应 DNS 请求,但没有区域信息
解决方法和说明
删除 AD DS 角色时,还要删除 DNS 服务器角色或将 DNS 服务器服务设置为禁用。 请记住,将 DNS 客户端指向另一台服务器而不是本身。 如果使用 Windows PowerShell,请在降级服务器后运行以下命令:
代码
- uninstall-windowsfeature dns
或
代码
- set-service dns -starttype disabled
stop-service dns
2. 问题
将Windows Server 2012提升到现有单标签域不会配置 updatetopleveldomain=1 或 allowsinglelabeldnsdomain=1
症状
DNS 动态记录注册不会发生
解决方法和说明
使用 Netlogon 和 DNS 组策略设置这些值。 Microsoft 开始阻止在 Windows Server 2008 中创建单标签域;可以使用 ADMT 或域重命名工具更改为已批准的 DNS 域结构。
3. 问题
如果存在预先创建的未占用的 RODC 帐户,则域中最后一个域控制器的降级会失败
症状
降级失败并显示消息:
Dcpromo.General.54
Active Directory 域服务找不到其他Active Directory 域控制器来传输目录分区 CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com 中的剩余数据。
“指定域名的格式无效。”
解决方法和说明
使用 Dsa.msc 或 Ntdsutil.exe 元数据清理,在降级域之前,请删除所有剩余的预创建 RODC 帐户。
4. 问题
自动林和域准备不会运行 GPPREP
症状
组策略、策略的结果集 (RSOP) 规划模式的跨域规划功能需要更新现有 GP 的文件系统和 Active Directory 权限。
如果没有 Gpprep,则不能跨域使用 RSOP 规划。
解决方法和说明
针对以前未为 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 准备的所有域手动运行 adprep.exe /gpprep
。 管理员应在域的历史记录中仅运行一次 GPPrep,而不是每次升级。 它不是由自动 adprep 运行的,因为如果你已经设置了足够的自定义权限,则会导致所有 SYSVOL 内容在所有域控制器上重新复制。
5. 问题
当指向 UNC 路径时,从媒体安装无法验证
症状
返回错误:
代码 - 无法验证媒体路径。 调用具有“2”参数的“GetDatabaseInfo”的异常。 文件夹无效。
解决方法和说明
必须将 IFM 文件存储在本地磁盘上,而不是远程 UNC 路径上。 此有意阻止阻止由于网络中断而导致的部分服务器升级。
6. 问题 域控制器升级期间显示两次 DNS 委派警告
症状
使用 ADDSDeployment Windows PowerShell升级时返回两次警告:
代码- A delegation for this DNS server can't be created because the authoritative parent zone can't be found or it doesn't run Windows DNS server. If you're integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain. Otherwise, no action is required.
解决方法和说明
忽略。 ADDSDeployment Windows PowerShell首先在先决条件检查期间显示警告,然后在配置域控制器期间再次显示警告。 如果不希望配置 DNS 委派,请使用 参数:
代码- -creatednsdelegation:$false
不要跳过先决条件检查以禁止显示此消息。
7. 问题
在配置过程中指定 UPN 或非域凭据会返回误导性错误
症状
服务器管理器返回错误:
代码 - 调用具有“6”参数的“DNSOption”的异常
ADDSDeployment Windows PowerShell返回错误:
代码- Verification of user permissions failed. You must supply the name of the domain to which this user account belongs.
解决方法和说明
确保以 domain<user> 的形式<提供有效的域>凭据。
8. 问题
使用Dism.exe删除 DirectoryServices-DomainController 角色会导致服务器无法启动
症状
如果在正常降级域控制器之前使用 Dism.exe 删除 AD DS 角色,服务器将不再正常启动并显示错误:
代码 - 状态:0x000000000
信息:发生意外错误。
解决方法和说明
使用 Shift+F8 启动到目录服务修复模式。 重新添加 AD DS 角色,然后强制降级域控制器。 或者,从备份还原系统状态。 请勿使用 Dism.exe 删除 AD DS 角色;实用工具不了解域控制器。
9. 问题
将林模式设置为 Win2012 时,安装新林失败
症状
使用 ADDSDeployment Windows PowerShell升级将返回错误:
代码- Test.VerifyDcPromoCore.DCPromo.General.74
Verification of prerequisites for Domain Controller promotion failed. The specified domain functional level is invalid.
解决方法和说明
如果不同时指定 Win2012 的域功能模式,则不要指定林功能模式 Win2012。 下面是一个不会出错的示例:
代码- -forestmode Win2012 -domainmode Win2012
10. 问题
在“从媒体安装”选择区域中选择 “验证 ”显示为不执行任何操作
症状
指定 IFM 文件夹的路径时,选择“ 验证 ”按钮永远不会返回消息或显示执行任何操作。
解决方法和说明
“ 验证 ”按钮仅在出现问题时返回错误。 否则,如果提供了 IFM 路径,则它会选择 “ 下一步 ”按钮。 如果选择了 IFM,则必须选择“ 验证 ”以继续操作。
11. 问题
使用服务器管理器降级在完成之前不会提供反馈。
症状
使用 服务器管理器 删除 AD DS 角色并降级域控制器时,在降级完成或失败之前,不会提供持续的反馈。
解决方法和说明
这是服务器管理器的限制。 对于反馈,请使用 ADDSDeployment Windows PowerShell cmdlet:
代码- Uninstall-addsdomaincontroller
12. 问题
从媒体验证安装不会检测到为可写域控制器提供的 RODC 介质,反之亦然。
症状
在使用 IFM 升级新域控制器并向 IFM 提供不正确的媒体(例如,可写域控制器的 RODC 媒体或 RODC 的 RWDC 媒体)时, “验证 ”按钮不会返回错误。 稍后,升级失败并出现错误:
代码 - 尝试将此计算机配置为域控制器时出错。
无法启动 Read-Only DC 的从媒体安装升级,因为不允许使用指定的源数据库。 仅其他 RODC 中的数据库可用于 RODC 的 IFM 升级。
解决方法和说明
验证仅验证 IFM 的整体完整性。 不要向服务器提供错误的 IFM 类型。 在尝试使用正确的媒体再次升级之前,请重启服务器。
13. 问题
将 RODC 提升到预先创建的计算机帐户失败
症状
使用 ADDSDeployment Windows PowerShell升级具有暂存计算机帐户的新 RODC 时,收到错误:
代码- Parameter set can't be resolved using the specified named parameters. InvalidArgument: ParameterBindingException
\+ FullyQualifiedErrorId : AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
解决方法和说明
不要提供已在预先创建的 RODC 帐户上定义的参数。 包括:
代码-
-readonlyreplica
-installdns
-donotconfigureglobalcatalog
-sitename
-installdns
14. 问题
取消选择/选择“根据需要 自动重启每个目标服务器”不执行任何操作
症状
如果选择 (或未选择) 服务器管理器选项,如果需要,在通过角色删除降级域控制器时自动重启每个目标服务器,则无论选择何种选择,服务器都会始终重启。
解决方法和说明
这是有意的。 无论此设置如何,降级过程都会重启服务器。
15. 问题
Dcpromo.log 显示“[错误] 在服务器文件上设置安全性失败并显示 2”
症状
域控制器的降级没有问题完成,但对 dcpromo 日志的检查显示错误:
代码- [error] setting security on server files failed with 2
解决方法和说明
忽略,错误应为 ,并且修饰。
16. 问题
先决条件 adprep 检查失败,出现错误“无法执行 Exchange 架构冲突检查”
症状
尝试将Windows Server 2012域控制器提升到现有 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 林时,先决条件检查失败并出现错误:
代码 - 验证 AD 准备的先决条件失败。 无法对域<域名>执行 Exchange 架构冲突检查 (异常:RPC 服务器不可用)
adprep.log 显示错误:
代码- Adprep couldn't retrieve data from the server <domain controller>
通过 Windows Management Instrumentation (WMI) 。
解决方法和说明
新的域控制器无法通过针对现有域控制器的 DCOM/RPC 协议访问 WMI。 到目前为止,有三个原因导致这种情况:
- 防火墙规则阻止访问现有域控制器。
- 在现有域控制器上的“登录即服务” (SeServiceLogonRight) 权限中缺少网络服务帐户。
- 使用 NTLM 身份验证限制简介中所述的安全策略在域控制器上禁用 NTLM。
17. 问题
创建新的 AD DS 林始终显示 DNS 警告
症状
创建新的 AD DS 林并在新的域控制器上为自己创建 DNS 区域时,始终会收到警告消息:
代码 - 在 DNS 配置中检测到错误。
此计算机使用的 DNS 服务器均未在超时间隔内做出响应。
(错误代码0x000005B4“ERROR_TIMEOUT”)
解决方法和说明
忽略。 如果打算指向现有的 DNS 服务器和区域,则此警告是针对新林根域中的第一个域控制器的。
18. 问题
-whatif
Windows PowerShell参数返回不正确的 DNS 服务器信息
症状
如果在为域控制器配置隐式或显式 -installdns:$true
时使用 -whatif
参数,则生成的输出将显示:
代码- DNS Server: No
解决方法和说明
忽略。 DNS 已安装并正确配置。
19. 问题
升级后,登录失败,并显示“没有足够的存储空间可用于处理此命令”
症状
升级新的域控制器,然后注销并尝试以交互方式登录后,会收到错误:
代码 - 没有足够的存储空间可用于处理此命令
解决方法和说明
升级后域控制器未重新启动,可能是由于错误或你指定了 ADDSDeployment Windows PowerShell 参数 -norebootoncompletion
。 重新启动域控制器。
20. 问题
“域控制器选项”页上不提供“下一步”按钮
症状
即使已设置密码,服务器管理器的“ 域控制器选项”页上的“ 下一步”按钮也不可用。 “ 网站名称 ”菜单中未列出任何网站。
解决方法和说明
有多个 AD DS 站点,并且至少有一个缺少子网;此未来的域控制器属于其中一个子网。 必须从“站点名称”下拉菜单中手动选择子网。 还应使用 DSSITE 查看所有 AD 站点。MSC 或使用以下 Windows PowerShell 命令查找缺少子网的所有站点:
代码 - “get-adreplicationsite -filter * -property subnets |where-object {!$_.subnets -eq “*”} |format-table name”
21. 问题
升级或降级失败,并显示消息“无法启动服务”
症状
如果尝试升级、降级或克隆域控制器,则会收到错误:
代码 - 服务无法启动,因为它已禁用,或者它没有与之关联的已启用设备“ (0x80070422)
此错误可能是交互式的、事件或写入日志(如 dcpromoui.log 或 dcpromo.log)。
解决方法和说明
DS 角色服务器服务 (DsRoleSvc) 处于禁用状态。 默认情况下,此服务在 AD DS 角色安装过程中安装,并设置为“手动启动类型”。 请勿禁用此服务。 将其设置回手动,并允许 DS 角色操作按需启动和停止。 此行为是设计使然。
22. 问题
服务器管理器仍警告需要提升 DC
症状
如果使用已dcpromo.exe /unattend
弃用的升级域控制器或升级现有 Windows Server 2008 R2 域控制器以Windows Server 2012,服务器管理器仍显示部署后配置任务“ 将此服务器提升为域控制器”。
解决方法和说明
选择部署后警告链接,消息将永远消失。 此行为是外观和预期行为。
23. 问题
服务器管理器部署脚本缺少角色安装
症状
如果使用 服务器管理器 升级域控制器并保存Windows PowerShell部署脚本,则它不包括角色安装 cmdlet 和参数 (install-windowsfeature -name ad-domain-services -includemanagementtools
) 。 如果没有角色,则无法配置 DC。
解决方法和说明
手动将该 cmdlet 和参数添加到任何脚本。 此行为是预期行为,并且是设计。
24. 问题
服务器管理器部署脚本未命名为 PS1
症状
如果使用 服务器管理器升级域控制器并保存Windows PowerShell部署脚本,则该文件将采用随机临时名称命名,而不是作为 PS1 文件命名。
解决方法和说明
手动重命名文件。 此行为是预期行为,并且是设计。
25. 问题
Dcpromo /unattend 允许不支持的功能级别
症状
如果使用 和以下示例应答文件升级域控制器 dcpromo /unattend
:
代码-
[DCInstall]
NewDomain=Forest
ReplicaOrNewDomain=Domain
NewDomainDNSName=corp.contoso.com
SafeModeAdminPassword=Safepassword@6
DomainNetbiosName=corp
DNSOnNetwork=是
AutoConfigDNS=是
RebootOnSuccess=NoAndNoPromptEither
RebootOnCompletion=No
DomainLevel=0
ForestLevel=0
升级失败, dcpromoui.log 中出现以下错误:
代码 - dcpromoui EA4.5B8 0089 13:31:50.783 输入 CArgumentsSpec::ValidateArgument DomainLevel
dcpromoui EA4.5B8 008A 13:31:50.783 DomainLevel 的值为 0
dcpromoui EA4.5B8 008B 13:31:50.783 退出代码为 77
dcpromoui EA4.5B8 008C 13:31:50.783 指定的参数无效。
dcpromoui EA4.5B8 008D 13:31:50.783 关闭日志
dcpromoui EA4.5B8 0032 13:31:50.830 退出代码为 77
级别 0 是 Windows 2000,Windows Server 2012不支持此版本。
解决方法和说明
不要使用已 dcpromo /unattend在这里插入代码片
弃用的 ,并了解它允许你指定稍后失败的无效设置。 此行为是预期行为,并且是设计。
26. 问题
提升在创建 NTDS 设置对象时“挂起”,永远不会完成
症状
如果升级副本 (replica) DC 或 RODC,则提升将到达“创建 NTDS 设置对象”,并且永远不会继续或完成。 日志也会停止更新。
解决方法和说明
这是一个已知问题,由为内置本地管理员帐户提供与内置域管理员帐户匹配的密码的凭据。 这会导致核心安装引擎发生故障,该引擎不会出错,而是无限期等待 (准循环) 。 这是预期行为(尽管不可取)。
修复服务器:
1.重新启动它。
- 在 AD 中,删除该服务器的成员计算机帐户, (该服务器尚不是 DC 帐户)
2.在该服务器上,强行将其从域分离
3.在该服务器上,删除 AD DS 角色。
4.重新启动
5.已读取 AD DS 角色并重新尝试升级,确保始终向 DC 升级提供 <域><管理员> 格式的凭据,而不仅仅是内置本地管理员帐户。
你今天真好看.
windows server 2016 下域环境的搭建(完整版)