Упрощение обновления и развертывания Active Directory в Windows Server 2012

Все аспекты процесса установки DC Server 2012 и обновления AD проанализированы и переработаны с целью повышения эффективности интеграции и снижения затрат. Процесс стал автоматизированным и настолько незаметным, что уже нет необходимости принимать меры защиты от незапланированных обновлений леса и домена

Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP

Расширение схемы AD для поддержки новой версии операционной системы или интегрированных с Active Directory (AD) приложений, для которых это необходимо (например, Exchange Server) – обычная, хотя и не очень распространенная, административная задача. Обновления схемы всегда были источником беспокойства для администраторов AD. Причина не связана с неудачным опытом обновления схемы: у 499 из 500 опрошенных администраторов AD такой печальный опыт отсутствует. Причина опасений — в беспорядке, который вносит обновление схемы AD, и этот процесс необратим. Любое действие, которое затрагивает инфраструктуру аутентификации и авторизации Windows и для которого не существует кнопки отмены, требует осмотрительности.

Помимо администраторов AD, обновления схемы также досаждают службам поддержки (CSS) Microsoft, поскольку порождают многочисленные звонки от пользователей. Кроме того, внедрение новых функций, относящихся к AD и к новой операционной системе, ощутимо замедляется, если их реализация зависит от обновления схемы, которое требует повышенного внимания, а значит, дополнительных трудозатрат. Поэтому перед группой разработчиков AD для Windows Server 2012 стояла задача сделать данный процесс более простым и быстрым, чем в предыдущих версиях. В Server 2012 утилита Adprep интегрирована в процесс установки роли службы доменов Active Directory (AD DS).

Adprep – утилита на установочном носителе операционной системы, выполняющая ряд важных функций обновления AD для поддержки этой операционной системы. Из трех основных процессов – /forestprep, /domainprep и /rodcprep – первым выполняется /forestprep, который дополняет схему AD новыми классами объектов и атрибутов, необходимыми для новой версии AD. Далее, /domainprep обеспечивает создание новых известных объектов в AD и применение изменений в системе безопасности. Наконец, задача /rodcprep состоит во внесении изменений в систему безопасности леса для реализации функциональности контроллера домена только для чтения (RODC).

Adprep в составе диспетчера сервера

Во врезке «Обновление каталога Active Directory до версии Windows Server 2012» описано обновление леса Windows Server 2008 R2 до Server 2012 с использованием интегрированной утилиты Adprep и последующее повышение локального DC с Server 2008 R2 до Server 2012. Администраторов AD, которые не утруждали себя изучением документации, ожидает большой сюрприз, поскольку процессы подготовки леса и домена выполняются в результате инициирования установки DC Server 2012 автоматически и без оповещения, а не заблаговременно (см. экран). Это означает, что если одному из ваших коллег-администраторов вздумается установить DC Server 2012 в домен, вы узнаете об этом тогда, когда Adprep уже отработает все необходимые действия. Вот вам и тщательное планирование! С другой стороны, небольшим предприятиям вообще будет не о чем беспокоиться.

Экран. Проверка леса и домена

Adprep из командной строки

Чтобы успокоить администраторов AD старой школы, заметим, что остается возможность запуска Adprep вручную из папки \support\adprep установочного диска Server 2012. Однако, в отличие от предыдущих версий, 32-разрядный вариант утилиты (Adprep32) отсутствует, и запуск Adprep возможен лишь из 64-разрядной версии Server 2008 (или более поздней).

Adprep не обязательно запускать на контроллере домена с ролью хозяина схемы, однако сервер Server 2012, из которого загружается обновление (не обязательно DC), должен иметь возможность установления соединения с владельцем схемы леса и владельцем инфраструктуры домена. С помощью параметров /user и /userdomain можно указать отдельные учетные данные для Adprep /forestprep (группа Enterprise Admins), /domainprep или /rodcprep (группа Domain Admins). Это повышает степень гибкости в обновлении леса и доменов.

Упразднение Dcpromo

Утилита Dcpromo прекратила свое существование. При попытке ее запуска появляется сообщение о том, что процесс установки роли доменных служб Active Directory (то есть возведения в ранг DC) перемещен в диспетчер сервера, со ссылкой на статью «Installing AD DS by using Server Manager» (http://technet.microsoft.com/en-us/library/hh472162.aspx#BKMK_GUI), содержащую инструкции по установке AD DS. Это не просто внешнее изменение, так как сам процесс переработан до основания. Чтобы снизить вероятность ошибок, еще до повышения роли выполняется ряд предварительных проверок с последующей попыткой исправления ошибки конфигурации, либо выдачей сообщения (написанного понятно, а не на языке разработчиков) с описанием ошибки и предложением действий по ее исправлению. Как и для других административных задач в Server 2012, все, что можно сделать в графическом интерфейсе, может быть сделано в PowerShell, и наоборот. Сценарий PowerShell, содержащий все параметры, указанные при установке в графическом интерфейсе, можно экспортировать, что позволяет использовать его повторно на другом DC в данном домене.

Обновление каталога Active Directory до версии Windows Server 2012

В списке проблем, которые не дают администратору Active Directory спать по ночам, обновление схемы Active Directory всегда занимало едва ли не первое место. Эта проблема существует с момента появления каталога Active Directory в службе Windows 2000 и актуальна до сих пор. Почему обновление схемы Active Directory вызывает столько опасений? Все они сводятся к двум словам: «Возврата нет». Расширение схемы Active Directory, всегда сопровождающее переход к использованию новой версии операционной системы Windows Server, чрезвычайно трудно обратить вспять, и к этому варианту прибегают только в самых крайних обстоятельствах.

Однако сейчас, спустя одиннадцать лет с момента реализации, процесс ADPREP был признан весьма надежным, и излишнее волнение по поводу результатов его выполнения вряд ли оправдано. В версии Windows Server 2012 разработчики Microsoft сделали шаг вперед, объединив механизмы обновления леса и домена ADPREP с процессами подготовки контроллеров домена DCPROMO и интегрировав их в единый мастер Active Directory Domain Service Configuration Wizard, который «обо всем позаботится».

Давайте пошагово пройдем алгоритм, который я решил использовать при обновлении своего домашнего леса Windows Server 2008 R2 до версии Windows Server 2012. На данный момент у меня там два контроллера домена версии Windows Server 2008 R2 и три сайта. Я собираюсь выполнить обновление, используя сценарий, подходящий для малого и среднего бизнеса: мне нужен контроллер домена Windows Server 2012 в лесу Active Directory, чтобы использовать новые возможности (такие, как новый интерфейс корзины и детальные политики паролей), и мне не хочется отвлекаться на мелочи.

Для этого я беру обычный сервер с системой Windows Server 2012 и делаю его контроллером домена, последовательно выполняя инструкции мастеров Add Roles and Features и AD DS Configuration.

Процесс обновления леса, домена и контроллера домена до версии Windows Server 2012 в моем маленьком лесу занял 30 минут от начала и до конца. Конечно, ваши временные затраты могут отличаться, так как время обновления леса и домена зависит от количества имеющихся контроллеров домена и топологии сайта.

Этот комплексный, объединенный процесс подойдет не всем; многие администраторы крупных каталогов AD все равно захотят разбить процесс обновления на части и иметь над ним жесткий контроль. Однако для тех 80% каталогов Active Directory в мире, которыми управляют специалисты по ИТ, этот процесс обновления и расширения функциональности сделает переход окружения Active Directory на версию Windows Server 2012 куда более простой задачей.

Что нового в установке и удалении доменных служб Active Directory What’s New in Active Directory Domain Services Installation and Removal

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Развертывание домен Active Directory Services (AD DS) в Windows Server 2012 проще и быстрее, чем предыдущие версии Windows Server. Active Directory Domain Services (AD DS) deployment in Windows Server 2012 is simpler and faster than previous versions of Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. The AD DS installation process is now built on Windows PowerShell and is integrated with Server Manager. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory. The number of steps required to introduce domain controllers into an existing Active Directory environment is reduced. Это упрощает процесс создания новой среды Active Directory и повышает его эффективность. This makes the process for creating a new Active Directory environment simpler and more efficient. В новом процессе развертывания AD DS сведена к минимуму вероятность ошибок, которые могут воспрепятствовать установке. The new AD DS deployment process minimizes the chances of errors that would have otherwise blocked installation.

Кроме того, можно установить двоичные файлы роли сервера AD DS (то есть, роль сервера AD DS) на несколько серверов одновременно. In addition, you can install the AD DS server role binaries (that is the AD DS server role) on multiple servers at the same time. Можно также удаленно запускать мастер установки AD DS на отдельном сервере. You can also run the AD DS installation wizard remotely on an individual server. Эти улучшения обеспечивают большую гибкость при развертывании контроллеров домена под управлением Windows Server 2012, особенно для крупномасштабных глобальных развертываний, в которых требуется развернуть несколько контроллеров домена в офисах в разных регионах. These improvements provide more flexibility for deploying domain controllers that run Windows Server 2012, especially for large-scale, global deployments where many domain controllers need to be deployed to offices in different regions.

Установка AD DS имеет следующие особенности: AD DS installation includes the following features:

Интеграция Adprep.exe в процесс установки доменных служб Active Directory. Adprep.exe integration into the AD DS installation process. Трудоемкие задачи по подготовке существующей среды Active Directory, например необходимость использования разных учетных данных, копирования файлов Adprep.exe и входа в определенные контроллеры домена, упрощены или выполняются автоматически. The cumbersome steps required to prepare an existing Active Directory, such as the need to use a variety of different credentials, copy the Adprep.exe files, or log on to specific domain controllers, are all simplified or occur automatically. Это ускоряет установку AD DS и снижает вероятность ошибок, которые могут воспрепятствовать повышению роли контроллера домена. This reduces the time required to install AD DS and reduces the chances for errors that might otherwise block domain controller promotion.

В средах, где предпочтительно выполнить команды adprep.exe до установки нового контроллера домена, команды adprep.exe можно по-прежнему выполнять отдельно от установки AD DS. For environments where it is preferable to run adprep.exe commands in advance of a new domain controller installation, you can still execute adprep.exe commands separately from the AD DS installation. Версия adprep.exe Windows Server 2012 выполняется удаленно, поэтому можно выполнить все необходимые команды с сервера под управлением 64-разрядной версии Windows Server 2008 или более поздней. The Windows Server 2012 version of adprep.exe runs remotely, so you can execute all necessary commands from a server that runs a 64-bit version of Windows Server 2008 or later.

Новый процесс установки AD DS выполняется на основе Windows PowerShell и может быть инициирован удаленно. The new AD DS installation is built on Windows PowerShell and can be invoked remotely. Новый процесс установки AD DS интегрирован с диспетчером сервера, что позволяет использовать для установки AD DS тот же интерфейс, что и для установки других ролей сервера. The new AD DS installation is integrated with Server Manager, so you can use the same interface to install AD DS that you use when installing other server roles. При использовании Windows PowerShell командлеты развертывания AD DS обеспечивают дополнительные функциональные возможности и повышенную гибкость. For Windows PowerShell users, the AD DS deployment cmdlets provide greater functionality and flexibility. Варианты установки с помощью командной строки и графического интерфейса пользователя функционально эквивалентны. There is functional parity between command-line and GUI installation options.

Новый процесс установки AD DS включает проверку предварительных требований. The new AD DS installation includes prerequisite validation. Любые потенциальные ошибки можно обнаружить до начала установки. Any potential errors are identified before the installation begins. Условия возникновения ошибок можно заблаговременно устранить, предотвратив проблемы, связанные с неполным обновлением. You can correct error conditions before they occur without the concerns resulting from a partially complete upgrade. Например, если нужно выполнить команду adprep /domainprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения операции. For example, if adprep /domainprep needs to be run, the installation wizard verifies that the user has sufficient rights to execute the operation.

Страницы настройки сгруппированы в последовательность, отражающую требования наиболее общих параметров повышения роли, при этом связанные параметры сгруппированы, что уменьшает количество страниц мастера. Configuration pages are grouped in a sequence that mirrors the requirements of the most common promotion options with related options grouped in fewer wizard pages. Это улучшает контекст для выбора параметров установки. This provides better context for making installation choices.

Можно экспортировать сценарий Windows PowerShell, содержащий все параметры, заданные во время установки через графический интерфейс. You can export a Windows PowerShell script that contains all the options that were specified during the graphical installation. По окончании установки или удаления можно экспортировать параметры в сценарий Windows PowerShell для использования при автоматическом выполнении той же операции. At the end of an installation or removal, you can export the settings to a Windows PowerShell script for use with automating the same operation.

Перед перезагрузкой выполняется репликация только критически важных данных. Only critical replication occurs before reboot. Новый переключатель позволяет разрешить репликацию некритических данных перед перезагрузкой. New switch to allow replication of non-critical data before reboot. Дополнительные сведения см. в статье Аргументы командлета ADDSDeployment. For more information, see ADDSDeployment cmdlet arguments.

Мастер настройки доменных служб Active Directory The Active Directory Domain Services Configuration Wizard

Начиная с Windows Server 2012, мастер настройки служб домен Active Directory Services заменяет устаревшие мастер установки доменных служб Active Directory в качестве параметра пользовательского интерфейса для указания параметров при установке контроллера домена. Beginning with Windows Server 2012 , the Active Directory Domain Services Configuration Wizard replaces the legacy Active Directory Domain Services Installation Wizard as the user interface (UI) option to specify settings when you install a domain controller. Мастер настройки доменных служб Active Directory запускается после завершения работы мастера добавления ролей. The Active Directory Domain Services Configuration Wizard begins after Add Roles Wizard is finished.

Устаревшие мастер установки доменных служб Active Directory (dcpromo.exe) являются устаревшими, начиная с Windows Server 2012. The legacy Active Directory Domain Services Installation Wizard (dcpromo.exe) is deprecated beginning with Windows Server 2012.

В домен Active Directory Services (Level 100), ПРОЦЕДУРАХ пользовательского интерфейса показано, как запустить мастер добавления ролей, чтобы установить двоичные файлы роли сервера AD DS, а затем запустить мастер настройки служб домен Active Directory, чтобы завершить установку контроллера домена. In Install Active Directory Domain Services (Level 100), the UI procedures show how to start the Add Roles Wizard to install the AD DS server role binaries and then run the Active Directory Domain Services Configuration Wizard to complete the domain controller installation. В примерах Windows PowerShell показано, как выполнить оба этапа с помощью командлета развертывания AD DS. The Windows PowerShell examples show how to complete both steps using an AD DS deployment cmdlet.

Интеграция программы adprep.exe Adprep.exe integration

Начиная с Windows Server 2012, существует только одна версия Adprep.exe (нет 32-разрядной версии, adprep32.exe). Beginning with Windows Server 2012, there is only one version of Adprep.exe (there is no 32-bit version, adprep32.exe). Команды adprep запускаются автоматически при необходимости при установке контроллера домена под управлением Windows Server 2012 в существующий домен или лес Active Directory. Adprep commands are run automatically as needed when you install a domain controller that runs Windows Server 2012 to an existing Active Directory domain or forest.

Хотя операции Adprep выполняются автоматически, можно запускать программу adprep.exe отдельно. Although adprep operations are run automatically, you can run Adprep.exe separately. Например, если пользователь, устанавливающий AD DS, не является членом группы администраторов предприятия (необходимое условие для выполнения команды Adprep /forestprep), то может потребоваться выполнить команду отдельно. For example, if the user who installs AD DS is not a member of the Enterprise Admins group, which is required in order to run Adprep /forestprep, then you might need to run the command separately. Но только adprep.exe, если планируется обновление на месте первого контроллера домена Windows Server 2012 (иными словами, вы планируете обновление на месте операционной системы контроллера домена, работающего под управлением Windows Server 2012). But, you only have to run adprep.exe if you are planning to in-place upgrade your first Windows Server 2012 domain controller (in other words, you plan to in-place upgrade the operating system of a domain controller that runs Windows Server 2012).

Adprep.exe находится в папке \суппорт\адпреп установочного диска Windows Server 2012. Версия Windows Server 2012 средства Adprep может выполняться удаленно. Adprep.exe is located in the \support\adprep folder of the Windows Server 2012 installation disc. The Windows Server 2012 version of adprep is capable of executing remotely.

Версия adprep.exe Windows Server 2012 может выполняться на любом сервере под управлением 64-разрядной версии Windows Server 2008 или более поздней. The Windows Server 2012 version of adprep.exe can run on any server that runs a 64-bit version of Windows Server 2008 or later. Требуется сетевое подключение сервера к хозяину схемы для леса и к хозяину инфраструктуры домена, для которого вы хотите добавить контроллер домена. The server needs network connectivity to the schema master for the forest and the infrastructure master of the domain where you want to add a domain controller. Если какая-либо из этих ролей размещена на сервере под управлением Windows Server 2003, то программу Adprep необходимо запускать удаленно. If either of those roles is hosted on a server that runs Windows Server 2003, then adprep must be run remotely. Сервер, на котором запускается Adprep, необязательно должен быть контроллером домена. The server where you run adprep does not need to be a domain controller. Он может быть присоединен к домену или входить в рабочую группу. It can be domain joined or in a workgroup.

При попытке запустить версию adprep.exe Windows Server 2012 на сервере под управлением Windows Server 2003 появляется следующее сообщение об ошибке: If you try to run the Windows Server 2012 version of adprep.exe on a server that runs Windows Server 2003, the following error appears:

Adprep.exe не является допустимым приложением Win32. Adprep.exe is not a valid Win32 application.

Сведения об устранении других ошибок, возвращаемых программой adprep.exe, см. в разделе Известные проблемы. For information about resolving other errors returned by Adprep.exe, see Known issues.

Проверка членства в группах в сопоставлении с ролями хозяина операций в Windows Server 2003 Group membership check against Windows Server 2003 operations master roles

Для каждой команды (/forestprep, /domainprep или /rodcprep) Adprep проводит проверку членства в группах, чтобы определить, соответствуют ли указанные учетные данные учетной записи в определенных группах. For each command (/forestprep, /domainprep, or /rodcprep), Adprep performs a group membership check to determine whether the specified credential represents an account in certain groups. Чтобы выполнить эту проверку, Adprep обращается к владельцу роли хозяина операций. To perform this check, Adprep contacts the operations master role owner. Если хозяин операций работает под управлением Windows Server 2003 и, запуская программу adprep.exe, вы хотите гарантировать выполнение проверки членства в группах во всех случаях, вы должны указать параметры командной строки /user и /userdomain. If the operations master is running Windows Server 2003, you need to specify the /user and /userdomain command line parameters if you run Adprep.exe to ensure the group membership check is performed in all cases.

Параметры/User и/усердомаин являются новыми параметрами для Adprep.exe в Windows Server 2012. The /user and /userdomain are new parameters for Adprep.exe in Windows Server 2012 . Эти параметры определяют, соответственно, имя учетной записи и домен пользователя, который запускает команду Adprep. These parameters specify the user account name and user domain, respectively, of the user who runs the adprep command. Служебная программа командной строки adprep.exe не позволяет указывать один из параметров /userdomain или /user, пропуская другой. The Adprep.exe command-line utility blocks specifying one of /userdomain and /user but omitting the other.

Однако операции Adprep можно также выполнять в рамках установки AD DS с использованием Windows PowerShell или диспетчера серверов. However, Adprep operations can also be run as part of an AD DS installation using Windows PowerShell or Server Manager. В основе этих взаимодействий лежит та же реализация (adprep.dll), что и в основе adprep.exe. Those experiences share the same underlying implementation (adprep.dll) as adprep.exe. Windows PowerShell и диспетчер серверов используют отдельные учетные данные на входе, которые не устанавливают такие же требования, как adprep.exe. The Windows PowerShell and Server Manager experiences have their separate credentials input, which does not impose the same requirements as by adprep.exe. Используя Windows PowerShell или диспетчер серверов, можно передать в adprep.dll значение параметра /user, а параметр /userdomain пропустить. Using Windows PowerShell or Server Manager, it is possible to pass a value for /user but not /userdomain to adprep.dll. Если указан параметр/User, но/усердомаин не указан, то для выполнения проверки используется домен локального компьютера. If /user is specified but /userdomain is not specified, the local machine’s domain is used to perform the check. Если компьютер не присоединен к домену, членство в группах проверить нельзя. If the machine is not domain joined, group membership cannot be checked.

Если членство в группах проверить невозможно, Adprep отображает предупреждающее сообщение в файлах журнала Adprep и продолжает свою работу: When group membership cannot be checked, Adprep shows a warning message in the adprep log files and continues:

Если вы запускаете программу adprep.exe, не указывая параметры /user и /userdomain, и хозяин операций работает под управлением Windows Server 2003, то adprep.exe обращается к контроллеру домена в домене текущего пользователя, выполнившего вход в систему. If you run Adprep.exe without specifying the /user and /userdomain parameters and the operations master is running Windows Server 2003, Adprep.exe contacts a domain controller in the domain of the current logon user. Если учетная запись этого пользователя не является учетной записью домена, программа adprep.exe не сможет выполнить проверку членства в группах. If the current logon user is not a domain account, Adprep.exe cannot perform the group membership check. Adprep.exe также не сможет выполнить проверку членства в группах, если используются учетные данные смарт-карты, даже если вы укажете оба параметра /user и /userdomain. Adprep.exe also cannot perform the group membership check if smartcard credentials are used, even if you do specify both /user and /userdomain.

Если работа Adprep завершается успешно, никаких действий выполнять не нужно. If Adprep finishes successfully, there is no action required. Если работа Adprep завершилась ошибками доступа, укажите учетную запись с правильным членством. If Adprep fails during execution with access errors, provide an account with the correct membership. Дополнительные сведения см. в разделе Требования к учетным данным для выполнения программы adprep.exe и установки доменных служб Active Directory. For more information, see Credential requirements to run Adprep.exe and install Active Directory Domain Services.

Синтаксис Adprep в Windows Server 2012 Syntax for Adprep in Windows Server 2012

Для запуска программы Adprep отдельно от установки AD DS используйте следующий синтаксис: Use the following syntax to run adprep separately from an AD DS installation:

Для более подробного ведения журнала используйте в команде параметр /logdsid. Use /logdsid in the command in order to generate more detailed logging. Файл adprep.log находится в папке %windir%\System32\Debug\Adprep\Logs. The adprep.log is located in %windir%\System32\Debug\Adprep\Logs.

Запуск Adprep с помощью смарт-карты Running adprep using smartcard

Версия adprep.exe Windows Server 2012 работает с использованием смарт-карты в качестве учетных данных, но нет простого способа указать учетные данные с помощью командной строки. The Windows Server 2012 version of adprep.exe works using smartcard as credentials, but there is no easy way to specify the smart card credential through the command line. Один из способов сделать это — получить учетные данные смарт-карты с помощью командлета PowerShell Get-Credential. One way to do it is to obtain the smart card credential through PowerShell cmdlet Get-Credential. Затем следует использовать имя пользователя из возвращенного объекта PSCredential, которое отображается как @@. . Then use the user name of the returned PSCredential object, which appears as @@. . Паролем служит ПИН-код смарт-карты. The password is the PIN of the smart card.

Программа adprep.exe требует указать параметр /userdomain, если параметр /user задан. Adprep.exe requires /userdomain if /user is specified. Для учетных данных смарт-карты параметр /userdomain должен соответствовать домену учетной записи пользователя, которую представляет смарт-карта. For smartcard credentials, the /userdomain should be the domain of the underlying user account represented by the smartcard.

Команда adprep /domainprep /gpprep не выполняется автоматически Adprep /domainprep /gpprep command is not run automatically

Команда adprep /domainprep /gpprep не выполняется в рамках установки AD DS. The adprep /domainprep /gpprep command is not run as part of AD DS installation. Эта команда устанавливает разрешения, необходимые для режима планирования результирующей политики. This command sets permissions that are required for Resultant Set of Policy (RSOP) planning mode functionality. Подробнее об этой команде см. в статье 324392 базы знаний Майкрософт. For more information about this command, see Microsoft Knowledge Base article 324392. Если команду нужно выполнить в вашем домене Active Directory, ее можно запустить отдельно от установки AD DS. If the command needs to be run in your Active Directory domain, you can run it separately from the AD DS installation. Если команда уже была выполнена во время подготовки к развертыванию контроллеров домена, работающих под управлением Windows Server 2003 с пакетом обновления 1 или более поздней версии, запускать команду повторно не нужно. If the command has already been run in preparation of deploying domain controllers that run Windows Server 2003 SP1 or later, the command does not need to be run again.

Контроллеры домена под управлением Windows Server 2012 можно безопасно добавить в существующий домен без запуска adprep/domainprep/гппреп, но режим планирования RSOP будет работать неправильно. You can safely add domain controllers that run Windows Server 2012 to an existing domain without running adprep /domainprep /gpprep, but RSOP planning mode will not function properly.

Проверка предварительных требований для установки доменных служб Active Directory AD DS installation prerequisite validation

Мастер установки AD DS перед началом установки проверяет, выполняются ли следующие предварительные условия. The AD DS installation wizard checks that the following prerequisites are met before the installation begins. Это позволяет исправить ошибки, которые могут воспрепятствовать установке. This provides you with a chance to correct issues that can potentially block installation.

Предварительные требования, связанные с программой Adprep, включают, например, следующие. For example, Adprep-related prerequisites include:

• Проверка учетных данных Adprep: если нужно запустить программу Adprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения необходимых операций Adprep. Adprep credential verification: If adprep needs to be run, the installation wizard verifies that the user has sufficient rights to execute the required Adprep operations.
• Проверка доступности хозяина схемы: если мастер установки определит, что необходимо выполнить команду adprep /forestprep, он проверяет, подключен ли к сети хозяин схемы, и, если нет, завершается ошибкой. Schema master availability check: If the installation wizard determines that adprep /forestprep needs to be run, it verifies that the schema master is online and fails otherwise.
• Проверка доступности хозяина инфраструктуры: если мастер установки определит, что необходимо выполнить команду adprep /domainprep, он проверяет, подключен ли к сети хозяин инфраструктуры, и, если нет, завершается ошибкой. Infrastructure master availability check: If the installation wizard determines that adprep /domainprep needs to be run, it verifies that the infrastructure master is online and fails otherwise.

Другие проверки предварительных требований, которые были перенесены из прежнего мастера установки Active Directory (dcpromo.exe), включают следующее. Other prerequisite checks that are carried forward from the legacy Active Directory Installation Wizard (dcpromo.exe) include:

• Проверка имени леса: проверка того, является ли имя леса допустимым и не существует ли уже оно. Forest name verification: Ensures that the forest name is valid and does not currently exist.
• Проверка NetBIOS-имени: проверка того, является ли указанное NetBIOS-имя допустимым и не конфликтует ли оно с существующими именами. NetBIOS name verification: Checks that provided NetBIOS name is valid and does not conflict with existing names.
• Проверка путей к компонентам: проверка того, являются ли допустимыми пути к базе данных Active Directory, журналам и SYSVOL и достаточно ли для них свободного места на диске. Component path verification: Verifies that paths for the Active Directory database, logs, and SYSVOL are valid and that there is enough disk space available for them.
• Проверка имени дочернего домена: проверка того, являются ли имена родительского и нового дочернего доменов допустимыми и не конфликтуют ли они с существующими доменами. Child domain name verification: Ensures that the parent and new child domain names are valid and that they do not conflict with existing domains.
• Проверка имени домена дерева: проверка того, является ли указанное имя домена в дереве допустимым и не существует ли уже оно. Tree domain name verification: Ensures that the specified tree name is valid and that it does not currently exist.

Требования к системе System requirements

Для некоторых компонентов могут быть установлены дополнительные требования. Some features can have additional requirements. Например, функция клонирования виртуального контроллера домена требует, чтобы эмулятор PDC выполнял Windows Server 2012 и компьютер под управлением Windows Server 2012 с установленной ролью Hyper-V. For example, the virtual domain controller cloning feature requires that the PDC emulator run Windows Server 2012 and a computer running Windows Server 2012 with the Hyper-V role installed.

Известные проблемы Known issues

В этом разделе перечислены некоторые из известных проблем, влияющих на AD DS установки в Windows Server 2012. This section lists some of the known issues that affect AD DS installation in Windows Server 2012 . Дополнительные сведения об известных проблемах см. в разделе Устранение проблем при развертывании контроллера домена. For additional known issues, see Troubleshooting Domain Controller Deployment.

Если доступ WMI к хозяину схемы заблокирован брандмауэром Windows при удаленном выполнении команды adprep /forestprep, то в журнале Adprep в каталоге %systemroot%\system32\debug\adprep появляется следующее сообщение об ошибке: If WMI access to the schema master is blocked by Windows Firewall when you remotely run adprep /forestprep, the following error is logged in the adprep log at %systemroot%\system32\debug\adprep:

В этом случае можно обойти ошибку, либо запустив команду adprep /forestprep непосредственно на хозяине схемы, либо выполнив одну из следующих команд, которые разрешают передачу трафика WMI через брандмауэр Windows. In this case, you can work around the error by either running adprep /forestprep directly on the schema master, or you can run one of the following commands to allow WMI traffic through Windows Firewall.

Для Windows Server 2008 или более поздней версии: For Windows Server 2008 or later:

Для Windows Server 2003: For Windows Server 2003:

По завершении работы программы Adprep можно снова заблокировать трафик WMI, выполнив любую из следующих команд: After adprep finishes you can run either of the following commands to block WMI traffic again:

Чтобы отменить выполнение командлета Install-ADDSForest, можно нажать клавиши CTRL+C. You can type Ctrl + C to cancel the Install-ADDSForest cmdlet. Установка будет прекращена, и любые изменения состояния сервера будут отменены. The cancellation stops the installation and any changes that were made to the state of the server are reverted. Однако после выполнения команды отмены управление не вернется к Windows PowerShell и командлет может зависнуть на неопределенное время. But after the cancellation command is issued, control is not returned to Windows PowerShell, and the cmdlet can hang indefinitely.

Установка дополнительного контроллера домена с использованием учетных данных смарт-карты завершится ошибкой, если целевой сервер не был присоединен к домену перед установкой. Installation of an additional domain controller using smart card credentials fails if the target server is not joined to the domain before installation.

В этом случае возвращается следующее сообщение об ошибке: The error message returned in this case is:

Не удается подключиться к исходному контроллеру домена репликации имя исходного контроллера домена. Unable to connect to the replication source domain controller source domain controller name. (Исключение: ошибка при входе: неизвестное имя пользователя или неверный пароль) (Exception: Logonfailure: unknown user name or bad password)

Если вы присоедините целевой сервер к домену и затем проведете установку с использованием смарт-карты, то установка завершится успешно. If you join the target server to the domain and then perform the installation using a smart card, the installation succeeds.

Модуль ADDSDeployment не поддерживает 32-разрядные процессы. The ADDSDeployment module does not run under 32-bit processes. При автоматизации развертывания и настройки Windows Server 2012 с помощью скрипта, включающего командлет Аддсдеплоймент и любого другого командлета, который не поддерживает машинные 64-разрядные процессы, сценарий может завершиться ошибкой с ошибкой, указывающей на то, что не удается найти командлет Аддсдеплоймент. If you are automating deployment and configuration of Windows Server 2012 using a script that includes an ADDSDeployment cmdlet and any other cmdlet that does not support native 64-bit processes, the script can fail with an error that indicates the ADDSDeployment cmdlet cannot be found.

В этом случае нужно запустить командлет ADDSDeployment отдельно от командлета, который не поддерживает собственные 64-разрядные процессы. In this case, you need to run the ADDSDeployment cmdlet separately from the cmdlet that does not support native 64-bit processes.

В Windows Server 2012 имеется новая файловая система под названием «устойчивая файловая система». There is a new file system in Windows Server 2012 named Resilient File System. Не храните базу данных Active Directory, файлы журнала или SYSVOL на томе данных, отформатированном под файловую систему Resilient File System (ReFS). Do not store the Active Directory database, log files, or SYSVOL on a data volume formatted with Resilient File System (ReFS). Дополнительные сведения о ReFS см. в статье Создание файловой системы нового поколения для Windows: ReFS. For more information about ReFS, see Building the next generation file system for Windows: ReFS.

В диспетчер сервера серверы, выполняющие AD DS или другие роли сервера в установке Server Core и обновленные до Windows Server 2012, роль сервера может отображаться с красным состоянием, даже если события и состояние собираются как ожидается. In Server Manager, servers that run AD DS or other server roles on a Server Core installation and have been upgraded to Windows Server 2012 , the server role can appear with red status, even though events and status are collected as expected. Также могут повлиять серверы, на которых выполняется установка Server Core на предварительном выпуске Windows Server 2012. Servers that run a Server Core installation of a preliminary release Windows Server 2012 can also be impacted.

Установка доменных служб Active Directory зависает, если ошибка мешает репликации критически важных данных Active Directory Domain Services installation hangs if an error prevents critical replication

Если при установке AD DS будет обнаружена ошибка на этапе репликации критически важных данных, то установка может зависнуть на неопределенное время. If the AD DS installation encounters an error during the critical replication phase, the installation can hang indefinitely. Например, если сетевые ошибки мешают завершить репликацию критически важных данных, то установка не продолжится. For example, if networking errors prevent critical replication from completing, the installation will not proceed.

При установке с помощью диспетчера серверов страница хода установки может оставаться открытой, но ошибки на экране не отображаются и состояние процесса может не меняться около 15 минут. If you are installing using Server Manager, you may see the installation progress page remain open, but there is no error reported on screen, and the progress may not change for about 15 minutes. При использовании Windows PowerShell состояние процесса, отображаемое в окне Windows PowerShell, не будет меняться на протяжении более 15 минут. If you are using Windows PowerShell, the progress shown in the Windows PowerShell window will not change for more than 15 minutes.

В случае возникновения этой проблемы проверьте файл dcpromo.log в папке %systemroot%\debug на целевом сервере. If you experience this problem, check the dcpromo.log file in the %systemroot%\debug folder on the target server. Обычно файл журнала содержит сведения о повторяющихся сбоях репликации. The log file will typically indicate repeated failures to replicate. Некоторые известные причины этой проблемы Some known causes for this problem are:

Сетевые неполадки мешают репликации критически важных данных между целевым сервером, роль которого повышается, и исходным контроллером домена репликации. Networking problems prevent critical replication between the target server being promoted and the replication source domain controller.

Например, файл dcpromo.log может содержать следующие данные: For example, the dcpromo.log shows:

Поскольку в процессе установки попытки репликации критически важных данных повторяются бесконечное число раз, установка контроллера домена продолжится, если проблемы с сетью будут решены. Because the installation process retries critical replication indefinitely, the domain controller installation proceeds if the underlying network problems are resolved. Исследуйте проблему с сетью с использованием таких средств, как ipconfig, nslookup и netmon, если необходимо. Investigate the networking problem using tools such as ipconfig, nslookup, and netmon as needed. Убедитесь, что существует подключение между контроллером домена, уровень которого вы повышаете, и партнером репликации, выбранным во время установки AD DS. Ensure connectivity exists between the domain controller you are promoting and the replication partner selected during the AD DS installation. Также убедитесь, что разрешение имен работает. Also make sure name resolution is working.

Требования для установки AD DS к сетевому подключению и разрешению имен проверяются во время проверки необходимых компонентов перед началом установки. AD DS installation requirements for network connectivity and name resolution are validated during the prerequisite check before the installation begins. Но некоторые ошибочные состояния могут возникнуть после выполнения проверки необходимых компонентов и до завершения установки, например если партнер репликации становится недоступным во время установки. But some error conditions can arise in the time after prerequisite validation occurs and before the installation completes, such as if the replication partner becomes unavailable during installation.

Во время установки контроллера домена репликации учетная запись локального администратора на целевом сервере указана для учетных данных установки, а пароль этой учетной записи совпадает с паролем учетной записи администратора домена. During replica domain controller installation, the local Administrator account of the target server is specified for the installation credentials and the password of the local Administrator account matches the password of a Domain Admin account. В этом случае можно завершить работу мастера установки и начать установку, прежде чем возникнет ошибка «доступ запрещен». In this case, you can complete the installation wizard and begin the installation before you encounter the «Access is denied» failure.

Например, файл dcpromo.log может содержать следующие данные: For example, the dcpromo.log shows:

Если причиной ошибки стало указание локальной учетной записи администратора и пароля, для восстановления необходимо повторно установить операционную систему, выполнить очистку метаданных учетной записи контроллера домена, установка которой завершилась с ошибками, а затем повторить попытку установки AD DS с использованием учетных данных администратора домена. If the error is caused by specifying a local Administrator account and password, in order to recover you need to reinstall the operating system, perform metadata cleanup of the account for the domain controller that failed to complete installation, and then retry the AD DS installation using Domain Admin credentials. Это ошибочное состояние не может быть исправлено перезапуском сервера, потому что сервер определит, что AD DS установлена, даже если установка не была успешна завершена. Restarting the server will not correct this error condition because the server will indicate that AD DS is installed even though the installation did not finish successfully.

Мастер настройки доменных служб Active Directory выдает предупреждение, когда указано ненормализованное DNS-имя Active Directory Domain Services Configuration Wizard warns when a non-normalized DNS name is specified

Если вы создаете новый домен или лес и указываете DNS-имя домена, содержащее ненормализованные международные символы, то мастер настройки доменных служб Active Directory отображает предупреждение о том, что DNS-запросы имени могут завершиться ошибкой. If you create a new domain or forest and you specify a DNS domain name that includes internationalized characters that are not normalized, then the Active Directory Domain Services Configuration Wizard displays a warning that DNS queries for the name can fail. Хотя DNS-имя домена указывается на странице конфигурации развертывания, предупреждение позднее выводится на странице проверки предварительных требований в мастере. Although the DNS domain name is specified in the Deployment Configuration page, the warning appears on the Prerequisites Check page later in the wizard.

Если доменное имя DNS указано с использованием ненормализованного имени, такого как фüßбалл. com или ‘ ΣΤ ‘. com (нормализованные версии: füssball.com и βστα. com), клиентские приложения, которые пытаются получить к нему доступ с помощью WinHTTP, будут нормализовать имя перед вызовом API разрешения имен. If a DNS domain name is specified using an un-normalized name like füßball.com or ‘ΣΤ’.com (the normalized versions are: füssball.com and βστα.com), client applications that try to access it with WinHTTP will normalize the name before calling name resolution APIs. Если пользователь вводит в каком-либо диалоговом окне «ΣΤ». com, запрос DNS будет отправлен как «βστα. com», а DNS-сервер не будет сопоставлять его с записью ресурса «ΣΤ». com «. If the user types «‘ΣΤ’.com» on some dialog, the DNS query will be sent as «βστα.com» and no DNS server will match it with a resource record for «‘ΣΤ’.com». Пользователь не сможет разрешить имя. The user will be unable to resolve name.

Следующий пример поясняет одну из проблем, которая может возникнуть при использовании ненормализованного IDN-имени: The following example explains one of the issues that can happen when using an IDN name that is not normalized:

1. Домен, использующий ненормализованное имя, создается и регистрируется на DNS-сервере: фüßбалл. com The domain using a non-normalized name is created and registered on dns server: füßball.com
2. Компьютер «NPS» присоединен к домену и получает зарегистрированное имя: NPS. фüßбалл. com Machine «nps» is joined to the domain and gets its name registered: nps.füßball.com
3. Клиентское приложение пытается подключиться к серверу NPS. фüßбалл. com A client application tries to connect to the server nps.füßball.com
4. Клиентское приложение пытается разрешить имя NPS. фüßбалл. com, вызывающее API разрешения имени. The client application tries to resolve the name nps.füßball.com calling name resolution APIs.
5. Из-за нормализации имя преобразуется в nps.füssball.com и запрашивается по сети как NPS. фüßбалл. com Due to normalization, the name gets converted to nps.füssball.com and is queried over the wire as nps.füßball.com
6. Клиентскому приложению не удается разрешить имя, так как зарегистрированное имя — NPS. фüßбалл. com The client application is unable to resolve the name since the registered name is nps.füßball.com

Если на странице проверки предварительных требований в мастере настройки доменных служб Active Directory появляется предупреждение, вернитесь на страницу конфигурации развертывания и укажите нормализованное DNS-имя домена. If the warning appears in the Prerequisites Check page in the Active Directory Domain Services Configuration Wizard, return to the Deployment Configuration page and specify a normalized DNS domain name. Если вы устанавливаете новый домен с помощью Windows PowerShell, укажите нормализованное DNS-имя для параметра -DomainName. If you are installing a new domain using Windows PowerShell, specify a normalized DNS name for the -DomainName option.