引用:http://technet.microsoft.com/zh-cn/library/cc771188(WS.10).aspx
安装 AD DS 的要求
更新时间: 2009年7月
应用到: Windows Server 2008, Windows Server 2008 R2
有关 Windows Server 2008 的硬件要求,请参阅“安装 Windows Server 2008”,网址为http://go.microsoft.com/fwlink/?LinkId=111104(可能为英文网页)。
以下软件和硬件要求适用于 Windows Server 2008 或者 Windows Server 2008 R2 操作系统的完整安装或服务器核心安装。有关配置服务器核心安装的信息,请参阅 Windows Server 2008 的服务器核心安装的循序渐进指南 (http://go.microsoft.com/fwlink/?LinkId=87786)(可能为英文网页)。
? ?
安装 Windows Server 2008 或者 Windows Server 2008 R2。
验证域名系统 (DNS) 基础结构是否已到位。添加 Active Directory 域服务 (AD DS) 以创建域或林之前,确保您的网络上的 DNS 基础结构已到位。安装 AD DS 时,您可以包含 DNS 服务器安装(如果需要)。新建一个域时,会在安装过程中自动创建一个 DNS 委派。
如果在域中安装其他域控制器时 DNS 基础结构不到位,然后就会出现在域控制器上安装 DNS 服务器的选项无法使用。
? ?
配置适当的 TCP/IP 和 DNS 服务器地址。
验证 Adprep.exe 操作是否完成。将 AD DS 添加到现有 Active Directory 环境中运行 Windows 必须通过运行 Adprep.exe 准备该环境。Server 2008 或者 Windows Server 2008 R2 的服务器之前,有关运行 Adprep.exe 的详细信息,请参阅运行 Adprep.exe。
备注 在 Windows Server 2008 中,Adprep.exe 在安装 DVD 的 /sources/adprep 文件夹中中可用。在 Windows Server 2008 R2 中,Adprep.exe 位于 /Support/adprep 文件夹中。 ?
为了安装只读域控制器 (RODC),在域中一定存在运行 Windows Server 2008 或者 Windows Server 2008 R2 的可写域控制器。使用指定选项进行林检查过程中,Active Directory 域服务安装向导进行一个 DC 定位器调用来查找运行 Windows Server 2008 或者 Windows Server 2008 R2(使用
DS_DIRECTORY_SERVICE_6_REQUIRED 标志)的可写域控制器(使用 DS_WRITABLE_REQUIRED 标志)。如果调用成功并且查找到与这些选项匹配的域控制器,就会启用安装 RODC 的复选框。有关这些
选项的详细信息,请参阅DsGetDcName 函数 (http://go.microsoft.com/fwlink/?LinkId=100509)(可能为英文网页)。
?
当您使用答案文件执行 AD DS 的无人参与安装时,使用适当的参数指定答案文件中的 [DCINSTALL] 部分。有关答案文件 [DCINSTALL] 部分的条目列表,请参阅无人参与安装参数附录。
?
必须将存储 Active Directory 域服务 (AD DS) 的数据库、日志文件以及 SYSVOL 文件夹的驱动器放置在本地固定卷上。必须将 SYSVOL 放置在使用 NTFS 文件系统进行格式化的卷上。出于安全的目的,应该将 Active Directory 数据库和日志文件放置在使用 NTFS 进行格式化的卷上。
传统上,将 Active Directory 数据库和日志文件放置在域控制器计算机的物理本地磁盘驱动器上。如果设备显示为 Dcpromo.exe 使用的 GetDriveType 功能的“本地”设备并且该设备没有启用高级回滚、撤消或快照功能,则您还可以将 Active Directory 数据库和日志文件放置在非本地存储设备上。有关 GetDriveType 功能的详细信息,请参阅“GetDriveType 功
能”(http://go.microsoft.com/fwlink/?LinkId=102448)(可能为英文网页)。
您必须通过使用由支持的备份应用程序编程接口 (API) 和方法创建的系统状态备份,执行 AD DS 的所有备份和还原,包括回滚 AD DS 的内容。
运行 Adprep.exe
更新时间: 2009年9月
应用到: Windows Server 2008, Windows Server 2008 Foundation, Windows Server 2008 R2 本主题介绍什么是 Adprep.exe。还提供指向运行 Adprep.exe 的分步说明的链接。
? ? ? ?
什么是 Adprep.exe
在 Windows Server 2008 R2 中使用 Adprep.exe 的注意事项
运行 Adprep.exe
对 Adprep.exe 错误进行疑难解答
什么是 Adprep.exe
Adprep.exe 是一个命令行工具,该工具位于每个版本的 Windows Server 的安装磁盘上。Adprep.exe 执行在添加运行该版本的 Windows Server 的域控制器之前必须在现有的 Active Directory 环境中完成的操作。必须在现有域控制器上运行各种 Adprep.exe 命令才能在以下情况下完成这些操作:
?
在添加运行某个版本(该版本高于在现有域中运行的最新版本)的 Windows Server 的第一个域控制器之前。
当运行 Active Directory 域服务安装向导 (Dcpromo.exe) 时,如果尚未运行 Adprep.exe,则会出现一条错误消息。
?
在将现有域控制器升级到更高版本的 Windows Server 之前,如果该域控制器是域或林中要运行该版本的 Windows Server 的第一个域控制器。
在安装操作系统升级之前,如果您尚未运行 Adprep.exe,则会出现一条错误消息。
例如,如果组织具有运行 Windows 2000 Server 或 Windows Server 2003 的域控制器,则在添加运行 Windows Server 2008 或 Windows Server 2008 R2 的新域控制器或将其中一个现有的域控制器升级到 必须在现有域控制器上运行 Windows Server 2008 Windows Server 2008 或 Windows Server 2008 R2 之前,R2 安装 DVD 的 \\Support\\Adprep 文件夹中的 Adprep.exe。 Adprep.exe 有何功能?
Adprep.exe 具有执行各种操作的参数,这些操作帮助为运行更高版本的 Windows Server 的域控制器准备现有的 Active Directory 环境。并不是所有版本的 Adprep.exe 都执行相同的操作,但通常 Adprep.exe 可以执行的不同类型的操作包括:
? ? ? ? ?
更新 Active Directory 架构
更新安全描述符
修改 Active Directory 对象上以及 SYSVOL 共享文件夹中文件上的访问控制列表 (ACL)
根据需要创建新对象
根据需要创建新容器
有关 Adprep.exe 为 Windows Server 2003 执行的更改的详细信息,请参阅“为升级准备基础结构”(http://go.microsoft.com/fwlink/?LinkId=138878)(可能为英文网页)。
有关 Adprep.exe 为 Windows Server 2003 R2 执行的更改的详细信息,请参阅“在 Windows Server 2008 R2 中扩展 Active Directory 架构”(http://go.microsoft.com/fwlink/?LinkId=138879)(可能为英文网页)。 有关 Adprep.exe 为 Windows Server 2008 执行的更改的详细信息,请参阅为使 Windows Server 2008 支持 AD DS 而对 Adprep.exe 所做更改的附录。
有关 Adprep.exe 为 Windows Server 2008 R2 执行的更改的详细信息,请参阅Windows Server 2008 R2: Appendix of Changes to Adprep.exe to Support AD DS。
在 Windows Server 2008 R2 中使用 Adprep.exe 的注意事项
在 Windows Server 2008 R2 中,Adprep.exe 位于 \\Support\\Adprep 文件夹中。
Windows Server 2008 R2 包含 32 位版本和 64 位版本的 Adprep.exe。默认情况下运行 64 位版本。如果希望在 32 位计算机上运行 Adprep.exe 命令之一,请使用 Adprep.exe 的 32 位版本 (Adprep32.exe)。
运行 Adprep.exe
若要完成所需的操作,必须运行下表中列出的 Adprep.exe 命令。按照列出的顺序运行命令。某些命令必须在特定的域控制器上运行,如表中所述。本主题的其余部分包含有关每个命令的详细信息。 命令 adprep /forestprep adprep /domainprep 域控制器 必须在林的架构操作主机上运行 必须在域的基础结构操作主机上运行 要运行命令的次数 对整个林执行一次 在计划安装其他域控制器(这些域控制器运行的 Windows Server 版本高于在域中运行的最新版本)的每个域中执行一次。 备注 将不添加新域控制器的域将受到adprep /forestprep的影响,但这些域不要求您运行adprep /domainprep。 adprep /domainprep /gpprep adprep /rodcprep 备注 必须在域的基础结构操作主机上运行 可以从任何计算机运行。该命令远程执行操作。若要使操作成功完成,林的域命名操作主机以及每个应用程序目录分区和每个域分区的基础结在林的每个域中执行一次 对整个林执行一次 该命令是可选的。仅当您要安装只读域控制器 (RODC) 时才运行该命令。 构操作主机必须都可以访问。 如果您不确定哪台计算机拥有所需的操作主机(也称为灵活单主机操作或 FSMO)角色,则在安装 Netdom.exe 的计算机的命令提示符下键入以下命令,然后按 Enter:
netdom query FSMO
默认情况下,Netdom.exe 安装在运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上。也可以将 Netdom.exe 安装在管理工作站上。有关详细信息,请参阅用于 Windows Vista 的 Microsoft 远程服务器管理工具 (KB941314) (http://go.microsoft.com/fwlink/?LinkID=89361)(可能为英文网页)或
Windows Server 2003 Service Pack 2 32 位支持工具 (http://go.microsoft.com/fwlink/?LinkID=100114)(可能为英文网页)。 运行 adprep /forestprep
运行adprep /forestprep命令以更新 Active Directory 架构以及执行其他林范围的更新。需要更新架构以支持新对象类型。需要其他林范围的更新以更新权限和默认安全描述符。以下各部分包含有关运行adprep /forestprep的详细信息:
? ? ?
准备运行 adprep /forestprep
运行 adprep /forestprep
验证 adprep /forestprep 已成功完成
准备运行 adprep /forestprep
组织应该查看和了解作为 Active Directory 域服务 (AD DS) 中架构管理过程的一部分 Adprep.exe 所做的架构更新和其他更改。有关 Microsoft 信息技术 (Microsoft IT) 部门如何处理 AD DS 架构更新的详细信息,请参阅 Microsoft 的结构化 Active Directory 架构管理 (http://go.microsoft.com/fwlink/?LinkId=137268)(可能为英文网页)。
在实验室环境中测试 Adprep.exe 架构更新,以确保这些更新不会与环境中运行的任何应用程序冲突。如果您的应用程序使用符合征求意见文档 (RFC) 的对象和属性定义,则不应该有任何冲突。有关 Adprep.exe 执行的更新的详细信息,请参阅为使 Windows Server 2008 支持 AD DS 而对 Adprep.exe 所做更改的附录和Windows Server 2008 R2: Appendix of Changes to Adprep.exe to Support AD DS。
Adprep.exe 跳过冗余的更新。更新发生冲突(如引入了重复的对象标识符)会导致 Adprep.exe 停止,直到管理员协调这些冲突为止。
为了帮助确保adprep /forestprep命令成功运行,在对林中的架构操作主机角色所有者运行该命令之前,完成以下附加步骤:
1. 对域控制器(包括架构主机以及至少一个来自林中每个域的其他域控制器)进行系统状态备份。在整个林中
复制adprep /forestprep所做的更改之后,只能通过林恢复执行逆向操作。如果您拥有最新且受信任的系统状态备份,则可以更有效地实施林恢复。有关备份域控制器的详细信息,请参阅“执行未计划的域控制器备份”(http://go.microsoft.com/fwlink/?LinkID=132632)(可能为英文网页)。有关计划林恢复的详细信息,请参阅“计划 Active Directory 林恢复”(http://go.microsoft.com/fwlink/?LinkId=140265)(可能为英文网页)。
2. 确保可以使用具有足够的凭据以运行adprep /forestprep的帐户登录架构主机。您必须是架构主机所在
域(默认情况下为林根域)的 Schema Admins 组、Enterprise Admins 组以及 Domain Admins 组的成员。