备注 默认情况下,林根域的内置 Administrator 帐户是 Schema Admins 组的成员。 3. 如果林中的任何域控制器运行 Windows 2000 Server,则它们必须运行 Service Pack 4 (SP4)。若要获
得 Windows 2000 Server SP4,请参阅“面向 IT 专业人士的 Windows 2000 Service Pack 4 网络安装”(http://go.microsoft.com/fwlink/?LinkId=140267)(可能为英文网页)。
4. 如果您运行 Exchange 2000,则有关防止潜在架构冲突的详细信息,请参阅 Microsoft 知识库中的文章
325379 (http://go.microsoft.com/fwlink/?LinkId=140269)(可能为英文网页)。
5. 运行以下 Repadmin.exe 命令以确保在整个林中进行复制:
repadmin /replsum /bysrc /bydest /sort:delta
所有域控制器在“失败次数”列应该显示0,最大增量(它表示自上次成功复制以来经过的时间)应该小于或大致等于域控制器用于复制的站点链接的复制频率。默认复制频率为 180 分钟。
6. 运行在架构主机上的防病毒软件可能影响运行adprep /forestprep。在adprep /forestprep操作调
用外部函数的过程中引入了显示说明符,这可能会导致防病毒软件实用程序使用的文件或文件夹锁定。
这种情况下,当运行adprep /forestprep时可能出现以下错误:
“Adprep 无法完成,原因是回叫功能失败。”
如果您在架构主机上运行防病毒软件并且在运行adprep /forestprep时收到该错误,则临时禁用防病毒软件,直到该命令完成。有关详细信息,请参阅Adprep 无法完成,原因是回叫功能失败。
有关完成这些准备步骤的详细信息,请参阅“因此您想升级到 Windows 2008 域控制器 (ADPREP)”(http://go.microsoft.com/fwlink/?LinkId=138880)(可能为英文网页)。 运行 adprep /forestprep
可以从 Windows Server DVD 运行adprep /forestprep命令,也可以将包含 Adprep.exe 的文件夹内容复制到架构主机并从该位置运行 Adprep.exe。如果您将 Adprep.exe 复制到架构主机,则确保复制整个文件夹的内容。 有关如何运行adprep /forestprep命令的详细信息,请参阅为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 林架构。
验证 adprep /forestprep 已成功完成
当adprep /forestprep命令完成时,会在命令提示符窗口中出现一条消息,指出 Adprep 已成功更新林范围的信息。您还可以使用以下过程来验证adprep /forestprep已成功完成。 验证 adprep /forestprep 已成功完成的步骤
1. 登录到安装了 ADSIEdit 的管理工作站。默认情况下,ADSIEdit 安装在运行 Windows Server 2008 或
Windows Server 2008 R2 的域控制器上。
2. 依次单击「开始」、“运行”,键入ADSIEdit.msc,然后单击“确定”。
3. 单击“操作”,然后单击“连接到”。
4. 单击“选择一个已知命名上下文”,在可用命名上下文的列表中选择“配置”,然后单击“确定”。
5. 双击“配置”,然后双击CN=Configuration,DC=forest_root_domain
其中,forest_root_domain是您的目录林根级域的可分辨名称。
6. 双击CN=ForestUpdates。
7. 右键单击CN=ActiveDirectoryUpdate,然后单击“属性”。
8. 对于测试版的 Windows Server 2008 R2,确认“修订”属性值为4,然后单击“确定”。
9. 依次单击“ADSI 编辑器”、“操作”,然后单击“连接到”。
10. 单击“选择一个已知命名上下文”,在可用命名上下文的列表中选择“架构”,然后单击“确定”。
11. 双击“架构”。
12. 右键单击CN=Schema,CN=Configuration,DC=forest_root_domain,然后单击“属性”
其中,forest_root_domain是您的目录林根级域的可分辨名称。
13. 确认objectVersion属性值设置为46,然后单击“确定”。
运行 adprep /domainprep
完成adprep /forestprep操作之后,便可以运行adprep /domainprep命令以准备您的域。以下各部分包含有关运行adprep /domainprep的详细信息:
?
准备运行 adprep /domainprep
? ?
运行 adprep /domainprep
验证 adprep /domainprep
准备运行 adprep /domainprep
为了帮助确保adprep /domainprep命令成功运行,在对每个域中的基础结构操作主机角色所有者运行该命令之前,完成以下步骤:
1. 确保在整个林中复制adprep /forestprep执行的架构更新或至少将它们复制到计划运行adprep
/domainprep的域的基础结构主机。有关详细信息,请参阅验证 adprep /forestprep 已成功完成。
2. 确保可以使用是 Domain Admins 组成员的帐户登录基础结构主机。
3. 验证域功能级别至少为 Windows 2000 本机。
运行 adprep /domainprep
当您准备运行adprep /domainprep时,将 Windows Server 操作系统 DVD 插入到基础结构主机的 DVD 驱动器中。然后,将目录更改为包含 Adprep.exe 的文件夹,并运行该命令。有关详细信息,请参阅为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 域。 验证 adprep /domainprep
当adprep /domainprep完成时,会在命令提示符窗口中出现一条消息,指出 Adprep 已成功更新域范围的信息。您还可以使用以下过程来验证adprep /domainprep已成功完成。 验证 adprep /domainprep 已成功完成的步骤
1. 登录到安装了 ADSIEdit 的管理工作站。默认情况下,ADSIEdit 安装在运行 Windows Server 2008 或
Windows Server 2008 R2 的域控制器上。
2. 依次单击「开始」、“运行”,键入ADSIEdit.msc,然后单击“确定”。
3. 单击“操作”,然后单击“连接到”。
4. 单击“选择一个已知命名上下文”,在可用命名上下文的列表中选择“默认命名上下文”,然后单击“确定”。
5. 双击“默认命名上下文”,双击该域的可分辨名称的容器,然后双击CN=System。
6. 右键单击CN=DomainUpdates,然后单击“属性”。
7. 确认“修订”属性值为4,然后单击“确定”。
运行 adprep /domainprep /gpprep
如果运行 Windows Server 2008 或 Windows Server 2008 R2 中包含的adprep /domainprep命令版本,则adprep /domainprep /gpprep命令在 SYSVOL 共享文件夹的组策略对象 (GPO) 上仅添加可继承的访问控
制项 (ACE)。添加的 ACE 为企业域控制器提供了对 GPO 的读取访问权限。需要这些权限以支持基于站点的策略的策略的结果集 (RSOP) 功能。
运行adprep /domainprep /gpprep可以创建很多复制通信,因为更新了每个 GPO。因此,您可能想在非高峰时段运行该命令以最大程度地减少对其他复制的影响。
如果在运行adprep /domainprep之前运行adprep /domainprep /gpprep,则 Adprep.exe 按顺序运行这两个命令。首先,它执行/domainprep操作,然后执行/gpprep操作。 如果运行以前版本的 Adprep.exe,请参阅 Microsoft 知识库中的文章 324392 (http://go.microsoft.com/fwlink/?LinkId=140283)(可能为英文网页)。 以下各部分包含有关运行adprep /domainprep /gpprep的详细信息:
? ? ?
准备运行 adprep /domainprep /gpprep
运行 adprep /domainprep /gpprep
验证 adprep /domainprep /gpprep
准备运行 adprep /domainprep /gpprep
为了帮助确保adprep /domainprep /gpprep成功运行,在对每个域中的基础结构操作主机角色所有者运行该命令之前,完成以下步骤:
1. 确保您已完成运行adprep /domainprep的准备步骤。有关详细信息,请参阅准备运行 Adprep
/domainprep。
2. 确保默认域策略和默认域控制器策略位于基础结构主机上。为此,使用 Windows 资源管理器导航
到 %windir%\\SYSVOL\\sysvol\\domain_name\\Policies 文件夹。确认以下全局唯一标识符 (GUID) 出现在“策略”文件夹中:
? ?
{31B2F340-016D-11D2-945F-00C04FB984F9}
{6AC1786C-016F-11D2-945F-00C04fB984F9}
3. 运行在基础结构主机上的防病毒软件可能影响运行adprep /domainprep /gpprep。这种情况下,当
运行adprep /domainprep /gpprep时可能出现以下错误消息:
“Adprep 无法完成,原因是回叫功能失败。”
如果您在基础结构主机上运行防病毒软件并且在运行adprep /domainprep /gpprep时收到该错误消
息,则临时禁用防病毒软件,直到该命令完成。有关详细信息,请参阅Adprep 无法完成,原因是回叫功能失败。
运行 adprep /domainprep /gpprep
当您准备运行adprep /domainprep /gpprep命令时,将 Windows Server 操作系统 DVD 插入到基础结构主机的 DVD 驱动器中。然后,将目录更改为包含 Adprep.exe 的文件夹,并运行该命令。有关详细信息,请参阅为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 域。 验证 adprep /domainprep /gpprep
如果您尚未运行adprep /domainprep,则当您运行adprep /domainprep /gpprep时会看到一条消息,该消息指出adprep /domainprep已成功更新域范围信息,之后出现的消息指出 Adprep 已成功更新 GPO 信息。如果您已运行adprep /domainprep,则出现的消息指出已更新域范围信息并且将不重复该操作,之后出现的消息指出 Adprep 已成功更新 GPO 信息。
还可以使用验证adprep /domainprep已成功完成的步骤验证该命令已完成。有关详细信息,请参阅验证 adprep /domainprep。
运行 adprep /rodcprep
运行adprep /rodcprep命令是可选的。仅当要在林中安装 RODC 时才需要运行该命令。该命令更新应用程序目录分区的安全描述符以为 RODC 提供将更新复制到分区的权限。每个应用程序目录分区都有一个基础结构主机。adprep /rodcprep命令必须更新该分区的基础结构主机上每个应用程序目录分区的安全描述符。
默认情况下为域名系统 (DNS) 数据创建两个应用程序目录分区:DomainDNSZones 和 ForestDNSZones。如果这两个分区中任何一个分区的基础结构主机脱机或者已强制从林中删除,则adprep /rodcprep失败,并且出现错误。有关详细信息,请参阅 Microsoft 知识库中的文章 949257
(http://go.microsoft.com/fwlink/?LinkId=140285)(可能为英文网页)。此外,该命令必须联系域命名操作主机以获得林中的应用程序和域目录分区的列表。因此,当运行该命令时,必须可以访问域命名主机。 以下各部分包含有关运行adprep /rodcprep的详细信息:
? ? ?
准备运行 adprep /rodcprep
运行 adprep /rodcprep
验证 adprep /rodcprep
准备运行 adprep /rodcprep
为了帮助确保adprep /rodcprep命令成功运行,请在运行该命令之前完成以下步骤:
1. 确保可以使用 Enterprise Admins 组成员的帐户登录计算机。
2. 确保每个应用程序目录分区的域命名主机和基础结构主机可以访问。
运行 adprep /rodcprep