Поделиться через

Описания страниц мастера настройки доменных служб Active Directory (AD DS)

Мастер настройки доменных служб Active Directory (AD DS) — это средство в диспетчере серверов, которое позволяет администраторам повысить уровень серверов до контроллеров домена или понизить их по мере необходимости. В этой статье представлен подробный обзор страниц мастера настройки, включая их элементы управления и параметры, которые помогут эффективно управлять процессами установки и удаления. Независимо от того, создаете ли вы новый лес, добавляете контроллер домена в существующий домен или понижаете контроллер домена, в этом руководстве описываются шаги и рекомендации по каждой операции.

Сводка по каждой странице

В таблицах этого раздела перечислены страницы, которые отображаются при использовании мастера настройки доменных служб Active Directory для повышения уровня сервера на контроллер домена или понижения контроллера домена. Выберите ссылку для каждой страницы, чтобы узнать больше о параметрах и элементах управления, которые вы видите на этой странице.

При повышении уровня сервера на контроллер домена перейдите на следующие страницы:

Страница конфигурации Active Directory Description
Deployment Configuration Выберите тип операции развертывания, которую вы хотите выполнить: создайте новый лес (первый контроллер домена), создайте новый домен в существующем лесу или добавьте дополнительный контроллер домена в существующий домен. Эта страница также проверяет основные требования и запрашивает доменные имена.
Параметры контроллера домена Настройте функциональные уровни леса и домена, выберите роли контроллера домена, включая DNS-сервер, глобальный каталог и параметры контроллера домена Read-Only. Задайте пароль режима восстановления служб каталогов (DSRM), необходимый для автономных операций и обслуживания AD DS.
DNS Options Настройте параметры делегирования DNS при установке роли DNS-сервера. Создайте записи делегирования в родительской зоне DNS, чтобы обеспечить надлежащее разрешение имен и передачу полномочий для зоны DNS нового контроллера домена.
RODC Options Настройте делегированные учетные записи администратора, которые могут управлять контроллером домена только для чтения и настроить политику репликации паролей (PRP), чтобы контролировать, какие пароли учетных записей пользователя и компьютера можно кэшировать в RODC для проверки подлинности.
Additional Options Укажите доменное имя NetBIOS для новых доменов, выберите конкретный контроллер домена в качестве источника репликации и настройте параметры установки с использованием носителя, созданного утилитой Windows Server Backup или ntdsutil.exe, чтобы сократить время установки.
Paths Задайте пользовательские расположения файловой системы для базы данных Active Directory (ntds.dit), журналы транзакций базы данных и SYSVOL общую папку вместо того, чтобы использовать расположения системных дисков по умолчанию для повышения производительности или управления хранилищем.
Preparation Options Предоставьте учетные данные администраторов предприятия, схемы или домена для выполнения необходимых adprep.exe команд (forestprep, domainprep или rodcprep), если у текущей учетной записи пользователя недостаточно разрешений для подготовки схемы или домена.
Review Options Проверьте и подтвердите все выбранные параметры конфигурации перед началом процесса установки. Экспортируйте конфигурацию в виде скрипта Windows PowerShell для автоматизации или документации и при необходимости внесите окончательные корректировки.
Prerequisites Check Отображение комплексных результатов проверки готовности, включая сетевое подключение, разрешение DNS, проверку разрешений и требования к системе. Отображает все предупреждения или ошибки, которые необходимо устранить перед продолжением.
Results Отображение окончательных результатов и состояния процесса установки или повышения уровня контроллера домена, включая подтверждение успешности, все предупреждения после установки и параметры перезапуска сервера для завершения настройки.

При понижении контроллера домена вы выполняете переход через следующие страницы:

Страница конфигурации Active Directory Description
Credentials Укажите необходимые учетные данные для операции понижения, включая учетные данные администратора домена для дополнительных контроллеров домена или учетных данных администраторов предприятия для последнего контроллера домена в домене. Настройте параметры принудительного удаления, если контроллер домена не может связаться с другими контроллерами домена.
Warnings Ознакомьтесь с предупреждениями об удалении критически важных ролей и служб, размещенных контроллером домена, например DNS-сервером, глобальным каталогом или главными ролями операций. Учтите влияние удаления этих ролей перед продолжением их понижения.
Removal Options Настройте параметры удаления делегирования зоны DNS при понижении уровня контроллера домена, который является хостом зон DNS. Удалите DNS-сервер из делегирования зоны, чтобы предотвратить проблемы с разрешением DNS после понижения уровня.
Новый пароль администратора Задайте новый пароль для встроенной учетной записи администратора, которая будет использоваться после понижения, когда компьютер становится сервером-членом или компьютером рабочей группы вместо контроллера домена.
Review Options Просмотрите и проверьте все параметры понижения перед началом процесса. Экспортируйте конфигурацию в виде скрипта Windows PowerShell для автоматизации и подтвердите окончательные параметры перед началом понижения контроллера домена.

Страницы при продвижении сервера на контроллер домена

В следующих разделах описываются страницы, которые отображаются при использовании мастера настройки доменных служб Active Directory для продвижения сервера на контроллер домена.

Deployment Configuration

Server Manager begins every domain controller installation with the Deployment Configuration page. Параметры и обязательные поля, отображаемые на этой странице, и последующие страницы зависят от выбранной операции развертывания.

The wizard runs some validations and tests on the Deployment Configuration page and again later as part of prerequisite checks. Например, при попытке установить первый контроллер домена Windows Server в лесу выполняется проверка. Если функциональный уровень леса не поддерживает версию контроллера домена Windows Server, на этой странице появится ошибка.

В следующих разделах описаны операции развертывания, которые можно выбрать на этой странице.

Создание леса

На следующем снимка экрана показаны параметры, которые отображаются при создании леса:

Снимок экрана: страница

  • При создании леса необходимо указать имя корневого домена леса.

  • Имя любого создаваемого леса Active Directory должно отличаться от внешнего имени DNS. Например, если URL DNS в Интернете https://example-domain.com, необходимо выбрать другое имя для внутреннего леса, чтобы избежать будущих проблем совместимости. Это имя должно быть уникальным и маловероятным для появления в веб-трафике, например corp.example-domain.com.

  • Вы должны быть членом группы "Администраторы" на сервере, на который вы хотите создать лес.

Дополнительные сведения о создании леса см. в разделе "Установка нового леса Active Directory в Windows Server 2012" (уровень 200).

Создание домена

На следующем снимка экрана показаны параметры, которые отображаются при создании домена:

Снимок экрана: страница

Note

При создании домена дерева необходимо указать имя корневого домена леса вместо родительского домена. Прочие страницы и параметры мастера являются одинаковыми, независимо от того, создаете ли вы дочерний домен или домен дерева.

  • Для имени родительского домена выберите "Выбрать ", чтобы перейти к родительскому домену или дереву Active Directory, или введите допустимое имя родительского домена или дерева.

  • В поле "Новое доменное имя" введите имя нового домена.

    • Для домена дерева укажите допустимое полное имя корневого домена. Имя не может быть одноклейным, и оно должно соответствовать требованиям dns-доменного имени.
    • Для дочернего домена укажите допустимое имя дочернего домена с одной меткой. Имя должно соответствовать требованиям dns-доменного имени.

  • Если текущие учетные данные не находятся в домене, мастер настройки доменных служб Active Directory предложит вам указать учетные данные домена. Select Change to provide domain credentials.

Дополнительные сведения о создании домена см. в статье "Установка нового дочернего домена Active Directory Active Directory 2012 Active Directory" или "Дерево" (уровень 200).

Добавление контроллера домена в существующий домен

На следующем снимку экрана показаны параметры, которые отображаются при добавлении нового контроллера домена в существующий домен:

Снимок экрана: страница

  • For Domain, select Select to go to the domain, or enter a valid domain name.

  • При необходимости диспетчер серверов запрашивает допустимые учетные данные. Для установления дополнительного контроллера домена требуется членство в группе администраторов домена.

    Кроме того, установка первого контроллера домена под управлением Windows Server в лесу требует учетных данных, включающих членство в группах корпоративных администраторов и администраторов схем. Мастер настройки служб домен Active Directory предложит вам позже, если у ваших текущих учетных данных нет достаточных разрешений или членства в группах.

Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе "Установка контроллера домена реплики Windows Server 2012" в существующем домене (уровень 200).

Параметры контроллера домена

Параметры, отображаемые на странице "Параметры контроллера домена ", зависят от операции развертывания. В следующих разделах описаны параметры, настроенные для каждой операции.

Новые параметры леса

При создании леса на странице "Параметры контроллера домена " отображаются параметры, показанные на следующем снимке экрана:

Снимок экрана: страница

  • Значения по умолчанию для уровней работы леса и домена зависят от версии Windows Server.

    Начиная с версии Windows Server 2012, функциональный уровень домена содержит следующие параметры в политике административных шаблонов центра распространения ключей (KDC) для поддержки заявок, составной проверки подлинности и защиты Kerberos:

    • Всегда предоставлять утверждения
    • Сбой неуправляемых запросов проверки подлинности

    Дополнительные сведения см. в разделе "Поддержка утверждений", "составная проверка подлинности" и "Защита Kerberos".

    Все домены, создаваемые в лесу, автоматически работают на уровне функциональности домена, равном выбранному уровню функциональности леса. Кроме того, все контроллеры домена в домене выполняют версию Windows Server выбранного уровня функциональности домена.

    Дополнительные сведения о функциях, доступных на различных функциональных уровнях, см. в разделе "Функциональные уровни доменных служб Active Directory".

    Функции, доступные на контроллере домена, зависят от версии Windows Server, запущенной контроллером домена.

  • При создании леса параметр сервера доменных имен (DNS) выбирается по умолчанию. Первый контроллер домена в лесу должен быть глобальным сервером каталога, и он не может быть контроллером домена только для чтения (RODC).

  • Чтобы войти в контроллер домена, который не работает AD DS, потребуется пароль режима восстановления служб каталогов (DSRM). Указанный пароль должен соответствовать политике паролей, применяемой к серверу. По умолчанию для этой политики не требуется надежный пароль. Для этого требуется только непустый пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Сведения о синхронизации пароля DSRM с паролем учетной записи пользователя домена см. в статье поддержки по синхронизации паролей.

Дополнительные сведения о создании леса см. в разделе "Установка нового леса Active Directory в Windows Server 2012" (уровень 200).

Новые параметры дочернего домена

При создании дочернего домена на странице "Параметры контроллера домена " отображаются параметры, показанные на следующем снимке экрана:

Снимок экрана: страница

  • Значение по умолчанию функционального уровня домена зависит от версии Windows Server. Можно указать любое значение, превышающее или равное функциональному уровню леса.

  • Вы можете настроить следующие параметры контроллера домена:

    • Сервер доменных имен (DNS)
    • Глобальный каталог (GC)

    Вы не можете настроить первый контроллер домена в новом домене как RODC.

    Мы рекомендуем всем контроллерам домена предоставлять службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. По этой причине мастер включает эти параметры по умолчанию при создании домена.

  • Эту страницу можно также использовать для выбора соответствующего имени логического сайта Active Directory в конфигурации леса. По умолчанию выбран сайт с наиболее правильной подсетью. Если есть только один сайт, этот сайт автоматически выбирается.

    Important

    Если сервер не принадлежит подсети Active Directory и существует более одного сайта, ничего не выбрано. The Next button isn't available until you select a site from the list.

Дополнительные сведения о создании домена см. в статье "Установка нового дочернего домена Active Directory Active Directory 2012 Active Directory" или "Дерево" (уровень 200).

Параметры добавления контроллера домена в домен

При добавлении контроллера домена в домен на странице "Параметры контроллера домена " отображаются параметры, показанные на следующем снимке экрана:

Снимок экрана: страница

Вы можете настроить следующие параметры контроллера домена:

  • Сервер доменных имен (DNS)
  • Глобальный каталог (GC)
  • Контроллер домена с доступом только для чтения (RODC)

Мы рекомендуем всем контроллерам домена предоставлять службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. По этой причине эти параметры включены по умолчанию. Для получения дополнительных сведений о развертывании контроллеров только для чтения обратитесь к Руководству по планированию и развертыванию контроллеров только для чтения.

Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе "Установка контроллера домена реплики Windows Server 2012" в существующем домене (уровень 200).

DNS Options

If you install the DNS server role, the following DNS Options page appears:

Снимок экрана: страница параметров DNS мастера. Выбран параметр создания делегирования DNS. Отображается кнопка для изменения учетных данных.

При установке роли DNS-сервера в родительской зоне DNS должны быть созданы делегированные записи, указывающие на DNS-сервер как уполномоченный для данной зоны. Делегационные записи передают полномочия на разрешение имен. Они также предоставляют правильную ссылку на другие DNS-серверы и клиенты новых серверов, которые являются заслуживающими доверия для новой зоны. Эти записи ресурсов включают следующие записи:

  • Запись ресурса сервера имен (NS) для реализации делегирования. Эта запись ресурса объявляет, что именованный ns1.na.example.microsoft.com сервер является доверенным сервером для делегированного поддомена.
  • Запись ресурса узла (A или AAAA), которая также называется записью клея. Эта запись должна присутствовать, чтобы разрешить имя сервера, указанного в записи ресурса NS, на IP-адрес. The process of resolving the host name in this resource record to the delegated DNS server in the NS resource record is sometimes referred to as glue chasing.

Вы можете автоматически создать эти записи в мастере настройки доменных служб Active Directory. На странице "Параметры контроллера домена" мастер проверяет наличие соответствующих записей в родительской зоне DNS. Если мастер не может убедиться, что записи существуют в родительском домене, мастер предоставляет возможность создать делегирование DNS для нового домена (или обновить существующее делегирование) автоматически и продолжить установку нового контроллера домена.

Кроме того, перед установкой роли DNS-сервера можно создать эти записи делегирования DNS. To create a zone delegation, open DNS Manager, right-click the parent domain, and then select New Delegation. Для создания делегирования выполните последовательность действий, предлагаемую мастером создания делегирования.

Процесс установки пытается создать делегирование, чтобы компьютеры, входящие в другие домены, могли разрешать DNS-запросы для узлов в субдомене DNS, включая контроллеры домена и компьютеры-члены домена. Записи делегирования можно создавать автоматически только на DNS-серверах Майкрософт. If the parent DNS domain zone resides on third-party DNS servers such as Berkeley Internet Name Domain (BIND) servers, a warning about the failure to create DNS delegation records appears on the Prerequisites Check page. Дополнительные сведения об предупреждении см. в статье "Известные проблемы" для установки и удаления AD DS.

Делегирование между родительским доменом и субдоменом, уровень которого нужно повысить, можно создать и проверить как до, так и после установки. Нет причин отложить установку нового контроллера домена, так как невозможно создать или обновить делегирование DNS.

Дополнительные сведения о делегировании см. в разделе "Основные сведения о делегировании зоны". Если делегирование зоны невозможно в вашей ситуации, можно рассмотреть другие методы предоставления разрешения имен из других доменов узлам в вашем домене. Например, администратор DNS другого домена может настроить условное перенаправление, зоны заглушки или вторичные зоны для разрешения имен в вашем домене. Дополнительные сведения см. в следующих ресурсах:

RODC Options

На следующем снимке экрана показаны параметры, которые отображаются при установке RODC.

Снимок экрана страницы параметров мастера RODC с учетными записями, которые реплицируют и не реплицируют пароли, и кнопками для редактирования этих учетных записей.

  • Вы можете использовать параметр учетной записи делегированного администратора , чтобы указать учетные записи, назначенные локальным административным разрешениям для RODC. Эти пользователи могут работать с привилегиями, эквивалентными группе администраторов локального компьютера. Они не являются членами администраторов домена или встроенных групп администраторов домена. Этот параметр полезен для делегирования администрирования филиала без предоставления разрешений администратора домена. Настройка делегирования администрирования не требуется. Дополнительные сведения см. в разделе "Разделение ролей администратора".

  • Остальные параметры на странице можно использовать для настройки политики репликации паролей (PRP), которая выступает в качестве списка управления доступом (ACL). Эта политика определяет, может ли RODC кэшировать пароль. После того, как RODC получает запрос на вход пользователя или компьютера после проверки подлинности, он ссылается на Политику репликации паролей (PRP), чтобы определить, следует ли кэшировать пароль для учетной записи. Эта же учетная запись может эффективно выполнять последующие входы. Если учетная запись кэшируется, RODC может пройти проверку подлинности, даже если канал WAN на центральный сайт находится вне сети.

    PrP содержит два типа учетных записей:

    • Учетные записи с паролями, которые можно кэшировать
    • Учетные записи с паролями, которые явно запрещены кэшировать

    Если учетная запись пользователя или компьютера находится в списке учетных записей, которые можно кэшировать, это не обязательно значит, что РОДК кэшировал пароль для этой учетной записи. Например, администратор может заранее указать учетные записи, которые должен кэшировать RODC.

    Пароли не кэшируются для учетных записей пользователей или компьютеров, которые не запрещены или разрешены явным образом или неявно. Если у этих пользователей или компьютеров нет доступа к записываемому контроллеру домена, они не могут получить доступ к предоставленным AD DS ресурсам или функциям. Дополнительные сведения о prP см. в политике репликации паролей. Дополнительные сведения об управлении PRP см. в статье администрирование политики репликации паролей.

Дополнительные сведения об установке контроллеров домена Windows Server 2012 Active Directory (RODC) см. в разделе "Установка контроллера домена с доступом только для чтения Windows Server 2012" (уровень 200).

Additional Options

The following screenshot shows the option that appears on the Additional Options page when you create a domain:

Снимок экрана: страница

The following screenshot shows the options that appear on the Additional Options page when you add a domain controller to an existing domain:

Снимок экрана страницы

  • You can use the Replicate from option to specify a domain controller as the replication source, or to allow the wizard to choose any domain controller as the replication source.

  • Вы можете использовать параметр установки из носителя , чтобы указать резервный источник носителей, используемый для установки контроллера домена. If the installation media is stored locally, you can use the Path option to select the file location. Этот параметр недоступен для удаленной установки. You can select Verify to ensure the provided path is valid media. Необходимо создать носитель, используемый для этого параметра, с помощью Windows Server Backup или ntdsutil.exe с другого существующего компьютера Windows Server. Вы не можете использовать операционную систему раньше, чем Windows Server 2012, чтобы создать носитель для контроллера домена. Если носитель защищен паролем SysKey, диспетчер серверов запрашивает пароль образа во время проверки.

Дополнительные сведения о создании домена см. в статье "Установка нового дочернего домена Active Directory Active Directory 2012 Active Directory" или "Дерево" (уровень 200). Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе "Установка контроллера домена реплики Windows Server 2012" в существующем домене (уровень 200).

Paths

The following screenshot shows the options that appear on the Paths page:

Снимок экрана: страница

You can use the Paths page to override the default folder locations of the AD DS database (NTDS.DIT), the database transaction logs, and the SYSVOL share. Расположения по умолчанию всегда находятся в папке %systemroot% . Для локальной установки можно выбрать расположение для хранения файлов.

Preparation Options

The following screenshot shows the Preparation Options page:

Снимок экрана: страница

На этой странице предлагается указать учетные данные для запуска adprep.exe. Мастер отображает эту страницу при выполнении обоих следующих условий:

  • В настоящее время вы не вошли с достаточными учетными данными для выполнения adprep.exe команд.
  • Чтобы завершить установку AD DS, необходимо запустить adprep.exe.

В следующих ситуациях необходимо запустить средство adprep.exe:

  • Команда adprep /forestprep должна быть выполнена, чтобы добавить первый контроллер домена под управлением Windows Server 2012 в существующий лес. Чтобы выполнить эту команду, необходимо быть членом группы "Администраторы предприятия", группы "Администраторы схемы" и группы "Администраторы домена" домена, на котором размещен главный элемент схемы. Для успешного выполнения этой команды необходимо подключиться между компьютером, где выполняется команда, и главной схемой для леса.

  • Чтобы adprep /domainprep добавить первый контроллер домена под управлением Windows Server 2012 в существующий домен, необходимо выполнить команду. Эта команда должна выполняться членом группы администраторов домена, в которой устанавливается контроллер домена под управлением Windows Server. Для успешного выполнения этой команды необходимо подключиться между компьютером, на котором выполняется команда, и главной инфраструктурой для домена.

  • Команду adprep /rodcprep необходимо выполнить, чтобы добавить первый RODC в существующий лес. Для выполнения этой команды необходимо быть членом группы "Администраторы предприятия". Для успешного выполнения этой команды необходимо подключиться между компьютером, на котором выполняется команда, и главной инфраструктурой для каждого раздела каталога приложений в лесу.

For more information about adprep.exe, see Adprep.exe integration and Running Adprep.exe.

Review Options

The following screenshot shows the Review Options page:

Снимок экрана: страница

  • You can use the Review Options page to validate your settings and ensure that they meet your requirements before you start the installation. Эта страница не является последней возможностью в диспетчере серверов, чтобы остановить установку. Эту страницу можно использовать для проверки и подтверждения параметров перед продолжением настройки.

  • On this page, you also have the option of using the View script button to create a Unicode text file that contains the current ADDSDeployment module configuration as a single Windows PowerShell script. В результате можно использовать графический интерфейс диспетчера серверов в качестве студии развертывания Windows PowerShell:

    • Используйте мастер настройки доменных служб Active Directory для настройки параметров.
    • Экспорт конфигурации.
    • Отменить мастер настройки.

    Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.

Prerequisites Check

The following screenshot shows the Prerequisites Check page:

Снимок экрана страницы проверки предварительных условий мастера. Поле результатов содержит предупреждения о криптографических алгоритмах и заблокированном делегировании DNS.

На этой странице отображаются потенциальные проблемы, обнаруженные во время проверки предварительных требований. Результаты могут выводить список предупреждений, включая следующие:

  • Контроллеры домена под управлением Windows Server имеют параметр по умолчанию, разрешать алгоритмы шифрования, совместимые с Windows NT 4, что запрещает клиентам, используюющим более слабые алгоритмы шифрования, устанавливать безопасные сеансы каналов. Дополнительные сведения о потенциальном влиянии и обходном пути см. в разделе "Отключить параметр AllowNT4Crypto" для всех затронутых контроллеров домена.

  • Невозможно создать или обновить делегирование DNS. For more information, see DNS Options.

  • Сбой вызовов инструментария управления Windows (WMI). Проверка предварительных условий требует вызовов WMI. Если вызов WMI заблокирован правилами брандмауэра, он может завершиться ошибкой и возвратить ошибку удаленного вызова процедуры (RPC).

For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite tests.

Results

The following screenshot shows the Results page:

Снимок экрана: страница результатов мастера. Текст указывает на успешную конфигурацию контроллера домена. Предупреждения видны.

На этой странице можно просмотреть результаты установки.

Вы также можете перезапустить целевой сервер с этой страницы после завершения работы мастера. Но если установка будет выполнена успешно, сервер перезапускается независимо от того, выбран ли этот параметр.

В некоторых случаях целевой сервер не может перезапуститься. Если мастер завершит работу на целевом сервере, который не присоединен к домену до установки, состояние системы целевого сервера может сделать сервер недоступным в сети. Состояние системы также может предотвратить наличие разрешений на управление удаленным сервером.

Если целевой сервер не удается перезапустить в этих случаях, необходимо вручную перезапустить его. Вы не можете использовать такие средства, как shutdown.exe Windows PowerShell, для перезапуска. Службы удаленных рабочих столов можно использовать для входа и удаленного завершения работы целевого сервера.

Страницы при понижении уровня контроллера домена

В следующих разделах описываются страницы, которые отображаются при использовании мастера настройки доменных служб Active Directory для понижения контроллера домена.

Credentials

The following screenshot shows the Credentials page that appears at the start of the demotion process.

Снимок экрана: страница

На этой странице вы настроите параметры понижения. Для выполнения понижения в различных ситуациях необходимы следующие учетные данные:

  • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. При выборе принудительного удаления контроллера домена происходит понижение контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

    Important

    Не выбирайте параметр принудительного удаления этого контроллера домена , если контроллер домена не может связаться с другими контроллерами домена и нет разумного способа устранить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Кроме того, все неоплаченные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Потерянные метаданные являются основной причиной в значительном проценте случаев поддержки Майкрософт для AD DS, Microsoft Exchange, SQL Server и другого программного обеспечения. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Инструкции см. в разделе "Очистка метаданных сервера".

  • Для понижения последнего контроллера домена в домене требуется членство в группе "Администраторы предприятия", так как это действие удаляет сам домен. Если домен является последним в лесу, это действие также удаляет лес. Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Выберите последний контроллер домена в домене , чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

Дополнительные сведения об удалении AD DS см. в разделе "Удаление доменных служб Active Directory" (уровень 100) и понижение уровня контроллеров домена и доменов.

Warnings

При использовании диспетчера серверов для понижения контроллера домена мастер отображает предупреждения в определенных случаях. If the domain controller also hosts other roles, such as the DNS server or global catalog server roles, the following Warnings page appears:

Снимок экрана: страница

Before you can select Next to continue, you must select Proceed with removal to acknowledge that demoting the domain controller makes those roles unavailable.

При принудительном удалении контроллера домена:

  • Все изменения объектов Active Directory, которые не реплицируются на другие контроллеры домена в домене, теряются.

  • Все секции каталога приложений на контроллере домена удаляются. Если контроллер домена содержит последнюю реплику одного или нескольких разделов каталога приложений, эти секции больше не существуют после завершения операции удаления.

  • Критически важные операции в домене и лесу могут быть затронуты следующим образом, если контроллер домена размещает определенные роли:

    Role Результат удаления контроллера домена Действия, которые необходимо предпринять перед продолжением
    Global catalog У пользователей могут возникнуть проблемы при входе в домены в лесу. Убедитесь, что достаточно серверов глобального каталога находятся в лесу и сайте для обслуживания входов пользователей. При необходимости назначьте другой глобальный сервер каталога и обновите клиенты и приложения с новыми сведениями.
    DNS server Все данные DNS, хранящиеся в зонах, интегрированных с Active Directory, теряются. После удаления AD DS DNS-сервер не может выполнять разрешение имен для зон DNS, интегрированных с Active Directory. Обновите конфигурацию DNS всех компьютеров, которые в настоящее время ссылаются на IP-адрес DNS-сервера для разрешения имен. Настройте их с IP-адресом нового DNS-сервера.
    Infrastructure master Клиенты в домене могут столкнуться с трудностями при поиске объектов в других доменах. Перенесите роль главного сервера инфраструктуры в контроллер домена, который не является глобальным сервером каталога.
    Главный мастер относительного идентификатора (RID) У вас могут возникнуть проблемы с созданием учетных записей пользователей, учетных записей компьютеров и групп безопасности. Передайте роль мастера RID контроллеру домена в том же домене, что и контроллер домена, который вы понижаете.
    Эмулятор основного контроллера домена (PDC) Операции, выполняемые эмулятором PDC, например обновления групповой политики и сбросы паролей для учетных записей, отличных от AD DS, не работают должным образом. Передайте роль главного эмулятора PDC контроллеру домена, который находится в том же домене, что и контроллер домена, который вы понижаете.
    Schema master Вы больше не можете изменить схему для леса. Передайте роль главного элемента схемы контроллеру домена в корневом домене в лесу.
    Хозяин именования доменов Вы больше не можете добавлять домены в лес или удалять их из него. Передача главной роли именования домена контроллеру домена в корневом домене в лесу.

Прежде чем удалить контроллер домена, на котором размещаются все главные роли операций, попробуйте передать роль другому контроллеру домена.

Если невозможно передать роль, сначала удалите AD DS с компьютера. Затем захватите роль, используя ntdsutil.exe на контроллере домена, для которого вы планируете захватить роль. По возможности используйте недавний партнер репликации на том же сайте, что и контроллер домена, который вы понижаете. Дополнительные сведения о передаче и захвате главных ролей операций см. в разделе "Передача или захват главных ролей" в доменных службах Active Directory.

Если мастер не может определить, выполняет ли контроллер домена роль операционного мастера, выполните команду netdom.exe, чтобы определить, выполняет ли контроллер домена какие-либо роли операционного мастера.

После удаления AD DS из последнего контроллера домена, домен больше не существует.

Removal Options

Если контроллер домена, который вы понижаете, является DNS-сервером, делегированным для размещения зоны DNS, вы увидите следующую страницу. Он предоставляет возможность удалить DNS-сервер из делегирования зоны DNS.

Снимок экрана: страница

Дополнительные сведения об удалении AD DS см. в разделе "Удаление доменных служб Active Directory" (уровень 100) и понижение уровня контроллеров домена и доменов.

Новый пароль администратора

На странице "Новый пароль администратора" необходимо указать пароль для встроенной учетной записи администратора локального компьютера. Этот пароль используется при завершении понижения, и компьютер становится сервером-членом домена или компьютером рабочей группы.

Снимок экрана: страница

Дополнительные сведения об удалении AD DS см. в разделе "Удаление доменных служб Active Directory" (уровень 100) и понижение уровня контроллеров домена и доменов.

Review Options

The following screenshot shows the Review Options page that you see when you demote a domain controller:

Снимок экрана: последняя страница параметров проверки мастера. Текст суммирует выбранные параметры для понижения контроллера домена.

Эту страницу можно использовать для просмотра выбранных вариантов и запуска понижения.

Эта страница также предоставляет возможность экспортировать параметры конфигурации для понижения в скрипт Windows PowerShell, чтобы автоматизировать другие понижение.

To demote the server, select Demote.