Чтобы прочитать статью на английском языке, установите флажок Английский. Вы также можете просматривать текст на английском языке во всплывающем окне, наводя указатель мыши на текст.
Перевод
Английский

Что нового в установке и удалении доменных служб Active Directory

 

Применимо к:Windows Server 2012


Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory. Это упрощает процесс создания новой среды Active Directory и повышает его эффективность. В новом процессе развертывания AD DS сведена к минимуму вероятность ошибок, которые могут воспрепятствовать установке.

Кроме того, можно установить двоичные файлы роли сервера AD DS (то есть, роль сервера AD DS) на несколько серверов одновременно. Можно также удаленно запускать мастер установки AD DS на отдельном сервере. Эти усовершенствования обеспечивают большую гибкость при развертывании контроллеров домена с ОС Windows Server 2012, особенно в крупномасштабных, глобальных масштабах, когда нужно установить множество контроллеров домена в офисах, находящихся в различных регионах.

Установка AD DS имеет следующие особенности:

  • Интеграция Adprep.exe в процесс установки доменных служб Active Directory. Трудоемкие задачи по подготовке существующей среды Active Directory, например необходимость использования разных учетных данных, копирования файлов Adprep.exe и входа в определенные контроллеры домена, упрощены или выполняются автоматически. Это ускоряет установку AD DS и снижает вероятность ошибок, которые могут воспрепятствовать повышению роли контроллера домена.

    В средах, где предпочтительно выполнить команды adprep.exe до установки нового контроллера домена, команды adprep.exe можно по-прежнему выполнять отдельно от установки AD DS. Версия программы adprep.exe для Windows Server 2012 запускается удаленно, что позволяет выполнять все необходимые команды с сервера, работающего под управлением 64-разрядной версии Windows Server 2008 или более поздней.

  • Новый процесс установки AD DS выполняется на основе Windows PowerShell и может быть инициирован удаленно. Новый процесс установки AD DS интегрирован с диспетчером сервера, что позволяет использовать для установки AD DS тот же интерфейс, что и для установки других ролей сервера. При использовании Windows PowerShell командлеты развертывания AD DS обеспечивают дополнительные функциональные возможности и повышенную гибкость. Варианты установки с помощью командной строки и графического интерфейса пользователя функционально эквивалентны.

  • Новый процесс установки AD DS включает проверку предварительных требований. Любые потенциальные ошибки можно обнаружить до начала установки. Условия возникновения ошибок можно заблаговременно устранить, предотвратив проблемы, связанные с неполным обновлением. Например, если нужно выполнить команду adprep /domainprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения операции.

  • Страницы настройки сгруппированы в последовательность, отражающую требования наиболее общих параметров повышения роли, при этом связанные параметры сгруппированы, что уменьшает количество страниц мастера. Это улучшает контекст для выбора параметров установки.

  • Можно экспортировать сценарий Windows PowerShell, содержащий все параметры, заданные во время установки через графический интерфейс. По окончании установки или удаления можно экспортировать параметры в сценарий Windows PowerShell для использования при автоматическом выполнении той же операции.

  • Перед перезагрузкой выполняется репликация только критически важных данных. Новый переключатель позволяет разрешить репликацию некритических данных перед перезагрузкой. Дополнительные сведения см. в разделе Аргументы командлета ADDSDeployment.

Начиная с Windows Server 2012, мастер настройки доменных служб Active Directory заменяет прежний мастер установки доменных служб Active Directory в качестве компонента пользовательского интерфейса, который позволяет задать параметры при установке контроллера домена. Мастер настройки доменных служб Active Directory запускается после завершения работы мастера добавления ролей.

System_CAPS_warningПредупреждение

Прежний мастер установки доменных служб Active Directory (dcpromo.exe) не рекомендуется использовать в версиях, начиная с Windows Server 2012.

В разделе Установка доменных служб Active Directory (уровень 100) демонстрируется, как с помощью пользовательского интерфейса запустить мастер добавления ролей для установки двоичных файлов роли сервера AD DS и как затем запустить мастер настройки доменных служб Active Directory для завершения установки контроллера домена. В примерах Windows PowerShell показано, как выполнить оба этапа с помощью командлета развертывания AD DS.

Начиная с Windows Server 2012, есть только одна версия программы adprep.exe (32-разрядная версия, adprep32.exe, отсутствует). Команды Adprep выполняются автоматически по мере необходимости при установке контроллера домена под управлением Windows Server 2012 в существующем домене или лесу Active Directory.

Хотя операции Adprep выполняются автоматически, можно запускать программу adprep.exe отдельно. Например, если пользователь, устанавливающий AD DS, не является членом группы администраторов предприятия (необходимое условие для выполнения команды Adprep /forestprep), то может потребоваться выполнить команду отдельно. Но запускать программу adprep.exe нужно лишь в том случае, если вы планируете обновление первого контроллера домена Windows Server 2012 на месте (другими словами, если вы планируете на месте обновить операционную систему контроллера домена, работающего под управлением Windows Server 2012).

Программа adprep.exe находится в папке \support\adprep установочного диска Windows Server 2012. Версия Adprep для Windows Server 2012 поддерживает удаленное выполнение.

Версию программы adprep.exe для Windows Server 2012 можно запускать на любом сервере, на котором установлена 64-разрядная версия Windows Server 2008 или более поздняя. Требуется сетевое подключение сервера к хозяину схемы для леса и к хозяину инфраструктуры домена, для которого вы хотите добавить контроллер домена. Если какая-либо из этих ролей размещена на сервере под управлением Windows Server 2003, то программу Adprep необходимо запускать удаленно. Сервер, на котором запускается Adprep, необязательно должен быть контроллером домена. Он может быть присоединен к домену или входить в рабочую группу.

System_CAPS_noteПримечание

При попытке запустить версию программы adprep.exe для Windows Server 2012 на сервере с ОС Windows Server 2003 возникает следующая ошибка:

Adprep.exe не является допустимым приложением Win32.

Ошибка adprep

Сведения об устранении других ошибок, возвращаемых программой Adprep.exe, см. в разделе Известные проблемы.

Для каждой команды (/forestprep, /domainprep или /rodcprep) Adprep проводит проверку членства в группах, чтобы определить, соответствуют ли указанные учетные данные учетной записи в определенных группах. Чтобы выполнить эту проверку, Adprep обращается к владельцу роли хозяина операций. Если хозяин операций работает под управлением Windows Server 2003 и, запуская программу adprep.exe, вы хотите гарантировать выполнение проверки членства в группах во всех случаях, вы должны указать параметры командной строки /user и /userdomain.

/user и /userdomain — новые параметры для программы adprep.exe в Windows Server 2012. Эти параметры определяют, соответственно, имя учетной записи и домен пользователя, который запускает команду Adprep. Служебная программа командной строки adprep.exe не позволяет указывать один из параметров /userdomain или /user, пропуская другой.

Однако операции Adprep можно также выполнять в рамках установки AD DS с использованием Windows PowerShell или диспетчера серверов. В основе этих взаимодействий лежит та же реализация (adprep.dll), что и в основе adprep.exe. Windows PowerShell и диспетчер серверов используют отдельные учетные данные на входе, которые не устанавливают такие же требования, как adprep.exe. Используя Windows PowerShell или диспетчер серверов, можно передать в adprep.dll значение параметра /user, а параметр /userdomain пропустить. Если параметр /user задан, а параметр /userdomain — нет, то для выполнения проверки используется домен локального компьютера. Если компьютер не присоединен к домену, членство в группах проверить нельзя.

Если членство в группах проверить невозможно, Adprep отображает предупреждающее сообщение в файлах журнала Adprep и продолжает свою работу:

Adprep was unable to check the specified user's group membership. This could happen if the FSMO role owner <DNS host name of operations master> is running Windows Server 2003 or lower version of Windows.

Если вы запускаете программу adprep.exe, не указывая параметры /user и /userdomain, и хозяин операций работает под управлением Windows Server 2003, то adprep.exe обращается к контроллеру домена в домене текущего пользователя, выполнившего вход в систему. Если учетная запись этого пользователя не является учетной записью домена, программа adprep.exe не сможет выполнить проверку членства в группах. Adprep.exe также не сможет выполнить проверку членства в группах, если используются учетные данные смарт-карты, даже если вы укажете оба параметра /user и /userdomain.

Если работа Adprep завершается успешно, никаких действий выполнять не нужно. Если работа Adprep завершилась ошибками доступа, укажите учетную запись с правильным членством. Дополнительные сведения см. в разделе Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory.

Для запуска программы Adprep отдельно от установки AD DS используйте следующий синтаксис:

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Для более подробного ведения журнала используйте в команде параметр /logdsid. Файл adprep.log находится в папке %windir%\System32\Debug\Adprep\Logs.

Версия программы adprep.exe для Windows Server 2012 в качестве учетных данных использует смарт-карту, но простого способа указать учетные данные смарт-карты через командную строку не существует. Один из способов сделать это — получить учетные данные смарт-карты с помощью командлета PowerShell Get-Credential. Затем следует использовать имя пользователя из возвращенного объекта PSCredential, которое отображается как @@.... Паролем служит ПИН-код смарт-карты.

Программа adprep.exe требует указать параметр /userdomain, если параметр /user задан. Для учетных данных смарт-карты параметр /userdomain должен соответствовать домену учетной записи пользователя, которую представляет смарт-карта.

Команда adprep /domainprep /gpprep не выполняется в рамках установки AD DS. Эта команда устанавливает разрешения, необходимые для режима планирования результирующей политики. Подробнее об этой команде см. в статье 324392 базы знаний Майкрософт. Если команду нужно выполнить в вашем домене Active Directory, ее можно запустить отдельно от установки AD DS. Если команда уже была выполнена во время подготовки к развертыванию контроллеров домена, работающих под управлением Windows Server 2003 с пакетом обновления 1 или более поздней версии, запускать команду повторно не нужно.

Можно добавить контроллеры домена с ОС Windows Server 2012 в существующий домен, не запуская команду adprep /domainprep /gpprep, но тогда режим планирования результирующей политики будет работать неправильно.


Мастер установки AD DS перед началом установки проверяет, выполняются ли следующие предварительные условия. Это позволяет исправить ошибки, которые могут воспрепятствовать установке.

Предварительные требования, связанные с программой Adprep, включают, например, следующие.

  • Проверка учетных данных Adprep: если нужно запустить программу Adprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения необходимых операций Adprep.

  • Проверка доступности хозяина схемы: если мастер установки определит, что необходимо выполнить команду adprep /forestprep, он проверяет, подключен ли к сети хозяин схемы, и, если нет, завершается ошибкой.

  • Проверка доступности хозяина инфраструктуры: если мастер установки определит, что необходимо выполнить команду adprep /domainprep, он проверяет, подключен ли к сети хозяин инфраструктуры, и, если нет, завершается ошибкой.

Другие проверки предварительных требований, которые были перенесены из прежнего мастера установки Active Directory (dcpromo.exe), включают следующее.

  • Проверка имени леса: проверка того, является ли имя леса допустимым и не существует ли уже оно.

  • Проверка NetBIOS-имени: проверка того, является ли указанное NetBIOS-имя допустимым и не конфликтует ли оно с существующими именами.

  • Проверка путей к компонентам: проверка того, являются ли допустимыми пути к базе данных Active Directory, журналам и SYSVOL и достаточно ли для них свободного места на диске.

  • Проверка имени дочернего домена: проверка того, являются ли имена родительского и нового дочернего доменов допустимыми и не конфликтуют ли они с существующими доменами.

  • Проверка имени домена дерева: проверка того, является ли указанное имя домена в дереве допустимым и не существует ли уже оно.

Требования к системе для Windows Server 2012 не изменились по сравнению с Windows Server 2008 R2. Подробнее см. в статье Системные требования Windows Server 2008 R2 с пакетом обновления 1 (http://www.microsoft.com/windowsserver2008/en/us/system-requirements.aspx).

Для некоторых компонентов могут быть установлены дополнительные требования. Например, для клонирования виртуальных контроллеров домена необходимо, чтобы эмулятор основного контроллера домена работал под управлением Windows Server 2012 и на компьютере с ОС Windows Server 2012 была установлена роль Hyper-V.

В этом разделе перечислены некоторые известные проблемы, связанные с установкой AD DS в Windows Server 2012. Другие известные проблемы см. в разделе Устранение неполадок развертывания контроллера домена.

  • Если доступ WMI к хозяину схемы заблокирован брандмауэром Windows при удаленном выполнении команды adprep /forestprep, то в журнале Adprep в каталоге %systemroot%\system32\debug\adprep появляется следующее сообщение об ошибке:

    Adprep encountered a Win32 error. 
    Error code: 0x6ba Error message: The RPC server is unavailable.
    

    В этом случае можно обойти ошибку, либо запустив команду adprep /forestprep непосредственно на хозяине схемы, либо выполнив одну из следующих команд, которые разрешают передачу трафика WMI через брандмауэр Windows.

    Для Windows Server 2008 или более поздней версии:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
    

    Для Windows Server 2003:

    netsh firewall set service RemoteAdmin enable
    

    По завершении работы программы Adprep можно снова заблокировать трафик WMI, выполнив любую из следующих команд:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no
    
    netsh firewall set service remoteadmin disable
    
  • Чтобы отменить выполнение командлета Install-ADDSForest, можно нажать клавиши CTRL+C. Установка будет прекращена, и любые изменения состояния сервера будут отменены. Однако после выполнения команды отмены управление не вернется к Windows PowerShell и командлет может зависнуть на неопределенное время.

  • Установка дополнительного контроллера домена с использованием учетных данных смарт-карты завершится ошибкой, если целевой сервер не был присоединен к домену перед установкой.

    В этом случае возвращается следующее сообщение об ошибке:

    Не удается подключиться к исходному контроллеру домена репликации имя исходного контроллера домена. (Исключение: ошибка при входе: неизвестное имя пользователя или неверный пароль)

    Если вы присоедините целевой сервер к домену и затем проведете установку с использованием смарт-карты, то установка завершится успешно.

  • Модуль ADDSDeployment не поддерживает 32-разрядные процессы. Если вы автоматизируете развертывание и настройку Windows Server 2012 с помощью сценария, который включает командлет ADDSDeployment и любой другой командлет, не поддерживающий собственные 64-разрядные процессы, то сценарий может завершиться ошибкой, указывающей на невозможность найти командлет ADDSDeployment.

    В этом случае нужно запустить командлет ADDSDeployment отдельно от командлета, который не поддерживает собственные 64-разрядные процессы.

  • В Windows Server 2012 появилась новая файловая система под названием Resilient File System. Не храните базу данных Active Directory, файлы журнала или SYSVOL на томе данных, отформатированном под файловую систему Resilient File System (ReFS). Дополнительные сведения о ReFS см. в статье Создание файловой системы нового поколения для Windows: ReFS.

  • В диспетчере серверов состояние обновленных до Windows Server 2012 серверов с установленными основными серверными компонентами, на которых выполняются AD DS или другие роли сервера, может отображаться красным цветом, хотя сбор событий и сведений о состоянии выполняется правильно. Также могут быть затронуты серверы с основными серверными компонентами предварительного выпуска Windows Server 2012.

Если при установке AD DS будет обнаружена ошибка на этапе репликации критически важных данных, то установка может зависнуть на неопределенное время. Например, если сетевые ошибки мешают завершить репликацию критически важных данных, то установка не продолжится.

При установке с помощью диспетчера серверов страница хода установки может оставаться открытой, но ошибки на экране не отображаются и состояние процесса может не меняться около 15 минут. При использовании Windows PowerShell состояние процесса, отображаемое в окне Windows PowerShell, не будет меняться на протяжении более 15 минут.

В случае возникновения этой проблемы проверьте файл dcpromo.log в папке %systemroot%\debug на целевом сервере. Обычно файл журнала содержит сведения о повторяющихся сбоях репликации. Некоторые известные причины этой проблемы

  • Сетевые неполадки мешают репликации критически важных данных между целевым сервером, роль которого повышается, и исходным контроллером домена репликации.

    Например, файл dcpromo.log может содержать следующие данные:

    
                        05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963
                        Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID: 
    500
    Reported error information:
    Error value: 
    Could not find the domain controller for this domain. (1908)
    directory service: 
    <domain>.com
    Extensive error information:
    Error value: 
    A security package specific error occurred. 1825
    directory service: 
    <DC Name>
    

    Поскольку в процессе установки попытки репликации критически важных данных повторяются бесконечное число раз, установка контроллера домена продолжится, если проблемы с сетью будут решены. Исследуйте проблему с сетью с использованием таких средств, как ipconfig, nslookup и netmon, если необходимо. Убедитесь, что существует подключение между контроллером домена, уровень которого вы повышаете, и партнером репликации, выбранным во время установки AD DS. Также убедитесь, что разрешение имен работает.

    Требования для установки AD DS к сетевому подключению и разрешению имен проверяются во время проверки необходимых компонентов перед началом установки. Но некоторые ошибочные состояния могут возникнуть после выполнения проверки необходимых компонентов и до завершения установки, например если партнер репликации становится недоступным во время установки.

  • Во время установки контроллера домена репликации учетная запись локального администратора на целевом сервере указана для учетных данных установки, а пароль этой учетной записи совпадает с паролем учетной записи администратора домена. В этом случае можно завершить работу мастера установки и начать установку до возникновения ошибки "Отказано в доступе".

    Например, файл dcpromo.log может содержать следующие данные:

    
    03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com...
    03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID: 
    508
    Reported error information:
    Error value: 
    Access is denied. (5)
    directory service: 
    DC2.contoso.com
    
    

    Если причиной ошибки стало указание локальной учетной записи администратора и пароля, для восстановления необходимо повторно установить операционную систему, выполнить очистку метаданных учетной записи контроллера домена, установка которой завершилась с ошибками, а затем повторить попытку установки AD DS с использованием учетных данных администратора домена. Это ошибочное состояние не может быть исправлено перезапуском сервера, потому что сервер определит, что AD DS установлена, даже если установка не была успешна завершена.

Если вы создаете новый домен или лес и указываете DNS-имя домена, содержащее ненормализованные международные символы, то мастер настройки доменных служб Active Directory отображает предупреждение о том, что DNS-запросы имени могут завершиться ошибкой. Хотя DNS-имя домена указывается на странице конфигурации развертывания, предупреждение позднее выводится на странице проверки предварительных требований в мастере.

Если указано ненормализованное DNS-имя домена, например füßball.com или ΒΣΤΑ.com (нормализованные версии — füssball.com и βστα.com), клиентские приложения, пытающиеся обратиться к нему через WinHTTP, нормализуют имя перед вызовом API разрешения имен. Если в каком-либо диалоге пользователь вводит "ΒΣΤΑ.com", то DNS-запрос будет отправлен в виде "βστα.com" и ни один DNS-сервер не сопоставит его с записью ресурса для "ΒΣΤΑ.com". Пользователь не сможет разрешить имя.

Следующий пример поясняет одну из проблем, которая может возникнуть при использовании ненормализованного IDN-имени:

  1. На DNS-сервере создан и зарегистрирован домен с ненормализованным именем: füßball.com.

  2. Компьютер "nps" присоединяется к домену и регистририрует его имя: nps.füßball.com.

  3. Клиентское приложение пытается подключиться к серверу nps.füßball.com.

  4. Клиентское приложение пытается разрешить имя nps.füßball.com, вызывая API разрешения имен.

  5. В результате нормализации имя преобразуется в nps.füssball.com и запрашивается по сети в виде nps.füßball.com.

  6. Клиентскому приложению не удается разрешить имя, так как зарегистрированное имя — nps.füßball.com.

Если на странице проверки предварительных требований в мастере настройки доменных служб Active Directory появляется предупреждение, вернитесь на страницу конфигурации развертывания и укажите нормализованное DNS-имя домена. Если вы устанавливаете новый домен с помощью Windows PowerShell, укажите нормализованное DNS-имя для параметра -DomainName.

Подробнее об IDN см. в разделе Обработка международных доменных имен (IDN).

Показ: