Поделиться через


Новые возможности при установке и удалении доменных служб Active Directory

развертывание служб домен Active Directory (AD DS) в Windows Server 2012 проще и быстрее, чем предыдущие версии Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory. Это упрощает процесс создания новой среды Active Directory и повышает его эффективность. В новом процессе развертывания AD DS сведена к минимуму вероятность ошибок, которые могут воспрепятствовать установке.

Кроме того, можно установить двоичные файлы роли сервера AD DS (то есть, роль сервера AD DS) на несколько серверов одновременно. Можно также удаленно запускать мастер установки AD DS на отдельном сервере. Эти улучшения обеспечивают большую гибкость развертывания контроллеров домена под управлением Windows Server 2012, особенно для крупномасштабных глобальных развертываний, в которых многие контроллеры домена должны быть развернуты в офисах в разных регионах.

Установка AD DS имеет следующие особенности:

  • Интеграция Adprep.exe в процесс установки доменных служб Active Directory. Трудоемкие задачи по подготовке существующей среды Active Directory, например необходимость использования разных учетных данных, копирования файлов Adprep.exe и входа в определенные контроллеры домена, упрощены или выполняются автоматически. Это ускоряет установку AD DS и снижает вероятность ошибок, которые могут воспрепятствовать повышению роли контроллера домена.

    В средах, где рекомендуется выполнять команды adprep.exe перед установкой нового контроллера домена, вы по-прежнему можете выполнять adprep.exe команды отдельно от установки AD DS. Версия windows Server 2012 adprep.exe выполняется удаленно, поэтому можно выполнять все необходимые команды с сервера, на котором выполняется 64-разрядная версия Windows Server 2008 или более поздней.

  • Новый процесс установки AD DS выполняется на основе Windows PowerShell и может быть инициирован удаленно. Новый процесс установки AD DS интегрирован с диспетчером сервера, что позволяет использовать для установки AD DS тот же интерфейс, что и для установки других ролей сервера. При использовании Windows PowerShell командлеты развертывания AD DS обеспечивают дополнительные функциональные возможности и повышенную гибкость. Существует функциональный паритет между параметрами установки командной строки и графического интерфейса.

  • Новый процесс установки AD DS включает проверку предварительных требований. Любые потенциальные ошибки можно обнаружить до начала установки. Условия возникновения ошибок можно заблаговременно устранить, предотвратив проблемы, связанные с неполным обновлением. Например, если нужно выполнить команду adprep /domainprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения операции.

  • Страницы настройки сгруппированы в последовательность, отражающую требования наиболее общих параметров повышения роли, при этом связанные параметры сгруппированы, что уменьшает количество страниц мастера. Это улучшает контекст для выбора параметров установки.

  • Можно экспортировать сценарий Windows PowerShell, содержащий все параметры, заданные во время установки через графический интерфейс. По окончании установки или удаления можно экспортировать параметры в сценарий Windows PowerShell для использования при автоматическом выполнении той же операции.

  • Перед перезагрузкой выполняется репликация только критически важных данных. Новый коммутатор, позволяющий выполнять репликацию некритических данных перед перезагрузкой. Дополнительные сведения см. в разделе ADDSDeployment cmdlet arguments.

Мастер настройки доменных служб Active Directory

Начиная с Windows Server 2012 мастер настройки служб домен Active Directory заменяет устаревший мастер установки служб домен Active Directory в качестве параметра пользовательского интерфейса для указания параметров при установке контроллера домена. Мастер настройки доменных служб Active Directory запускается после завершения работы мастера добавления ролей.

Предупреждение

Устаревший мастер установки служб домен Active Directory (dcpromo.exe) устарел, начиная с Windows Server 2012.

В разделе "Установка служб домен Active Directory ( уровень 100)" процедуры пользовательского интерфейса показывают, как запустить мастер добавления ролей для установки двоичных файлов ролей сервера AD DS, а затем запустить мастер настройки служб домен Active Directory для завершения установки контроллера домена. В примерах Windows PowerShell показано, как выполнить оба этапа с помощью командлета развертывания AD DS.

Интеграция программы adprep.exe

Начиная с Windows Server 2012, существует только одна версия Adprep.exe (нет 32-разрядной версии, adprep32.exe). Команды Adprep выполняются автоматически при установке контроллера домена, который запускает Windows Server 2012 в существующий домен Или лес Active Directory.

Хотя операции Adprep выполняются автоматически, можно запускать программу adprep.exe отдельно. Например, если пользователь, который устанавливает AD DS, не является членом группы администраторов предприятия, которая требуется для запуска Adprep /forestprep, может потребоваться выполнить команду отдельно. Но при планировании обновления первого контроллера домена Windows Server 2012 (иными словами, вы планируете обновить операционную систему контроллера домена Под управлением Windows Server 2012 только adprep.exe ( иными словами, вы планируете обновить операционную систему контроллера домена под управлением Windows Server 2012).

Adprep.exe находится в папке \support\adprep диска установки Windows Server 2012. Версия adprep Windows Server 2012 может выполняться удаленно.

Версия windows Server 2012 adprep.exe может выполняться на любом сервере, на котором выполняется 64-разрядная версия Windows Server 2008 или более поздней версии. Требуется сетевое подключение сервера к хозяину схемы для леса и к хозяину инфраструктуры домена, для которого вы хотите добавить контроллер домена. Если какая-либо из этих ролей размещена на сервере под управлением Windows Server 2003, то программу Adprep необходимо запускать удаленно. Сервер, на котором выполняется adprep, не должен быть контроллером домена. Он может быть присоединен к домену или входить в рабочую группу.

Примечание.

Если вы пытаетесь запустить версию windows Server 2012 adprep.exe на сервере под управлением Windows Server 2003, появится следующая ошибка:

Adprep.exe не является допустимым приложением Win32.

Новые возможности

Сведения об устранении других ошибок, возвращаемых программой Adprep.exe, см. в разделе Known issues.

Проверка членства в группах в сопоставлении с ролями хозяина операций в Windows Server 2003

Для каждой команды (/forestprep, /domainprep или /rodcprep) Adprep проводит проверку членства в группах, чтобы определить, соответствуют ли указанные учетные данные учетной записи в определенных группах. Чтобы выполнить эту проверку, Adprep обращается к владельцу роли хозяина операций. Если хозяин операций работает под управлением Windows Server 2003 и, запуская программу adprep.exe, вы хотите гарантировать выполнение проверки членства в группах во всех случаях, вы должны указать параметры командной строки /user и /userdomain.

Параметр /userdomain — это новые параметры для Adprep.exe в Windows Server 2012. Эти параметры определяют, соответственно, имя учетной записи и домен пользователя, который запускает команду Adprep. Служебная программа командной строки adprep.exe не позволяет указывать один из параметров /userdomain или /user, пропуская другой.

Однако операции Adprep можно также выполнять в рамках установки AD DS с использованием Windows PowerShell или диспетчера серверов. В основе этих взаимодействий лежит та же реализация (adprep.dll), что и в основе adprep.exe. Интерфейсы Windows PowerShell и диспетчер сервера имеют свои отдельные входные данные, что не накладывает те же требования, что и adprep.exe. С помощью Windows PowerShell или диспетчер сервера можно передать значение для /userdomain в adprep.dll. Если задано значение /userdomain, но не указано имя пользователя, домен локального компьютера используется для проверки. Если компьютер не присоединен к домену, членство в группах не может быть проверено.

Если не удается проверить членство в группах, Adprep отображает предупреждение в файлах журнала adprep и продолжает:

Adprep was unable to check the specified user's group membership. This could happen if the FSMO role owner <DNS host name of operations master> is running Windows Server 2003 or lower version of Windows.

Если вы запускаете программу adprep.exe, не указывая параметры /user и /userdomain, и хозяин операций работает под управлением Windows Server 2003, то adprep.exe обращается к контроллеру домена в домене текущего пользователя, выполнившего вход в систему. Если текущий пользователь входа не является учетной записью домена, Adprep.exe не может выполнить проверку членства в группе. Adprep.exe также не удается проверить членство в группе, если используются учетные данные смарт-карты, даже если указать как /user, так и /userdomain.

Если Adprep завершится успешно, действие не требуется. Если работа Adprep завершилась ошибками доступа, укажите учетную запись с правильным членством. Дополнительные сведения см. в разделе Credential requirements to run Adprep.exe and install Active Directory Domain Services.

Синтаксис Adprep в Windows Server 2012

Для запуска программы Adprep отдельно от установки AD DS используйте следующий синтаксис:

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Для более подробного ведения журнала используйте в команде параметр /logdsid. Файл adprep.log находится в папке %windir%\System32\Debug\Adprep\Logs.

Запуск Adprep с помощью смарт-карты

Версия adprep.exe Windows Server 2012 работает с помощью смарт-карты в качестве учетных данных, но простого способа указать учетные данные смарт-карты с помощью командной строки нет. Один из способов получить учетные данные смарт-карты с помощью командлета PowerShell Get-Credential. Затем следует использовать имя пользователя из возвращенного объекта PSCredential, которое отображается как @@.... Паролем служит ПИН-код смарт-карты.

Программа adprep.exe требует указать параметр /userdomain, если параметр /user задан. Для учетных данных смарт-карты параметр /userdomain должен соответствовать домену учетной записи пользователя, которую представляет смарт-карта.

Команда Adprep /domainprep /gpprep не выполняется автоматически

Команда adprep /domainprep /gpprep не выполняется как часть установки AD DS. Эта команда устанавливает разрешения, необходимые для режима планирования результирующей политики. Подробнее об этой команде см. в статье 324392 базы знаний Майкрософт. Если команду нужно выполнить в вашем домене Active Directory, ее можно запустить отдельно от установки AD DS. Если команда уже запущена при подготовке развертывания контроллеров домена под управлением Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии, команда не должна выполняться снова.

Вы можете безопасно добавить контроллеры домена под управлением Windows Server 2012 в существующий домен, не выполняя adprep /domainprep /gpprep, но режим планирования RSOP не будет работать должным образом.

Проверка предварительных требований для установки доменных служб Active Directory

Мастер установки AD DS перед началом установки проверяет, выполняются ли следующие предварительные условия. Это позволяет исправить ошибки, которые могут воспрепятствовать установке.

Предварительные требования, связанные с программой Adprep, включают, например, следующие.

  • Проверка учетных данных Adprep: если нужно запустить программу Adprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения необходимых операций Adprep.
  • Проверка доступности хозяина схемы: если мастер установки определит, что необходимо выполнить команду adprep /forestprep, он проверяет, подключен ли к сети хозяин схемы, и, если нет, завершается ошибкой.
  • Проверка доступности хозяина инфраструктуры: если мастер установки определит, что необходимо выполнить команду adprep /domainprep, он проверяет, подключен ли к сети хозяин инфраструктуры, и, если нет, завершается ошибкой.

Другие проверки предварительных требований, которые были перенесены из прежнего мастера установки Active Directory (dcpromo.exe), включают следующее.

  • Проверка имени леса. Убедитесь, что имя леса является допустимым и в настоящее время не существует.
  • Проверка имени NetBIOS: проверяет допустимое имя NetBIOS и не конфликтует с существующими именами.
  • Проверка пути к компоненту. Проверяет, что пути к базе данных Active Directory, журналам и SYSVOL допустимы, и что для них достаточно места на диске.
  • Проверка имени дочернего домена. Убедитесь, что родительские и новые дочерние доменные имена допустимы и что они не конфликтуют с существующими доменами.
  • Проверка имени домена дерева. Убедитесь, что указанное имя дерева является допустимым и что он в настоящее время не существует.

Требования к системе

Требования к системе для Windows Server 2012 не отличаются от Windows Server 2008 R2. Дополнительные сведения см. в разделе Windows Server 2008 R2 с требованиями к системе с пакетом обновления 1 (https://www.microsoft.com/windowsserver2008/en/us/system-requirements.aspxSP1).

Для некоторых компонентов могут быть установлены дополнительные требования. Например, компонент клонирования виртуального контроллера домена требует, чтобы эмулятор PDC выполнял Windows Server 2012 и компьютер под управлением Windows Server 2012 с установленной ролью Hyper-V.

Известные проблемы

В этом разделе перечислены некоторые известные проблемы, влияющие на установку AD DS в Windows Server 2012. Другие известные проблемы см. в разделе Troubleshooting Domain Controller Deployment.

  • Если доступ WMI к хозяину схемы заблокирован брандмауэром Windows при удаленном выполнении команды adprep /forestprep, то в журнале Adprep в каталоге %systemroot%\system32\debug\adprep появляется следующее сообщение об ошибке:

    Adprep encountered a Win32 error.
    Error code: 0x6ba Error message: The RPC server is unavailable.
    

    В этом случае можно обойти ошибку, либо запустив команду adprep /forestprep непосредственно на хозяине схемы, либо выполнив одну из следующих команд, которые разрешают передачу трафика WMI через брандмауэр Windows.

    Для Windows Server 2008 или более поздней версии:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
    

    Для Windows Server 2003:

    netsh firewall set service RemoteAdmin enable
    

    По завершении работы программы Adprep можно снова заблокировать трафик WMI, выполнив любую из следующих команд:

    netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no
    
    netsh firewall set service remoteadmin disable
    
  • Чтобы отменить выполнение командлета Install-ADDSForest, можно нажать клавиши CTRL+C. Установка будет прекращена, и любые изменения состояния сервера будут отменены. Но после выдачи команды отмены элемент управления не возвращается в Windows PowerShell, а командлет может зависать на неопределенный срок.

  • Установка дополнительного контроллера домена с использованием учетных данных смарт-карты завершается ошибкой, если целевой сервер не присоединен к домену перед установкой.

    В этом случае возвращается следующее сообщение об ошибке:

    Не удается подключиться к исходному контроллеру домена репликации имя исходного контроллера домена. (Исключение: ошибка при входе: неизвестное имя пользователя или неверный пароль)

    Если вы присоедините целевой сервер к домену и затем проведете установку с использованием смарт-карты, то установка завершится успешно.

  • Модуль ADDSDeployment не поддерживает 32-разрядные процессы. Если вы автоматизируете развертывание и настройку Windows Server 2012 с помощью скрипта, включающего командлет ADDSDeployment и любой другой командлет, который не поддерживает собственные 64-разрядные процессы, скрипт может завершиться ошибкой, указывающей, что командлет ADDSDeployment не найден.

    В этом случае необходимо запустить командлет ADDSDeployment отдельно от командлета, который не поддерживает собственные 64-разрядные процессы.

  • В Windows Server 2012 есть новая файловая система с именем Отказоустойчивая файловая система. Не сохраняйте базу данных Active Directory, файлы журналов или SYSVOL в томе данных, отформатированный с помощью отказоустойчивой файловой системы (ReFS). Дополнительные сведения о ReFS см. в статье Создание файловой системы нового поколения для Windows: ReFS.

  • В диспетчер сервера серверы под управлением AD DS или других ролей сервера на установке основных серверных компонентов и были обновлены до Windows Server 2012, роль сервера может отображаться с красным состоянием, даже если события и состояние собираются должным образом. Серверы, на которые выполняется установка основных серверных компонентов предварительного выпуска Windows Server 2012, также могут быть затронуты.

Установка доменных служб Active Directory зависает, если ошибка мешает репликации критически важных данных

Если при установке AD DS будет обнаружена ошибка на этапе репликации критически важных данных, то установка может зависнуть на неопределенное время. Например, если сетевые ошибки препятствуют выполнению критической репликации, установка не будет продолжаться.

Если вы устанавливаете диспетчер сервера, вы можете увидеть, что страница хода установки остается открытой, но на экране нет ошибок, и ход выполнения может не измениться примерно на 15 минут. Если вы используете Windows PowerShell, ход выполнения, показанный в окне Windows PowerShell, не изменится более чем на 15 минут.

В случае возникновения этой проблемы проверьте файл dcpromo.log в папке %systemroot%\debug на целевом сервере. Обычно файл журнала содержит сведения о повторяющихся сбоях репликации. Некоторые известные причины этой проблемы

  • Сетевые неполадки мешают репликации критически важных данных между целевым сервером, роль которого повышается, и исходным контроллером домена репликации.

    Например, файл dcpromo.log может содержать следующие данные:

    05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963
    Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    500
    Reported error information:
    Error value:
    Could not find the domain controller for this domain. (1908)
    directory service:
    <domain>.com
    Extensive error information:
    Error value:
    A security package specific error occurred. 1825
    directory service:
    <DC Name>
    

    Поскольку в процессе установки попытки репликации критически важных данных повторяются бесконечное число раз, установка контроллера домена продолжится, если проблемы с сетью будут решены. Исследуйте проблему с сетью с использованием таких средств, как ipconfig, nslookup и netmon, если необходимо. Убедитесь, что подключение существует между контроллером домена, который вы продвигаете, и партнером репликации, выбранным во время установки AD DS. Также убедитесь, что разрешение имен работает.

    Требования для установки AD DS к сетевому подключению и разрешению имен проверяются во время проверки необходимых компонентов перед началом установки. Но некоторые ошибочные состояния могут возникнуть после выполнения проверки необходимых компонентов и до завершения установки, например если партнер репликации становится недоступным во время установки.

  • Во время установки контроллера домена репликации учетная запись локального администратора на целевом сервере указана для учетных данных установки, а пароль этой учетной записи совпадает с паролем учетной записи администратора домена. В этом случае можно завершить мастер установки и начать установку, прежде чем столкнуться с ошибкой "Доступ запрещен".

    Например, файл dcpromo.log может содержать следующие данные:

    03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com...
    03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
    Process ID:
    508
    Reported error information:
    Error value:
    Access is denied. (5)
    directory service:
    DC2.contoso.com
    

    Если причиной ошибки стало указание локальной учетной записи администратора и пароля, для восстановления необходимо повторно установить операционную систему, выполнить очистку метаданных учетной записи контроллера домена, установка которой завершилась с ошибками, а затем повторить попытку установки AD DS с использованием учетных данных администратора домена. Перезапуск сервера не исправит это условие ошибки, так как сервер будет указывать, что AD DS установлен, даже если установка не завершена успешно.

Мастер настройки доменных служб Active Directory выдает предупреждение, когда указано ненормализованное DNS-имя

Если вы создаете новый домен или лес и указываете DNS-доменное имя, включающее международные символы, которые не нормализованы, мастер настройки служб домен Active Directory отображает предупреждение о том, что запросы DNS для имени могут завершиться ошибкой. Хотя DNS-имя домена указывается на странице конфигурации развертывания, предупреждение позднее выводится на странице проверки предварительных требований в мастере.

Если доменное имя DNS указано с помощью ненормализованного имени, например füß ball.com или ΣΣ'.com (нормализованные версии: füssball.com и βστα.com), клиентские приложения, которые пытаются получить к нему доступ с помощью WinHTTP, нормализуют имя перед вызовом API разрешения имен. Если пользователь вводит "ΣΣ'.com" в каком-то диалоговом окне, DNS-запрос будет отправлен как "βστα.com", а DNS-сервер не будет соответствовать записи ресурсов для "ΣΣ'.com". Пользователь не сможет разрешить имя.

В следующем примере объясняется одно из проблем, которые могут возникнуть при использовании имени idN, который не нормализован:

  1. Домен, использующий ненормализованное имя, создается и регистрируется на dns-сервере: füß ball.com
  2. Компьютер "nps" присоединен к домену и получает его имя зарегистрировано: nps.füß ball.com
  3. Клиентское приложение пытается подключиться к серверу nps.füß ball.com
  4. Клиентское приложение пытается разрешить api разрешения имен nps.füß ball.com вызывая API разрешения имен.
  5. Из-за нормализации имя преобразуется в nps.füssball.com и запрашивается через провод как nps.füß ball.com
  6. Клиентское приложение не может разрешить имя, так как зарегистрированное имя — nps.füß ball.com

Если на странице проверки предварительных требований в мастере настройки доменных служб Active Directory появляется предупреждение, вернитесь на страницу конфигурации развертывания и укажите нормализованное DNS-имя домена. Если вы устанавливаете новый домен с помощью Windows PowerShell, укажите нормализованное DNS-имя для параметра -DomainName.

Подробнее об IDN см. в разделе Обработка международных доменных имен (IDN).