1(共 1)對本文的評價是有幫助 - 評價此主題
更新時間: 2011年11月
應用到: Windows Server 2008, Windows Server 2008 R2
本主題介紹將域控制器升級到 Windows Server 2008 或 Windows Server 2008 R2 的過程。這些信息基於 Microsoft 客戶服務和支持 (CSS) 團隊的經驗。本主題包含指向升級過程相關信息的鏈接。
若要獲取本指南的可打印 .doc 文件格式的副本,請參閱 Microsoft 下載中心 (http://go.microsoft.com/fwlink/?LinkId=178585) 的將 Active Directory 域升級到 Windows Server 2008 和 Windows Server 2008 R2 AD DS 域(可能為英文網頁)。
- Windows Server 2008 和 Windows Server 2008 R2 中 AD DS 的新增功能
- 安裝 Windows Server 2008 和 Windows Server 2008 R2 的系統要求
- 支持的就地升級路徑
- 功能級別的功能和要求
- 客戶端、服務器和應用程序互操作性
- 操作主機角色
- DNS 問題
- IPv6 和 AAAA 記錄的互操作性
- 升級到 Windows Server 2008 和 Windows Server 2008 R2 時的已知問題
- Windows Server 2008 和 Windows Server 2008 R2 中的安全默認設置
- Hyper-V、VMWARE 和其他虛擬化軟件上的虛擬化域控制器
- 管理、遠程管理和跨版本管理
- 為 Windows Server 2008 和 Windows Server 2008 R2 配置 Windows 時間服務
- 開始前可以進行的驗證和可以安裝的建議修補程序
- 運行 Adprep 命令
- 升級域控制器
- 錯誤疑難解答
下表中具有指向 Windows Server 2008 和 Windows Server 2008 R2 中新增特性與功能的詳細信息的鏈接。
| 操作系統 | 新增功能 |
|---|---|
| Windows Server 2008 |
有關每種功能、特殊注意事項以及如何准備部署的信息,請參閱從 Windows Server 2003 Service Pack 1 (SP1) 到 Windows Server 2008 的功能更改 (http://go.microsoft.com/fwlink/?LinkId=164410)(可能為英文網頁)。 有關 Windows Server 2008 中的 Active Directory 域服務 (AD DS) 的特定功能的信息,請參閱 Active Directory 域服務角色 (http://go.microsoft.com/fwlink/?LinkId=164414)。 舊版本 Windows Server 中的一些功能在 Windows Server 2008 中已棄用。例如,已默認刪除了 SMTP 復制功能。有關更多信息,請參閱 Microsoft 知識庫中的文章 947057 (http://go.microsoft.com/fwlink/?LinkId=164416)(可能為英文網頁)。默認情況下,瀏覽器服務在 Windows Server 2008 和 Windows Server 2008 R2 域控制器中已禁用。 |
| Windows Server 2008 R2 |
有關每種功能、特殊注意事項以及如何准備部署的信息,請參閱從 Windows Server 2008 到 Windows Server 2008 R2(測試版)的功能更改 (http://go.microsoft.com/fwlink/?LinkID=139049)(可能為英文網頁)。有關 Windows Server 2008 R2 中 AD DS 中的特定功能的信息,請參閱 Active Directory 域服務中的新增功能 (http://go.microsoft.com/fwlink/?LinkID=139655)。 在 Windows Server 2008 R2 中,Dcpromo.exe 不允許創建具有單標簽域名系統 (DNS) 名稱的域。如果嘗試在具有單標簽 DNS 名稱(如 contoso 而不是 contoso.com)的域中提升其他域控制器,則 Dcpromo.exe 中沒有用於安裝 DNS 服務器的復選框。支持在 Windows Server 2008 R2 和 Windows Server 2008 R2 單標簽域中升級 Windows Server 2003 域控制器。支持將其他 Windows Server 2008 R2 和 Windows Server 2008 R2 域控制器提升到現有單標簽 DNS 域中。 對於針對在相同環境中沒有 Windows Server 2003 或 Windows Server 2008 域控制器的 Windows Server 2008 R2 域控制器運行的 Windows NT 4 和 Windows 2000 MSMQ 客戶端,Windows Server 2008 R2 在域模式不支持 MSMQ。 有關在 Windows 7 和 Windows Server 2008 R2 中棄用的其他 Windows Server 2003 功能的更多信息,請參閱 Windows 7 和 Windows Server 2008 R2 的棄用功能 (http://go.microsoft.com/fwlink/?LinkId=177815)(可能為英文網頁)。 |
有關 AD DS 的其他已知問題的更多信息,請參閱安裝和刪除 AD DS 的已知問題 (http://go.microsoft.com/fwlink/?LinkId=164418)。
有關 Windows Server 2008 的系統要求,請參閱安裝 Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=164421) 中的“系統要求”。
有關 Windows Server 2008 中的 AD DS 的磁盤空間要求,請參閱有關安裝和刪除 AD DS 的已知問題 (http://go.microsoft.com/fwlink/?LinkId=164423) 中的磁盤空間和組件位置問題。
有關 Windows Server 2008 R2 的系統要求,請參閱安裝 Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=160341)。
有關 Windows Server 2008 R2 中的 AD DS 的磁盤空間要求,請參閱有關安裝和刪除 AD DS 的已知問題 (http://go.microsoft.com/fwlink/?LinkID=164423) 中的磁盤空間和組件位置問題。
Windows Server 2008 R2 域控制器上的 AD DS 數據庫 (Ntds.dit) 可能比 Windows 以前版本中的數據庫大,原因如下:
- Windows Server 2008 R2 域控制器上的聯機碎片整理進程有所更改。
- Windows Server 2008 R2 Adprep /forestprep 在大型鏈接表中添加了兩個新索引。
- 當啟用 Windows Server 2008 R2 Active Directory 回收站功能時,該功能將在已回收對象的生存時間內保留已刪除對象的屬性。
提升到 Windows 2000 域的 Windows Server 2008 域控制器上的 Active Directory 數據庫的大小應與 Windows 2000 域控制器上的 Active Directory 數據庫的大小相似。Windows Server 2008 R2 的添加內容將增加數據庫大小,添加由運行 Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 或 Windows Server 2008 R2 的域控制器支持的單實例存儲將抵消這一增加。Windows Server 2008 R2 域控制器的大小估計比 Windows Server 2008 域控制器大 10%,不包括 Active Directory 回收站。
在 Microsoft 的生產 Windows Server 2008 R2 域中,通過使用 deletedObjectLifetime 和 recycledObjectLifetime 的默認值 180 天,Active Directory 回收站功能將 AD DS 數據庫大小另外增加了原始 AD DS 數據庫大小的 15-20%。附加空間需求取決於可回收的對象的大小和數目。
如果到 Windows Server 2008 或 Windows Server 2008 R2 的就地升級自動回滾到以前的操作系統版本,請檢查承載 AD DS 數據庫和日志文件的分區上是否有足夠的可用磁盤空間。
要升級到 Windows Server 2008,請參閱升級到 Windows Server 2008 的指南 (http://go.microsoft.com/fwlink/?LinkID=146616) 中的“支持的升級路徑”。
要升級到 Windows Server 2008 R2,請參閱安裝 Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=160341) 和 Windows Server 2008 R2 升級路徑 (http://go.microsoft.com/fwlink/?LinkID=154894) 中“支持的升級路徑”。
升級現有域控制器或將新的域控制器提升到現有域中時,請考慮以下問題:
- 運行 Windows NT 4 或 Windows 2000 Server 的計算機不能就地升級到 Windows Server 2008 或 Windows Server 2008 R2。
- 支持從 Windows Server 2003 或 Windows Server 2003 R2 到 Windows Server 2008 或 Windows Server 2008 R2 的就地升級(需遵循受支持的 Windows Server 2008 R2 升級路徑),但有以下例外:基於 x86 的操作系統不能就地升級到基於 x64 的 Windows Server 2008 或 Windows Server 2008 R2 版本(該版本僅支持基於 x64 的體系結構)。
- x64 版本的 Windows Server 2008 可以就地升級到 Windows Server 2008 R2。
- 可寫的域控制器不能升級為 RODC。反之亦然。
- 運行 Windows Server 2008 R2 的完全安裝的服務器不能升級為運行 Windows Server 2008 R2 的服務器核心安裝的服務器。反之亦然。
- 要在現有域中引入操作系統版本比當前域控制器的操作系統版本高的域控制器,最佳做法是將新的域控制器作為額外的域控制器添加到現有域中。
- 有關支持的升級和不支持的升級的更多信息,請參閱 Windows Server 2008 R2 升級路徑 (http://go.microsoft.com/fwlink/?LinkID=154894)。
- Windows Server 2008 和 Windows Server 2008 R2 都將自動安裝 Internet 協議版本 6 (IPv6)。請勿隨意禁用或刪除 IPv6。
- 提升 RODC:
- adprep[32] /rodcprep 命令必須已成功完成。有關如何確認命令成功完成的信息,請參閱運行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
- 林功能級別必須為 Windows Server 2003 或更高。
- 目標域中必須存在一個可寫(或“完整”)的域控制器,該域控制器運行 Windows Server 2008 或 Windows Server 2008 R2。
Windows Server 2008 R2 不允許在擁有 Windows Server 2008 R2 域控制器的域與 Windows NT 4 域之間建立出站信任關系。Windows Server 2008 R2 可與 Windows NT 4.0 域建立入站信任關系,但是未經測試,也不提供技術支持。這可能會影響到您選擇升級域和域控制器的順序。
例如,假設擁有 Windows Server 2003 域控制器的域與擁有 Windows NT 4 域控制器的域之間存在信任關系。在這種情況下,您需要將 Windows NT 4 域中的域控制器更換為運行 Windows 2000 或更高版本操作系統的域控制器,然后才能升級或更換 Windows Server 2003 域中的域控制器。如果先更換或升級 Windows Server 2003 域中的域控制器,會導致這兩個域之間的信任關系失效。
如果要更換域控制器,請使用 Windows Server 2008 和 Windows Server 2008 R2 中的元數據清理方法。手動刪除原始角色持有者的 DNS 和 Windows Internet 名稱服務 (WINS) 記錄。有關更多信息,請參閱清理服務器元數據 (http://go.microsoft.com/fwlink/?LinkId=148150)。
如果要將 AD DS 服務器角色、DNS 服務器角色、IP 地址、計算機名稱和支持配置狀態從現有服務器遷移到新的 Windows Server 2008 或 Windows Server 2008 R2 目標服務器,請參閱 AD DS 和 DNS 服務器遷移:遷移 AD DS 和 DNS 服務器角色 (http://go.microsoft.com/fwlink/?LinkId=177812)。例如,如果要確保新服務器的 IP 地址或服務器名稱與舊服務器相同,或在舊 DNS 服務器上進行了配置更改(如注冊表更改或基於文件的 DNS 區域)並需要在新 DNS 服務器上保留這些更改,則請參閱此文章。
了解域和林功能 (http://go.microsoft.com/fwlink/?LinkId=164555) 介紹了為 Windows Server 2008 和 Windows Server 2008 R2 域和林功能級別啟用的功能。部署 Windows Server 2008 和 Windows Server 2008 R2 域控制器時的域和林功能級別要求如下:
- Adprep/forestprep 沒有任何域或林功能級別要求。
- Adprep /domainprep 要求每個目標域中都有一個 Windows 2000 純模式或更高的域功能級別。
- Adprep /rodcprep 沒有任何功能級別要求。
- 可以在沒有任何功能級別要求的相同域或林中安裝 Windows 2000、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 域控制器。
- 只讀的域控制器 (RODC) 升級需要 Windows Server 2003 林功能級別或更高級別。
- 不支持運行 Windows NT 4.0 和 Windows 7 或 Windows Server 2008 R2 的計算機之間的安全通道。受影響的操作包括通過安全通道進行的信任驗證、域加入和身份驗證。
- 不支持將 Windows NT 4.0、Windows 95 和 Windows 98 計算機加入 Windows Server 2008 和 Windows Server 2008 R2 域或域控制器。
下表列出了與域控制器交互的客戶端操作系統的支持信息。客戶端操作系統 域控制器操作系統 Windows NT 4
Windows 2000 Server
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
說明
Windows NT 4
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
改進的默認安全設置會禁止建立和維護域加入操作和安全通道操作,但這些操作在更改默認安全設置之后就能夠正常使用。有關更多信息,請參閱 Microsoft 知識庫中的文章 942564 (http://go.microsoft.com/fwlink/?LinkId=164558)(可能為英文網頁)。
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
改進的默認安全設置會禁止建立和維護域加入操作和安全通道操作,但這些操作在更改默認安全設置之后就能夠正常使用。
有關 Windows Server 2008 R2 與 Windows NT 4 域之間的出站信任的更多信息,請參閱文章 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835)。
默認情況下,在運行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上,AllowNT4Crypto 策略設置為 0。有關更多信息,請參閱 Windows Server 2008 和 Windows Server 2008 R2 中的安全默認設置。
Windows 2000
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
Windows XP
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
如果要部署 RODC,請參閱文章 944043。
Windows Server 2003
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
如果要部署 RODC,請參閱文章 944043。
Windows Server 2003 R2
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
Windows Vista
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
域控制器操作系統超出了其支持的生命周期。
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
無法將 Windows Server 2008 R2 或 Windows 7 計算機加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)
Windows Server 2008
未經 Windows 產品組測試,因此不提供支持,但可能能夠正常使用。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
域控制器操作系統超出了其支持的生命周期。
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
無法將 Windows Server 2008 R2 或 Windows 7 計算機加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)
Windows 7
強制禁止,不能正常使用
域控制器操作系統超出了其支持的生命周期。
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
Windows 7 和 Samba 3 互操作性 (http://go.microsoft.com/fwlink/?LinkId=192568)
無法將 Windows Server 2008 R2 或 Windows 7 計算機加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)
Windows Server 2008 R2
未經 Windows 產品組測試,因此不提供支持。CSS 可以提供最大程度的支持,但不提供升級支持和修補程序。
域控制器操作系統超出了其支持的生命周期。
有關 Windows Server 2008 R2 與 Windows NT 4 域之間的出站信任的更多信息,請參閱文章 2021766 (http://go.microsoft.com/fwlink/?LinkID=205835)。
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
經過全面測試,提供技術支持
Windows 7 和 Samba 3 互操作性 (http://go.microsoft.com/fwlink/?LinkId=192568)
無法將 Windows Server 2008 R2 或 Windows 7 計算機加入 Active Directory 域 (http://go.microsoft.com/fwlink/?LinkId=192570)
- Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows 7 客戶端計算機與可寫 Windows Server 2008 和 Windows Server 2008 R2 域控制器完全兼容。有關與 RODC 之間的成員計算機互操作性,請參閱部署 RODC 的已知問題 (http://go.microsoft.com/fwlink/?LinkID=164418)(可能為英文網頁)。
- 有關哪些版本的 Microsoft Exchange Server 可與不同版本的 Windows 互操作的更多信息,請參閱 Exchange 服務器可支持性矩陣 (http://go.microsoft.com/fwlink/?LinkID=165034)。
- Office Communications Server 2007 R2 中的群聊功能在 Windows Server 2008 R2 域中不能正常使用。有關更多信息,請參閱 Microsoft 知識庫中的文章 982020 (http://go.microsoft.com/fwlink/?LinkId=190459)。有關將 Office Communications Server 2007 R2 與具有不同版本的 Windows Server 以及不同的域和林功能級別的域控制器結合使用的更多信息,請參閱 Office Communications Server 版本支持的 Active Directory 環境 (http://go.microsoft.com/fwlink/?LinkId=190457)。
- 有關與 Windows Server 2008 兼容或不兼容的應用程序的列表,請參閱 Microsoft 知識庫中的文章 948680 (http://go.microsoft.com/fwlink/?LinkId=184903)。
- 有關與 Windows Server 2008 R2 兼容或不兼容的應用程序的列表,請參閱 Windows Server 2008 R2 支持的 Microsoft 服務器應用程序 (http://go.microsoft.com/fwlink/?LinkId=184918)(可能為英文網頁)。
- 有關與 RODC 兼容的應用程序的列表,請參閱已知可用於 RODC 的應用程序 (http://go.microsoft.com/fwlink/?LinkID=133779)。Exchange Server 需要一個可寫域控制器,因此,它不能使用 RODC。
- 有關如何將證書頒發機構 (CA) 從舊服務器移動到新服務器的信息,請參閱將 CA 移到其他計算機上 (http://go.microsoft.com/fwlink/?LinkId=185021)。有關如何移動證書服務器數據庫和日志文件的信息,請參閱 Microsoft 知識庫中的文章 238193 (http://go.microsoft.com/fwlink/?LinkId=185023)(可能為英文網頁)。
- 在向啟用了 RemoteFX 的 Windows Server 2008 R2 SP1 Hyper-V 主機添加 AD DS 服務器角色時,VM 來賓未能啟動,並且顯示錯誤“系統資源不足”。最佳做法是不要在承載 Hyper-V 服務器角色的計算機上安裝 AD DS(域控制器)角色。如果必須將 Hyper-V 和 AD DS 角色安裝到同一台物理計算機上,請勿安裝遠程桌面虛擬主機的 RemoteFX 子組件。
- 與早期版本的 Windows 相比,Windows Vista 和 Windows Server 2008 及更高版本的操作系統對出站連接使用更高的端口范圍。新的默認起始端口是 49152,默認結束端口是 65535。如果出現錯誤“終結點映射程序超出終結點范圍”,尤其是在停用 Windows 2000 或 Windows Server 2003 域控制器之后出現此錯誤,則可能需要重新配置防火牆和路由器,以便使用新的默認端口范圍。有關更多信息,請參閱文章 929851 (http://go.microsoft.com/fwlink/?LinkID=153117)。
Windows Server 2008 或 Windows Server 2008 R2 中用於放置操作主機角色(也稱為靈活單主機操作或 FSMO)方面的建議沒有任何更改。有關當前建議的更多信息,請參閱規划操作主機角色放置 (http://go.microsoft.com/fwlink/?LinkId=185222)。
有一些新的已知內置組,它們是在將保持林中的每個域中的主域控制器 (PDC) 仿真器主機角色的域控制器升級或傳送到 Windows Server 2008 或 Windows Server 2008 R2 之后或向域中添加只讀的域控制器 (RODC) 之后創建的。有關更多信息,請參閱附錄 A:將 Active Directory 域升級到 Windows Server 2008 AD DS 域的背景信息。
本節列出了運行 Windows Server 2008 或 Windows Server 2008 R2 的 DNS 服務器上可能發生的一些已知問題。對於其他與 DNS 相關的問題,也有修補程序可以解決。有關更多信息,請參閱開始前可以進行的驗證和可以安裝的建議修補程序。
- 如果運行的 Windows Server 2008 DNS 服務器配置為使用根提示進行 Internet 名稱的名稱解析,並且它們未能解析頂級域名稱,請參閱 Microsoft 知識庫的文章 968372 (http://go.microsoft.com/fwlink/?LinkId=190467) 中的解決步驟。
- 在承載 Active Directory 集成 DNS 區域並將自己指定為首選 DNS 服務器的域控制器上,啟動時間可能會長達 20 分鍾或更長,並且 DNS 日志中可能會出現事件 ID 4013。在打開 DNS 管理單元時,可能會出現以下錯誤消息:
“無法與 Server Win2k8DC 聯系。錯誤為:此服務器不可用。還要添加嗎?”
在打開 Active Directory 用戶和計算機時,可能會出現以下錯誤消息:
“不能定位名稱信息。”
當 DNS 服務器服務等待 AD DS 的初始同步完成,但由於必須解析的 DNS 記錄存儲在 Active Directory 集成的區域中(而本地 DNS 服務器無法訪問該區域),而導致 AD DS 初始同步無法完成時,就會發生此錯誤。
請嘗試按照以下方式更改配置,防止出現會記錄事件 ID 4013 的情況:- 在 AD DS 中刪除對不再存在的域控制器的引用。
- 恢復當前在 Active Directory 林中處於脫機狀態的域控制器的運行。
- 在 DNS 配置中避免單點故障。例如,列出多台備用 DNS 服務器。
- 配置承載了 Active Directory 集成 DNS 區域的域控制器,使其指向同一個站點和中心站點中的其他 DNS 服務器。
- 盡可能錯開企業中各台 DNS 服務器的重新啟動時間。
- 在關鍵地點安裝不間斷電源 (UPS) 設備,確保停電后 DNS 服務器的可用性,並利用現場發電機來增強 UPS 供電的 DNS 服務器。
- 默認情況下,運行 Windows Server 2008 R2 的服務器啟用了 DNS 擴展機制 (EDNS)。有關更多信息,請參閱升級到 Windows Server 2008 和 Windows Server 2008 R2 時的已知問題。
本節介紹運行不同版本 Windows Server 的 DNS 服務器的 IPv6 和 AAAA 資源記錄的互操作性問題。有關將 DNS 與 IPV4 和 IPv6 結合使用的更多信息,請參閱針對 IPv6/IPv4 共存配置 DNS (http://go.microsoft.com/fwlink/?LinkId=186688)(可能為英文網頁)。
| 問題 | Windows Server 2008 R2 | Windows Server 2008 | Windows Server 2003 |
|---|---|---|---|
| 注冊 AAAA 記錄 |
Yes |
Yes |
Yes |
| 復制 AAAA 記錄 |
Yes |
Yes |
Yes |
| 支持 AAAA 記錄類型 |
Yes |
Yes |
Yes |
| 偵聽 IPv6 網絡接口 |
Yes |
需要 Windows Server 2008 SP2 |
否 |
| 提供 Dnscmd.exe IPv6 支持 |
是 |
是 |
否 |
有關可能影響這些 Windows Server 版本的特定問題的更多信息,請閱讀以下發行說明:
Windows Server 2008 發行說明 (http://go.microsoft.com/fwlink/?LinkID=99299)
Windows Server 2008 R2 發行說明 (http://go.microsoft.com/fwlink/?LinkID=139330)
默認情況下,Windows Server 2008 R2 上啟用了 DNS 擴展機制 (EDNS)。如果在運行 Windows 2000、Windows Server 2003 或 Windows Server 2008 的 DNS 服務器升級或更換為運行 Windows Server 2008 R2 的 DNS 服務器之后,原本在舊 DNS 服務器上可以正常工作的查詢失敗,或者如果舊 DNS 服務器可以解析的查詢卻不能被 Windows Server 2008 R2 DNS 服務器解析,請使用以下命令禁用 EDNS:
dnscmd /Config /EnableEDnsProbes 0
如果某個域中具有新構建的客戶端計算機,則在登錄或注銷該域時,可能會出現 5 到 10 分鍾的延遲。將計算機加入 Active Directory 域之后,就可能會出現此問題。這會影響運行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 的計算機。導致此問題的原因可能是在客戶端計算機與林的根域控制器之間缺少連接。有關此問題的原因和解決步驟的更多信息,請參閱 Microsoft 知識庫中的文章 971198 (http://go.microsoft.com/fwlink/?LinkId=184883)。
如果將運行 Windows Server 2008 R2 的域控制器部署到包含 Windows Server 2003 和 Windows Server 2008 域控制器的現有域中,並且運行一個選中了“此帳戶需要使用 DES 加密類型”復選框的服務帳戶,則運行 Windows Server 2008 R2 的域控制器的系統日志中可能會出現事件 ID 16,即使為 Windows Server 2008 R2 啟用數據加密標准 (DES) 加密(默認是禁用的),也是如此。Windows Server 2003 和 Windows Server 2008 域控制器可正常處理身份驗證請求,而不會出現錯誤。
導致此問題的原因是 Windows Server 2008 R2 域控制器未能使用包含 DES 加密設置的第二種數據結構 BLOB,即使能夠通過對 Windows Server 2008 R2 域控制器進行身份驗證來成功入站復制該結構,也不能使用。在運行 Windows Server 2008 R2 和 SP1 的域控制器上,已經修復了此問題。
若要在運行 Windows Server 2008 R2(無 SP1)的域控制器上解決此問題,請執行以下操作:
- 在啟用 DES 加密的域控制器的組織單元 (OU) 上,鏈接或修改組策略對象 (GPO)。
有關更多信息,請參閱 Microsoft 知識庫中的文章 977321 (http://go.microsoft.com/fwlink/?LinkId=177717)(可能為英文網頁)。確保已配置策略,以便啟用所有加密類型。 - 在 Active Directory 用戶和計算機管理單元中,為 SAP 服務帳戶選中“此帳戶需要使用 DES 加密類型”復選框。
- 在運行 Windows Server 2008 R2(無 SP1)的所有域控制器上安裝來自 Microsoft 知識庫的 文章 978055 (http://go.microsoft.com/fwlink/?LinkId=185219) 中的修補程序。無需在現有域控制器上刪除並重新安裝 AD DS,即可安裝該修補程序。
與 Windows 2000 和 Windows Server 2003 域控制器相比,Windows Server 2008 和 Windows Server 2008 R2 域控制器具有以下安全默認設置。
| 加密類型或策略 |
Windows Server 2008 默認設置 |
Windows Server 2008 R2 默認設置 |
注釋 |
| AllowNT4Crypto |
已禁用 |
已禁用 |
第三方服務器消息塊 (SMB) 客戶端可能與 Windows Server 2008 和 Windows Server 2008 R2 域控制器上的安全默認設置不兼容。在所有情況下,均可以放寬這些設置以實現互操作性,但安全性將會受到影響。有關更多信息,請參閱 Microsoft 知識庫中的文章 942564 (http://go.microsoft.com/fwlink/?LinkId=164558)(可能為英文網頁)。 |
| DES |
已啟用 |
已禁用 |
Microsoft 知識庫中的文章 977321 (http://go.microsoft.com/fwlink/?LinkId=177717)(可能為英文網頁)。 |
| 集成身份驗證的 CBT/擴展保護 |
N/A |
已啟用 |
請參閱 Microsoft 安全顧問 (937811) (http://go.microsoft.com/fwlink/?LinkId=164559)(可能為英文網頁)和 Microsoft 知識庫上的文章 976918 (http://go.microsoft.com/fwlink/?LinkId=178251)(可能為英文網頁)。 根據需要,檢查並安裝 Microsoft 知識庫中的文章 977073 (http://go.microsoft.com/fwlink/?LinkId=186394)(可能為英文網頁)中的修補程序。 |
| LMv2 |
已啟用 |
已禁用 |
Microsoft 知識庫中的文章 976918 (http://go.microsoft.com/fwlink/?LinkId=178251)(可能為英文網頁)。 |
無論使用哪種虛擬主機軟件產品,請閱讀在 Hyper-V 中運行域控制器 (http://go.microsoft.com/fwlink/?LinkID=139651) 以了解與運行虛擬化域控制器相關的特殊要求。特定要求如下:
- 避免單點故障,例如使域或林中的所有域控制器均位於同一台 VM 主機上,或者位於同一個 SAN 或數據中心內等等。
- 不要停止或暫停域控制器。
- 不要還原域控制器角色計算機的快照。此操作會導致更新序列號 (USN) 回滾,而這可能導致域控制器數據庫之間的永久性不一致。
- 域控制器角色計算機的所有物理到虛擬 (P2V) 轉換都應在脫機模式下進行。System Center Virtual Machine Manager 針對 Hyper-V 強制執行這一操作。有關其他虛擬化軟件的信息,請參閱供應商文檔。
- 根據針對您的宿主軟件提供的建議,配置虛擬化域控制器以便與時間源同步。
- 有關在虛擬機上運行域控制器的更多注意事項,請參閱 Microsoft 知識庫中的文章 888794 (http://go.microsoft.com/fwlink/?LinkID=141292)(可能為英文網頁)。
針對 Windows Server 2008 和 Windows Server 2008 R2 操作系統的本地和遠程管理工具進行了以下更改。
- 服務器管理器安裝服務器角色(如 Active Directory 域服務)時,還將在本地安裝可用於管理該角色的所有 GUI 和命令行工具。若要在本地安裝工具以管理其他服務器角色,請在服務器管理器中單擊“添加功能”。
- 先前位於管理工具包 (ADMINPACK.MSI)、支持工具 (SUPPTOOLS.MSI) 和資源工具包工具中的 GUI 和命令行工具現已合並為一個名為遠程服務器管理工具 (RSAT) 的集合,它們可從 Microsoft 下載中心獲得,並安裝到 Windows Vista 或 Windows 7 等客戶端操作系統上。
- 隨着 64 位硬件和操作系統的日益普及,還發布了基於 x86(32 位)和基於 x64(64 位)版本的管理工具。
- 要使 RSAT 安裝的管理工具顯示在 Windows Vista 計算機的“開始”菜單中,還需要執行其他步驟。有關這些其他步驟,請參閱以下過程。
-
右鍵單擊“開始”,然后單擊“屬性”。
-
在“[開始] 菜單”選項卡上,單擊“自定義”。
-
在“自定義 [開始] 菜單”對話框中,向下滾動到“系統管理工具”,然后單擊“在 [所有程序] 菜單和 [開始] 菜單上顯示”。
-
單擊“確定”。
一般而言,管理工具只能在發布它們的操作系統版本上安裝和正確運行。例如,Windows Server 2008 管理工具只能在 Windows Vista 客戶端計算機和 Windows Server 2008 服務器計算機上安裝和運行。另一個例子是,如果您嘗試從 Windows Server 2003 中使用 DNS 管理單元或 Dnscmd.exe 來管理 Windows Server 2008 R2 DNS 服務器,會出現錯誤“禁止訪問”。
從服務器操作系統磁盤復制文件的管理工具通常不能在相應的客戶端操作系統上執行,並且得不到支持。例如,從 Windows Server 2008 操作系統磁盤復制到 Windows Vista 的工具將不能運行。請為用於管理服務器的客戶端計算機下載正確版本 RSAT,而不是復制工具。
有關更多信息,請參閱如何在本地和遠程管理 Microsoft Windows 客戶端和服務器計算機 (http://go.microsoft.com/fwlink/?LinkId=177813)(可能為英文網頁)。
有關更多信息,請參閱安裝遠程服務器管理工具 (http://go.microsoft.com/fwlink/?LinkID=153624)(可能為英文網頁)。
確保已正確配置以下域控制器角色以同步 Windows 時間服務 (W32time)。
物理計算機上的林根主域控制器 (PDC) 應從可靠外部時間源來同步時間。有關更多信息,請參閱在 PDC 仿真器上配置 Windows 時間服務 (http://go.microsoft.com/fwlink/?LinkId=91969)(可能為英文網頁)。
物理硬件或 Hyper-V 上安裝的所有其他域控制器都應使用默認的域層次結構(不需要更改配置)。
對於在非 Microsoft 虛擬化軟件上運行的域控制器,請向供應商咨詢。
Windows Server 2008 和 Windows Server 2008 R2 域控制器添加了時間回滾保護,以幫助阻止域控制器采用錯誤的時間。建議您通過使用組策略在 Windows Server 2003 域控制器以及 Windows Server 2008 和 Windows Server 2008 R2 Hyper-V 主機上添加時間回滾保護,以確保在執行前擁有策略詳細信息修補程序。有關更多信息,請參閱 Microsoft 知識庫中的文章 884776 (http://go.microsoft.com/fwlink/?LinkId=178255)。
最后,工作組虛擬主機和加入域的虛擬主機計算機上的時間應配置如下:
對於工作組主機計算機:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters\TYPE (REG_SZ) = NTP
- HKLM\system\CurrentControlSet\Services\W32Time\Parameters\NtpServer (REG_DWORD) = <時間服務器的完全限定主機名,如 time.windows.com>,0x08
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval (REG_DWORD) = 900(十進制)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD):2a300(十六進制)或 172800(十進制)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD):2a300(十六進制)或 172800(十進制)
加入域的主機計算機:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MinPollInterval (REG_DWORD):6(十進制)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32time\Config\MaxPollInterval (REG_DWORD):10(十進制)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection (REG_DWORD):2a300(十六進制)或 172800(十進制)
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection (REG_DWORD):2a300(十六進制)或 172800(十進制)
- 林中的所有域控制器都應滿足以下條件:
- 處於聯機狀態。
- 運行正常(運行 dcdiag /v 以查看是否存在問題。)
- 已成功入站復制和出站復制所有本地保持的 Active Directory 分區(在 Excel 中查看 repadmin /showrepl * /csv)。有關更多信息,請參閱 Repadmin 要求、語法和參數說明 (http://go.microsoft.com/fwlink/?LinkID=147380)(可能為英文網頁)中的 CSV 格式。
- 已成功入站復制和出站復制 SYSVOL。
- 過時或不存在的域控制器或無法進行復制的域控制器的元數據應從它們的相應域中刪除。有關更多信息,請參閱清理已刪除可寫域控制器的元數據(可能為英文網頁)中的內容,這些內容可在有關林恢復過程的附錄 A(http://go.microsoft.com/fwlink/?LinkID=164553)(可能為英文網頁)中找到。
- 所有域都必須位於 Windows 2000 純模式功能級別或更高級別,以便運行 adprep /domainprep。在此功能級別上不允許有 Windows NT 4.0 域控制器。
- 擁有足夠的可用磁盤空間來進行升級。
有關 Windows Server 2008 和 Windows Server 2008 R2 的磁盤空間要求的更多信息,請參閱安裝 Windows Server 2008 和 Windows Server 2008 R2 的系統要求。管理員的任務是准確預測 Windows Server 2008 和 Windows Server 2008 R2 域控制器上 Ntds.dit 文件的短期和長期增長,以便可以在物理和虛擬域控制器上正確設置承載 Active Directory 文件的硬盤和分區的大小。
- 檢查 Windows Server 2008 和 Windows Server 2008 R2 中是否存在與安全默認設置的不兼容性。有關更多信息,請參閱 Windows Server 2008 和 Windows Server 2008 R2 中的安全默認設置。
- 部署 Windows Server 2008 或 Windows Server 2008 R2 域控制器之前,請下載適用於 Active Directory 林的最新 Service Pack 和相關修補程序。
- 對於向 Windows Server 2008 或 Windows Server 2008 R2 的升級,請通過為操作系統添加最新的 Service Pack 和修補程序來創建集成安裝介質(“補充”)。截至 2009 年 9 月,Windows Server 2008 的最新 Service Pack 是 Service Pack 2 (SP2)。有關獲取最新 Service Pack 的信息,請參閱 Microsoft 知識庫中的文章 968849 (http://go.microsoft.com/fwlink/?LinkId=164585)(可能為英文網頁)和安裝 Windows Server 2008 Service Pack 2 (http://go.microsoft.com/fwlink/?LinkId=164586)。 Windows Server 2008 R2 包含來自 Windows Server 2008 SP2 的更新。若要確保具有所有最新更新,請參閱 Windows Update (http://go.microsoft.com/fwlink/?LinkID=47290) 或參閱 Microsoft 知識庫中的文章 968849 (http://go.microsoft.com/fwlink/?LinkID=164585)(可能為英文網頁)以了解下載信息。
- 如果您正在部署 RODC,請參閱 Microsoft 知識庫中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)(可能為英文網頁)。在 Windows 計算機上和適用於您的計算環境的方案中下載並安裝修補程序。
- 對於 Windows Server 2008 R2:如果在正在就地升級到 Windows Server 2008 R2 的 Windows Server 2008 計算機上安裝了 Active Directory 管理工具 (ADMT) 3.1,請在升級前刪除 ADMT 3.1,否則無法將其卸載。此外,ADMT 3.1 不能安裝在 Windows Server 2008 R2 計算機上。
- 下表列出了 Windows Server 2008 的修補程序。您可以單獨安裝修補程序,也可以安裝包含修補程序的 Service Pack。
下表列出了針對 Windows Server 2008 R2 的修補程序。描述
Microsoft 知識庫文章
Service Pack
在啟用 Windows Server 2008 或 Windows Vista SP1 中的 Windows 時間服務組策略設置時,Windows 時間服務中發生了意外行為
961027 (http://go.microsoft.com/fwlink/?LinkId=182336)(可能為英文網頁)
Windows Server 2008 SP2
配置為使用日語區域設置的域控制器
949189 (http://go.microsoft.com/fwlink/?LinkId=164588)(可能為英文網頁)
Windows Server 2008 SP2
在升級到 Windows Server 2008 的 Windows Server 2003 文件服務器上對 EFS 文件訪問進行加密
948690 (http://go.microsoft.com/fwlink/?LinkID=106115)(可能為英文網頁)
不包括在任何 Windows Server 2008 Service Pack 中
Windows Server 2008 輔助 DNS 服務器上的記錄在區域傳送后刪除
953317 (http://go.microsoft.com/fwlink/?LinkId=164590)(可能為英文網頁)
Windows Server 2008 SP2
沒有可用的轉發器時使用根提示
2001154 (http://go.microsoft.com/fwlink/?LinkId=165959)(可能為英文網頁)
在“組策略首選項”中設置區域設置信息會導致事件日志和依賴服務失敗。如果更改“區域選項”—“用戶區域設置”—“已啟用”,則 Windows 事件日志服務、DNS 服務器服務和任務計划程序服務將無法啟動。
有關保護和解析,請參閱 951430 (http://go.microsoft.com/fwlink/?LinkId=165960)(可能為英文網頁)。
將包括在 Windows Server 2008 SP3 中
GPMC 篩選器修補程序
949360 (http://go.microsoft.com/fwlink/?LinkID=184908)(可能為英文網頁)
Windows Server 2008 SP2
如果使用傳遞來解析 DNS 名稱(而不是后綴搜索列表),請應用 DNS 傳遞修補程序。
957579 (http://go.microsoft.com/fwlink/?LinkId=178224)(可能為英文網頁)
Windows Server 2008 SP2
組策略首選項再發布
943729 (http://go.microsoft.com/fwlink/?LinkId=164591)(可能為英文網頁)
974266 (http://go.microsoft.com/fwlink/?LinkID=165035)(可能為英文網頁)
Windows Server 2008 SP2
同步目錄服務還原模式 (DSRM) 管理員密碼與域用戶帳戶
961320 (http://go.microsoft.com/fwlink/?LinkId=177814)(可能為英文網頁)
使用 Crypt32.dll 的應用程序在運行 Windows Vista 或 Windows Server 2008 的計算機上會崩潰
982416 (http://go.microsoft.com/fwlink/?LinkID=196889)(可能為英文網頁)
Windows Server 2008 SP3
如果 Windows Server 2008 服務器運行了 IIS 且承載了 SSL 證書,則可能需要安裝文章 2379016 中的修補程序
2379016 (http://go.microsoft.com/fwlink/?LinkId=199533)(可能為英文網頁)
Windows Server 2008 SP3
如果 Windows Server 2008 域控制器使用 Active Directory 集成的區域並且具有 Microsoft 6to4 Adapter,則將自動刪除該域控制器的 AAAA 記錄
2408181 (http://go.microsoft.com/fwlink/?LinkId=204910)(可能為英文網頁)
Windows Server 2008 SP3
如果您擁有使用 Windows Server 2008 管理模板 (ADMX) 文件承載的組策略中央存儲,則可能必須升級 ADMX 文件或刪除中央存儲。有關更多信息,請參閱 Windows 7、Windows Server 2008 R2 和組策略中央存儲 (http://go.microsoft.com/fwlink/?LinkId=182337)(可能為英文網頁)。說明
Microsoft 知識庫文章
注釋
到 BIND 服務器的 Windows Server 2008 R2 動態 DNS 更新通過錯誤狀態 9502 來記錄 NETLOGON 事件 5774
977158 (http://go.microsoft.com/fwlink/?LinkId=178225)(可能為英文網頁)
Windows Server 2008 R2 SP1
如果修改了安全策略,則通過狀態 0x534 來記錄事件 ID 1202
974639 (http://go.microsoft.com/fwlink/?LinkId=165961)(可能為英文網頁)
Windows Server 2008 R2 SP1
TimeZoneKeyName 注冊表項名稱在 64 位升級時已損壞
2001086 (http://go.microsoft.com/fwlink/?LinkId=178226)(可能為英文網頁)
僅在動態 DST 區域中基於 x64 的服務器升級時發生。若要了解的服務器是否受到影響,請單擊任務欄時鍾。如果時鍾飛出指示出時區問題,則請單擊鏈接以打開日期和時間控制面板。
架構更新后在目錄服務日志中記錄事件 ID 1988
2005074 (http://go.microsoft.com/fwlink/?LinkId=185205)(可能為英文網頁)
某些正在接近邏輯刪除生存時間的已刪除對象可能仍存在於復制協議源中,並且向應復制出的對象的部分屬性集添加了一個屬性。如果復制同一對象時在目標域控制器上對該對象進行垃圾回收,則目標域控制器將記錄事件 ID 1988 和事件 ID 1388(可能)。
使用根提示的 Windows Server 2008 R2 DNS 服務器無法解析某些 DNS 查詢。
832223 (http://go.microsoft.com/fwlink/?LinkId=186576)(可能為英文網頁)
修補程序正在開發中。還計划用於 Windows Server 2008 R2 SP1。
Windows Server 2008 R2 域控制器無法對啟用了 DES 的客戶端進行身份驗證。
文章 978055 (http://go.microsoft.com/fwlink/?LinkId=185219)(可能為英文網頁)
Windows Server 2008 R2 SP1
對 Windows Server 2008 R2 域控制器進行身份驗證時,Windows XP 或 Windows Server 2003 成員服務器上的摘要式身份驗證失敗
977073 (http://go.microsoft.com/fwlink/?LinkId=186934)(可能為英文網頁)
Windows Server 2008 R2 SP1
在 Windows Server 2008 R2 中,當 DNS 服務器服務處理大量通過 DNS 服務器插件接口提交的並發查詢時,該服務可能會出現故障
2411958 (http://go.microsoft.com/fwlink/?LinkID=204908)(可能為英文網頁)
Windows Server 2008 R2 SP1
- 對於向 Windows Server 2008 或 Windows Server 2008 R2 的升級,請通過為操作系統添加最新的 Service Pack 和修補程序來創建集成安裝介質(“補充”)。截至 2009 年 9 月,Windows Server 2008 的最新 Service Pack 是 Service Pack 2 (SP2)。有關獲取最新 Service Pack 的信息,請參閱 Microsoft 知識庫中的文章 968849 (http://go.microsoft.com/fwlink/?LinkId=164585)(可能為英文網頁)和安裝 Windows Server 2008 Service Pack 2 (http://go.microsoft.com/fwlink/?LinkId=164586)。 Windows Server 2008 R2 包含來自 Windows Server 2008 SP2 的更新。若要確保具有所有最新更新,請參閱 Windows Update (http://go.microsoft.com/fwlink/?LinkID=47290) 或參閱 Microsoft 知識庫中的文章 968849 (http://go.microsoft.com/fwlink/?LinkID=164585)(可能為英文網頁)以了解下載信息。
本節介紹如何運行以下 adprep 命令。
如果在運行 Adprep 命令時遇到錯誤,請參閱 Adprep 錯誤。
- 標識保持架構操作主機角色(也稱為靈活單主機操作或 FSMO 角色)的域控制器,並驗證它自啟動以來已入站復制了架構分區。
- 運行 dcdiag /test:knowsofroleholders 命令。如果將架構角色分配給具有已刪除 NTDS 設置對象的域控制器,則請按照 Microsoft 知識庫中的文章 255504 (http://go.microsoft.com/fwlink/?LinkID=70776) 中的步驟操作,將該角色獲取到林根域中的一個活動域控制器。
- 使用林根域中具有 Enterprise Admins、Schema Admins 和 Domain Admins 憑據的帳戶登錄架構操作主機。默認情況下,林根域中的內置管理員帳戶擁有這些憑據。
- 在架構主機上運行 repadmin /showreps 命令。如果自啟動以來架構主機已入站復制了架構分區,則繼續執行下一步。否則,請使用立即復制副本命令 Dssite.msc 來啟動架構分區到架構主機的入站復制。(請參閱通過連接強制復制 (http://go.microsoft.com/fwlink/?LinkId=164634))。還可以使用 repadmin /replicate <架構主機名稱> <復制伙伴 GUID> 命令。showreps 命令將返回架構主機的所有復制伙伴的全局唯一標識符 (GUID)。
- 針對升級找到正確的 Adprep 版本:
- Windows Server 2008 安裝介質包含一個 adprep 版本 (Adprep.exe),它位於 Windows Server 2008 安裝磁盤的 \sources\adprep 文件夾中,可在基於 x86 和基於 x64 的操作主機上運行。
- Windows Server 2008 R2 安裝介質包含基於 x86 (Adprep32.exe) 和基於 x64 (Adprep.exe) 的 adprep 版本,它位於 Windows Server 2008 R2 安裝磁盤的 \support\adprep 文件夾中。
- 使用 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008 架構版本,可以將 Windows Server 2008 和 Windows Server 2008 R2 架構更新直接添加到林中。
- 在 Windows Server 2000 SP4、Windows Server 2003、Windows Server 2003 R2 和 Windows Server 2008(用於 Windows Server 2008 R2)操作主機上,可以直接運行 Windows Server 2008 和 Windows Server 2008 R2 版本的 adprep.exe。
- 如果將 Adprep.exe 從安裝介質復制到本地計算機或網絡共享,則請復制整個 adprep 文件夾,並提供到 Adprep.exe 文件的完整路徑。
- 使用 adprep /forestprep 更新林架構。
使用具有 Enterprise Admins、Schema Admin 和 Domain Admin 憑據的帳戶登錄到架構主機控制台后,請從 Windows Server 2008 或 Windows Server 2008 R2 安裝介質來運行相應版本的 adprep /forestprep。請指定到 Adprep.exe 的完整路徑,以避免運行 PATH 環境變量中可能存在的其他 Adprep 版本。
例如,如果從 DVD 驅動器或分配了驅動器號 D: 的網絡路徑運行 Windows Server 2008 版本的 Adprep,則要運行的命令如下:在 64 位架構主機上運行 Windows Server 2008 R2 Adprep 的語法如下:>D:\sources\adprep\adprep /forestprep
在基於 32 位 x86 的架構主機上運行 Windows Server 2008 R2 Adprep 的語法如下:<DVD 驅動器號>:\support\adprep\adprep /forestprep
有關 Windows Server 2008 adprep /forestprep 所執行的操作的列表,請參閱 Windows Server 2008:林范圍的更新 (http://go.microsoft.com/fwlink/?LinkId=164636)。D:\support\adprep\adprep32 /forestprep
有關 Windows Server 2008 R2 adprep /forestprep 所執行的操作的列表,請參閱 Windows Server 2008 R2:林范圍的更新 (http://go.microsoft.com/fwlink/?LinkId=164637)。
如果遇到錯誤,請參閱本主題后面的“Forestprep 錯誤”。
在已使用 Windows Server 2008 adprep /rodcprep 進行准備的林中,不必運行 Windows Server 2008 R2 adprep /rodcprep。請轉到 adprep /domainprep。
如果您是首次部署 RODC:
在使用 Enterprise Admins 憑據登錄到架構主機之后,請運行 adprep /rodcprep。
 備注 |
|---|
| 如果使用 Enterprise Admin 憑據進行登錄,則 Rodcprep 將在林中的任意成員計算機或域控制器上運行。可以在 adprep /domainprep 之前或之后運行 adprep /rodcprep。為方便起見,建議您在架構主機上在 adprep /forestprep 之后立即運行 adprep /rodcprep,因為此操作也需要 Enterprise Admins 憑據。
|
對於 Windows Server 2008 Rodcprep,請指定到 Adprep 的完整路徑。例如,如果 DVD 或網絡路徑分配了驅動器 D:,則運行以下命令:
c:\windows >D:\sources\adprep\adprep /rodcprep
對於 Windows Server 2008 R2:
- 如果運行 Rodcprep 的計算機是 64 位計算機,則運行以下命令:
D:\support\adprep\adprep /rodcprep
- 如果運行 Rodcprep 的計算機是 32 位計算機,則運行以下命令:
D:\support\adprep\adprep32 /rodcprep
如果遇到錯誤,請參閱本主題后面的“Rodcprep 錯誤”。
在部署 RODC 之前,根據需要在 Windows XP 或 Windows Server 2003 計算機上安裝 RODC 兼容包。有關更多信息,請參閱 Microsoft 知識庫中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)。
對於要向其添加 Windows Server 2008 或 Windows Server 2008 R2 域控制器的每個域:
- 運行 netdom query fsmo 或 dcdiag /test:<FSMO 測試名稱> 以標識結構操作主機。
- 如果將操作主機角色分配給已刪除或脫機域控制器,則將根據需要傳送或獲取角色。
- 使用具有 Domain Admins 憑據的帳戶登錄到結構主機。
- 使用以下語法從 Windows Server 2008 操作系統磁盤運行 Windows Server 2008 adprep /domainprep /gpprep:
備注
如果已針對 Windows Server 2003 運行過以下命令,就不必在該命令中添加 /gpprep 參數。 例如,如果 DVD 或網絡路徑分配了驅動器 D:,則使用以下語法:<驅動器>:\<路徑>\adprep /domainprep /gpprep
對於 Windows Server 2008 R2:D:\sources\adprep\adprep /domainprep /gpprep
如果結構主機是 64 位的,則使用以下語法:如果結構主機是 32 位的,則使用以下語法:D:\support\adprep\adprep /domainprep /gpprep
如果遇到錯誤,請參閱本主題后面的“Domainprep 錯誤”。D:\support\adprep\adprep32 /domainprep /gpprep
有關可以升級哪些種類的操作系統和域控制器的背景信息,請參閱支持的就地升級路徑。本節包含下列主題:
如果您正在進行這些就地升級中的一種升級,請完成以下步驟:
- 從 Windows Server 2003 域控制器升級到 Windows Server 2008 或 Windows Server 2008 R2
- 從 Windows Server 2008 或 Windows Server 2003 或域控制器升級到 Windows Server 2008 R2
- 如果在正在就地升級到 Windows Server 2008 的 Windows Server 2003 域控制器上安裝了日語區域設置,則請閱讀 Microsoft 知識庫中的文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能為英文網頁)並遵照執行。
- 如果在正在升級到 Windows Server 2008 R2 的 Windows Server 2003 或 Windows Server 2008 域控制器上安裝了 Active Directory 遷移工具 (ADMT) 版本 3.1,則請在升級前卸載 ADMT 3.1。
- 提升新的域控制器時,請確保關於新提升的域控制器的對象信息(域分區中的計算機帳戶和配置分區中的 NTDS 設置對象)已出站復制到足夠數量的域控制器上,在您退出具有該對象信息的林中的唯一域控制器之前,這些域控制器將保留在林中。例如,如果提升 DC2 並使用 DC1 作為幫助程序域控制器,則在退出 DC1 前,請確保 DC1 已將關於 DC2 的對象信息出站復制到其他域控制器上。在新提升的域控制器使用的幫助程序域控制器在出站復制發生之前快速降級時,這個問題尤其嚴重。
- 運行 <dvd 或網絡路徑>:\setup.exe。
- 閱讀 Microsoft 知識庫中的文章 942564 (http://go.microsoft.com/fwlink/?LinkID=164558)(可能為英文網頁),並針對您的環境考慮使用 AllowNT4Cryto 策略的正確設置。
- 如果 dcpromo.exe 失敗,請參閱 Dcpromo 錯誤。
- 如果在正在就地升級到 Windows Server 2008 的 Windows Server 2003 計算機上具有遠程加密的加密文件系統 (EFS) 文件,請閱讀 Microsoft 知識庫中的文章 948690 (http://go.microsoft.com/fwlink/?LinkID=106115)(可能為英文網頁)並遵照執行。此問題不適用於已升級到 Windows Server 2008 R2 的域控制器。
- 在就地升級后考慮安裝以下修補程序,除非它們已集成到安裝介質中:
- 如果正在安裝 Windows Server 2008,則請安裝 Service Pack 2 (SP2)。 Windows Server 2008 R2 包含 Windows Server 2008 SP2 修補程序。
- 如果在 Windows Vista 或 Windows Server 2008 計算機上使用組策略首選項,則請下載 Microsoft 知識庫中的文章 943729 (http://go.microsoft.com/fwlink/?LinkID=164591) 的 2009 年 7 月更新。
- 在 Microsoft 知識庫中的文章 949360 (http://go.microsoft.com/fwlink/?LinkID=184908)(可能為英文網頁)中下載組策略管理控制台 (GPMC) 篩選器 bug 的修補程序。
- 如果使用傳遞(與后綴搜索列表相對)來解析單標簽或非完全限定 DNS 名稱的 DNS 查詢,則請下載 DNS 傳遞修補程序。請參閱 Microsoft 知識庫中的文章 957579 (http://go.microsoft.com/fwlink/?LinkId=166140)(可能為英文網頁)。
如果正在將 Windows Server 2008 或 Windows Server 2008 R2 可寫域控制器就地到現有 Windows 2000 Server、Windows Server 2003 或 Windows Server 2008 域,則請完成以下步驟:
- 驗證目標域是否位於 Windows 2000 純模式域功能級別或更高級別。
- 如果正在提升配置為使用日語的 Windows Server 2008 域控制器,則請閱讀 Microsoft 知識庫中的文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能為英文網頁)並遵照執行。升級之后和第一次啟動進入正常模式之前,應立即安裝修補程序。
- 從 Windows“開始”菜單中運行 Dcpromo.exe(或在服務器管理器中安裝 Active Directory 域服務角色,然后運行 Dcpromo)。
- 出現 AllowNT4Crytpo 頁面時,請閱讀 Microsoft 知識庫中的文章 942564 (http://go.microsoft.com/fwlink/?LinkID=164558)(可能為英文網頁),並針對您的環境考慮使用 AllowNT4Cryto 的正確設置。
- 如果遇到錯誤,請參閱本主題末尾處的 Dcpromo 錯誤列表。
如果正在將 Windows Server 2008 RODC 就地升級到現有 Windows Server 2003 域、Windows Server 2008 域或混合使用這些操作系統的域,則請完成以下步驟:
- 如果 Dcpromo 中沒有用於安裝 RODC 的選項,則請驗證林功能級別是否為 Windows Server 2003 或更高級別。
- 如果沒有用於安裝 RODC 的選項,並且錯誤消息指示出該域中沒有 Windows Server 2008,則請驗證該域中是否存在 Windows Server 2008 域控制器,並驗證正在提升的 RODC 是否可訪問該域控制器。
- 如果錯誤消息指示出已將訪問拒絕,則請參閱 Microsoft 知識庫。
對於所有域控制器:
- 使用外部時間源配置林根 PDC。有關更多信息,請參閱使用外部時間源來配置林根 PDC (http://go.microsoft.com/fwlink/?LinkId=91969)(可能為英文網頁)。
- 對組織單位 (OUs) 和其他策略容器啟用刪除保護以防意外刪除。
- 為升級的和新提升的域控制器制作系統狀態備份。如果您提升了新域中的第一個域控制器,並且域中還沒有其他域控制器,則制作系統狀態備份對於恢復意外刪除情況更加重要。有關更多信息,請參閱 AD DS 備份和恢復循序漸進指南 (http://go.microsoft.com/fwlink/?LinkId=190448)。
- 僅使用可識別 Active Directory 的備份應用程序來還原域控制器或回滾 AD DS 的內容。域控制器不支持還原由映像軟件創建的快照。
安裝 AD DS 之后,請安裝以下修補程序。
| 備注 |
|---|
| 無法提供完整的修補程序列表。下面是 2010 年 10 月可提供的有關 AD DS 和 DNS 服務器角色的修補程序的列表。
|
| 修補程序 | 為 Windows Server 2008 應用修補程序 | 為 Windows Server 2008 R2 應用修補程序 |
|---|---|---|
| 文章 949189 (http://go.microsoft.com/fwlink/?LinkID=164588)(可能為英文網頁):日語區域設置 |
安裝文章 949189 或 Windows Server 2008 SP2。 |
不適用 |
| 文章 949360 (http://go.microsoft.com/fwlink/?LinkId=184908)(可能為英文網頁):GPMC 篩選器 bug |
安裝 Microsoft 知識庫文章 949360 或 Windows Server 2008 SP2。 |
不適用 |
| 文章 951191 (http://go.microsoft.com/fwlink/?LinkId=184906)(可能為英文網頁):KERB5KDC_ERR_C_PRINICPAL_UNKNOWN 錯誤 |
安裝 Microsoft 知識庫文章 951191 或 Windows Server 2008 SP2。 |
不適用 |
| 文章 943729 (http://go.microsoft.com/fwlink/?LinkID=164591):GPP 再發布 |
安裝 Microsoft 知識庫文章 943729 或 Windows Server 2008 SP3(如果可用)。 |
不適用 |
| 文章 957579 (http://go.microsoft.com/fwlink/?LinkId=184907)(可能為英文網頁):DNS 傳遞修補程序 |
安裝 Microsoft 知識庫文章 957579 或 Windows Server 2008 SP3(如果可用)。 |
不適用 |
| 文章 971438 (http://go.microsoft.com/fwlink/?LinkId=185193)(可能為英文網頁):GPO 不應用於作為嵌套組成員的計算機 |
安裝 Microsoft 知識庫文章 971438 或 Windows Server 2008 SP3(如果可用)。 |
不適用 |
| 文章 981370 (http://go.microsoft.com/fwlink/?LinkId=206168):如果在 Windows Server 2008 中指向某些 RWDC 的鏈接斷開了,則 RODC 上的 DNS 服務器服務會延遲幾分鍾才能響應 DNS 查詢 |
安裝 Microsoft 知識庫文章 981370 或 Windows Server 2008 SP3(如果可用)。 |
不適用 |
| 文章 976494 (http://go.microsoft.com/fwlink/?LinkId=206174):在運行 Windows 7 或 Windows Server 2008 R2 的計算機上使用 LookupAccountName 函數時,出現錯誤 1789 |
不適用 |
安裝 Microsoft 知識庫文章 976494 或 Windows Server 2008 R2 SP1(如果可用)。 |
| 文章 978277 (http://go.microsoft.com/fwlink/?LinkId=184911)(可能為英文網頁):指定的帳戶不存在 |
不適用 |
安裝 Microsoft 知識庫文章 978277 或 Windows Server 2008 R2 SP1(如果可用)。 |
| 文章 978387 (http://go.microsoft.com/fwlink/?LinkId=184915)(可能為英文網頁):Dcdiag 失敗,錯誤代碼 0x621 |
不適用 |
安裝 Microsoft 知識庫文章 978387 或 Windows Server 2008 R2 SP1(如果可用)。 |
| 文章 978516 (http://go.microsoft.com/fwlink/?LinkId=185190)(可能為英文網頁):多次讀取同一組文件時有明顯延遲 |
不適用 |
安裝 Microsoft 知識庫文章 978516 或 Windows Server 2008 R2 SP1(如果可用)。 |
| 文章 978837 (http://go.microsoft.com/fwlink/?LinkId=185191)(可能為英文網頁):應用 NRPT 策略設置的某些更改時,組策略管理編輯器窗口崩潰 |
不適用 |
安裝 Microsoft 知識庫文章 978837 或 Windows Server 2008 R2 SP1(如果可用)。 |
| 文章 2309290 (http://go.microsoft.com/fwlink/?LinkId=204904)(可能為英文網頁):當 Windows Server 2008 R2 中出現后台區域加載時,DNS 服務器服務不能正確響應多標簽名稱解析請求 |
不適用 |
安裝 Microsoft 知識庫文章 2309290 或 Windows Server 2008 R2 SP1(如果可用)。 |
對於 RODC:
- 如果正在部署 RODC,則請在所有 Windows Server 2008 可寫域控制器上安裝 Microsoft 知識庫中文章 953392 (http://go.microsoft.com/fwlink/?LinkID=150337)(可能為英文網頁)中的修補程序。Windows Server 2008 R2 可寫域控制器上不需要此修補程序。
- 請閱讀 Microsoft 知識庫中的文章 944043 (http://go.microsoft.com/fwlink/?LinkID=122974)(可能為英文網頁),並在受該知識庫文章中列出的方案影響的 Windows 客戶端和服務器計算機上安裝修正修補程序。
本節介紹 Adprep.exe 和 Dcpromo.exe 中的錯誤。如果遇到未涉及的錯誤,請搜索網站:Microsoft.com:“錯誤描述”或將您的問題發布到以下社區網站:
- 目錄服務 (http://go.microsoft.com/fwlink/?LinkId=166141)
- microsoft.public.windows.server.active_directory 中的討論 (http://go.microsoft.com/fwlink/?LinkId=166142)(可能為英文網頁)
本節介紹 forestprep、domainprep 和 rodcprep 命令的錯誤。
- 如果錯誤消息指示出已將架構操作主機分配給已刪除的域控制器,則請參閱 Microsoft 知識庫。
- 如果錯誤消息為“Adprep 無法擴展架構”或“Adprep 無法驗證架構主機自上次重新啟動后是否已完成一個復制周期”,請驗證架構主機自重新啟動后已入站復制了架構分區。請參閱有關強制復制的文章中的對所有伙伴強制復制事件 (http://go.microsoft.com/fwlink/?LinkId=164668)(可能為英文網頁),並運行 repadmin /syncall 命令。
- 如果錯誤消息為“回調函數失敗”,請參閱有關運行 Adprep.exe 的文章中的 Adprep 無法完成,原因是回調函數失敗 (http://go.microsoft.com/fwlink/?LinkId=164669)。
- 如果錯誤消息為“與 Exchange 2000 之間存在架構沖突。架構沒有升級。”,則請參閱 Microsoft 知識庫中的文章 314649 (http://go.microsoft.com/fwlink/?LinkId=166190)。
- 如果錯誤消息為“有同一鏈接標識符的屬性已經存在”,則請參閱 Microsoft 知識庫中的文章 969307 (http://go.microsoft.com/fwlink/?LinkId=164670)(可能為英文網頁)。
- 對於所有其他錯誤消息,請在微軟幫助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 頁上進行錯誤消息查詢,將錯誤消息括在引號中。
- 如果錯誤消息為“Adprep 檢測到域未處於本機模式”,則請參閱提升域功能級別 (http://go.microsoft.com/fwlink/?LinkID=141249)。
- 如果錯誤消息指示出回調函數失敗,則請參閱有關運行 Adprep.exe 的文章中的 Adprep 無法完成,原因是回調函數失敗 (http://go.microsoft.com/fwlink/?LinkID=164669)(可能為英文網頁)。
- 對於所有其他錯誤消息,請在微軟幫助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 頁上進行錯誤消息查詢,將錯誤消息括在引號中。
- 如果 Rodcprep 失敗並顯示錯誤消息“Adprep 無法聯系到分區 <林范圍或域范圍的 DNS 應用程序分區的可分辨名稱> 的副本”,該錯誤消息記載在 Microsoft 知識庫中的文章 949257 (http://go.microsoft.com/fwlink/?LinkID=140285)(可能為英文網頁)中,請運行同一文章中的 Fixfsmo.vbs 腳本,然后返回 Rodcprep,直至它運行成功。
- 對於所有其他錯誤消息,請在微軟幫助和支持 (http://go.microsoft.com/fwlink/?LinkID=56290) 頁上進行錯誤消息查詢,將錯誤消息括在引號中。
- 如果升級回滾但沒有任何屏幕錯誤或調試日志中未記錄錯誤,則請驗證在承載 %systemdrive、Ntds.dit 和 SYSVOL 的卷上是否有足夠的可用磁盤空間。
- 如果錯誤消息為“若要將域控制器安裝到此 Active Directory 林中,必須首先使用‘adprep /forestprep’准備林…”,則請驗證 /forestprep 是否已運行,並且幫助程序域控制器已入站復制 /forestprep 更改。有關更多信息,請參閱運行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
- 如果錯誤消息為“若要將域控制器安裝到該 Active Directory 域中,必須首先使用“adprep /domainprep”准備域…”,則請驗證 /domainprep 是否已運行,並且幫助程序域控制器已入站復制 /domainprep 更改。有關更多信息,請參閱運行 adprep.exe (http://go.microsoft.com/fwlink/?LinkID=142597)。
- 如果錯誤消息為:
操作失敗,原因是:試圖將此計算機加入 <目標 DNS 域> 失敗。“指定的用戶已經存在。”
原因是所提升的計算機已標識為目標域中具有相同主機名的以前提升的計算機帳戶。
解決此錯誤:- 如果所提升的計算機正在替換具有相同計算機名稱的以前降級的域控制器,則請驗證從 AD DS 上刪除了已降級域控制器的元數據,然后重試提升。有關更多信息,請參閱清理已刪除的可寫域控制器的元數據(可能為英文網頁)。
- 如果錯誤依然存在,則請檢查 %systemroot%\debug\DCPROMOUI.LOG,以確定由所提升的域控制器使用的復制源域控制器的名稱。
- 驗證復制源域控制器已入站復制沖突域控制器帳戶的刪除。復制失敗和復制延遲可能會造成復制到源域控制器的刪除失敗。
- 此錯誤具有其他根本原因。有關更多信息,請參閱 Microsoft 知識庫中的以下文章:
- 如果錯誤消息為:
“此時您無法安裝其他域控制器,原因是 RID 主機 <域控制器名稱> 處於脫機狀態”或者“此時您無法安裝可寫域控制器,原因是 RID 主機 <域控制器名稱> 處於脫機狀態。是否繼續?”
原因是 Dcpromo 嘗試通過讀取 CN=RID Manager$,CN=System,DC=<domain> 的 fsmoRoleOwner 屬性並提取 RID 主機的 dnsHostName 來標識 RID 主機角色的所有者。Dcpromo 然后嘗試使用其完全限定計算機名稱,並通過端口 389 來啟動到 RID 主服務器的 LDAP 的連接。如果 LDAP 連接出於任何原因而失敗,Dcpromo 將確定 RID 主機處於脫機狀態。RID FSMO 造成的初始同步失敗不應導致此錯誤。- 運行 repadmin /showattr fsmo_rid:ncobj:domain:/filter:(objectclass=ridmanager) /subtree 以及 netdom query fsmo 或 dcdiag /test:<FSMO 測試名稱>
- repadmin 命令的輸出將包括 fSMORoleOwner。如果從上一步驟中的命令返回的 fSMORoleOwner 可分辨名稱路徑已損壞或分配給一個已刪除的域控制器,則請刪除該域控制器的元數據,並將角色獲取到一個承載該域分區的可寫副本的活動域控制器。
- 驗證已將 RID 主機角色分配給一個活動域控制器,該活動域控制器自它上次從相同域中的至少一個其他域控制器重新啟動以來已成功入站復制域目錄分區。
- 如果當前角色擁有者是域中的唯一活動域控制器,但它的 Active Directory 或 AD DS 副本引用了不再存在的域控制器,則請刪除這些域控制器的過時元數據,重新啟動活動域控制器,並再次嘗試提升。
- 如果有警告指示出 Windows Server 2008 域控制器上沒有為 IPv6 地址配置靜態 IP 地址,則請單擊“是”並完成向導。
- 如果安裝 DNS 服務器角色的復選框不可用,則表示 Active Directory 域具有單標簽 DNS 名稱,或 Dcpromo.exe 在該域中無法發現其他 Microsoft DNS 服務器。
- 如果看到錯誤消息“無法創建該 DNS 服務器的委派,因為無法找到有權威的父區…”,則請參閱安裝和刪除 AD DS 的已知問題 (http://go.microsoft.com/fwlink/?LinkId=164418)。
- 如果看到錯誤消息“無法創建 DNS 區域…”,則請參閱 Microsoft 知識庫。
- 如果目錄服務日志中出現事件 ID 16651,則請參閱 Microsoft 知識庫中的文章 316201 (http://go.microsoft.com/fwlink/?LinkId=184855)(可能為英文網頁)。
- 如果系統無法共享 SYSVOL,則請參閱 Microsoft 知識庫。
- 如果 Dcpromo 失敗並顯示錯誤消息“未能修改機器帳戶的必需屬性。訪問被拒絕”,則請確保在默認域控制器策略中向管理員授予了信任計算機和用戶帳戶可以執行委派權限,並且已將該策略鏈接到域控制器 OU。還請確保幫助程序域控制器的計算機帳戶在域控制器 OU 中,並且它已成功應用策略。有關更多信息,請參閱 Microsoft 知識庫上的文章 232070(http://go.microsoft.com/fwlink/?LinkId=166198)(可能為英文網頁)。
- 如果 Dcpromo 失敗並顯示錯誤消息“Active Directory 無法創建此域控制器的 NTDS 設置對象”,則請參閱 Microsoft 知識庫。
如果域控制器是多主機的,則通過不可用於生產網絡上的調用的網絡適配器來禁用主機 (A) 資源記錄注冊。
如果域控制器是多主機的,並且網絡電纜未連接到網絡適配器,則禁用未使用的網絡適配器,以防止它們針對客戶端無法解析的 APIPA 分配的地址 (169.254.*.*) 來注冊主機 (A) 資源記錄。