Обновление контроллеров домена до Windows Server 2012 R2 и Windows Server 2012
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этой статье содержатся общие сведения о службах домен Active Directory в Windows Server 2012 R2 и Windows Server 2012 и описан процесс обновления контроллеров домена с Windows Server 2008 или Windows Server 2008 R2.
Порядок обновления контроллеров домена
Рекомендуемым способом обновления домена является повышение уровня контроллеров домена, на которых выполняются более новые версии Windows Server, и понижение уровня старых контроллеров домена при необходимости. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена. В этом списке рассматриваются общие действия, которые необходимо выполнить перед повышением уровня контроллера домена, который запускает более новую версию Windows Server:
Убедитесь, что целевой сервер отвечает требованиям к системе.
Проверьте Application compatibility.
Проверьте параметры безопасности. Дополнительные сведения см. в статье Об устаревших функциях и изменениях поведения, связанных с AD DS в Windows Server 2012 и настройках безопасности по умолчанию в Windows Server 2008 и Windows Server 2008 R2.
Проверьте подключение к целевому серверу с компьютера, где планируется установка.
Проверьте доступность необходимых ролей хозяина операций.
- Чтобы установить первый контроллер домена, работающий под управлением Windows Server 2012 в существующем домене и лесу, компьютер, на котором выполняется установка, требуется подключение к главной схеме для запуска adprep /forestprep и мастера инфраструктуры для запуска adprep /domainprep.
- Для установки первого контроллера домена в домене, где схема леса уже расширена, требуется только подключение к хозяину инфраструктуры.
- Для установки или удаления домена в существующем лесу требуется подключение к хозяину именования доменов.
- Для любой установки контроллера домена также нужно подключение к хозяину RID.
- Если вы устанавливаете первый контроллер домена только для чтения в существующем лесу, вам потребуется подключение к главной инфраструктуре для каждого раздела каталога приложений, также называемого контекстом именования недомена или NDNC.
Не забудьте предоставить необходимые учетные данные для установки доменных служб Active Directory.
Действие установки Требования к учетным данным Установка нового леса Локальный администратор на целевом сервере Установка нового домена в существующем лесу Администраторы предприятия Установка дополнительного контроллера домена в существующем домене Администраторы домена Выполнение команды adprep /forestprep Администраторы схемы, администраторы предприятия и администраторы домена Выполнение команды adprep /domainprep Администраторы домена Выполнение команды adprep /domainprep /gpprep Администраторы домена Выполнение команды adprep /rodcprep Администраторы предприятия Вы можете делегировать разрешения на установку доменных служб Active Directory. Дополнительные сведения см. в разделе Задачи управления установкой.
Пошаговые инструкции по повышению роли контроллеров домена (как новых, так и реплик) в Windows Server 2012 с помощью командлетов Windows PowerShell и диспетчера серверов см. в следующих разделах:
- Установка служб домен Active Directory (уровень 100)
- Установка нового леса Active Directory Для Windows Server 2012 (уровень 200)
- Установка контроллера домена реплики Windows Server 2012 в существующем домене (уровень 200)
- Установите новый дочерний домен Active Directory Для Windows Server 2012 Active Directory (уровень 200)
- Установка контроллера домена только для чтения Windows Server 2012 Active Directory (RODC) (уровень 200)
- Форум Windows Server 2012 о контроллерах домена
рекомендации по Обновл. Windows
До выпуска Windows 8 Центр обновления Windows имел собственное внутреннее расписание проверки, загрузки и установки обновлений. При этом агент обновления Windows постоянно выполнялся в фоновом режиме, потребляя память и другие системные ресурсы.
В Windows 8 и Windows Server 2012 появился новый компонент, который называется Автоматическое обслуживание. Автоматическое обслуживание объединяет в себе множество разных функций, каждая из которых ранее имела собственное расписание и логику выполнения. Эта консолидация позволяет всем этим компонентам использовать гораздо меньше системных ресурсов, согласованно работать, уважать новое Подключение резервное состояние для новых типов устройств и использовать меньше батареи на портативных устройствах.
Так как Центр обновления Windows является частью автоматического обслуживания в Windows 8 и Windows Server 2012, его внутреннее расписание установки обновлений больше не действует. Чтобы обеспечить согласованное и прогнозируемое поведение перезапуска для всех устройств и компьютеров в вашей организации, включая те, которые работают под управлением Windows 8 и Windows Server 2012, см. статью 2885694 Microsoft КБ (или см. накопительный накопительный пакет 2883201 октября 2013 г.). Затем настройте параметры политики, как описано в записи блога WSUS, чтобы включить более прогнозируемый Обновл. Windows интерфейс для Windows 8 и Windows Server 2012 (КБ 2885694).
Новые возможности AD DS в Windows Server 2012 R2?
В следующей таблице приведены новые функции AD DS в Windows Server 2012 R2 с ссылкой на более подробные сведения о доступных функциях. Подробные пояснения к некоторым компонентам, включая их требования, см. в разделе Новые возможности Active Directory в Windows Server 2012 R2.
| Возможность | Description |
|---|---|
| Присоединение к рабочему месту | Позволяет информационным работникам подключаться к сети компании с личных устройств для доступа к корпоративным ресурсам и службам. |
| Прокси веб-приложения | Предоставляет доступ к веб-приложению с помощью новой службы роли удаленного доступа. |
| Active Directory Federation Services (Службы федерации Active Directory) | Развертывание служб федерации Active Directory упростилось. В них также реализован ряд улучшений, позволяющих пользователям получать доступ к ресурсам с личных устройств и помогающих ИТ-отделам контролировать доступ. |
| Уникальность имен субъектов-служб и участников-пользователей | Контроллеры домена с ОС Windows Server 2012 R2 блокируют создание повторяющихся имен субъектов-служб и имен участников-пользователей. |
| Автоматический вход при перезапуске с помощью Winlogon (ARSO) | Обеспечивает перезапуск и доступность приложений экрана блокировки на устройствах Windows 8.1. |
| Аттестация ключей доверенного платформенного модуля | Позволяет ЦС включать в выдаваемый сертификат криптографическое подтверждение того, что закрытый ключ устройства, запросившего сертификат, защищен с помощью доверенного платформенного модуля (TPM). |
| Защита учетных данных и управление ими | Новые элементы управления защитой учетных данных и аутентификацией доменов, снижающие риск кражи учетных данных. |
| Нерекомендуемая служба репликации файлов (FRS) | Режим работы домена Windows Server 2003 также не рекомендуется к использованию, так как в этом режиме для репликации тома SYSVOL применяется служба репликации файлов. Это означает, что при создании домена на сервере с ОС Windows Server 2012 R2 режим работы домена должен быть Windows Server 2008 или выше. Вы по-прежнему можете добавить контроллер домена под управлением Windows Server 2012 R2 в существующий домен с функциональным уровнем домена Windows Server 2003. Вы просто не можете создать новый домен на этом уровне. |
| Новые уровни функциональности домена и леса | В Windows Server 2012 R2 появились новые режимы работы. Новые компоненты доступны в режиме работы леса Windows Server 2012 R2. |
| Изменения оптимизатора запросов LDAP | Повышение производительности поиска LDAP и сокращение времени поиска для сложных запросов LDAP. |
| Улучшения событий 1644 | Чтобы упростить устранение неполадок, статистика по результатам поиска LDAP была добавлена в событие с кодом 1644. |
| Улучшение пропускной способности реплика Active Directory | Максимальная пропускная способность репликации Active Directory повысилась с 40 Мбит/с до приблизительно 600 Мбит/с. |
Новые возможности AD DS в Windows Server 2012?
В следующей таблице представлены новые возможности доменных служб Active Directory в Windows Server 2012 и ссылки на более подробные сведения (если таковые доступны). Более подробное описание некоторых функций, включая их требования, см. в статье "Новые возможности" в службах домен Active Directory (AD DS).
| Возможность | Description |
|---|---|
| Активация с помощью Active Directory; см. раздел Обзор активации корпоративных лицензий | Упрощает настройку распространения корпоративных лицензий на программное обеспечение и управления ими. |
| службы федерации Active Directory (AD FS) (AD FS) | Обеспечивают установку ролей при помощи диспетчера серверов, упрощенную настройку доверия, автоматическое управление доверием, поддержку протокола SAML и др. |
| События утерянной очистки страниц Active Directory | Запись в журнал события NTDS ISAM 530 с ошибкой Jet -1119 позволяет обнаруживать события утерянной очистки страниц в базах данных Active Directory. |
| Пользовательский интерфейс корзины Active Directory | Центр администрирования Active Directory предоставляет управление корзиной при помощи графического интерфейса пользователя — возможность, изначально появившуюся в Windows Server 2008 R2. |
| Командлеты репликации и топологии Windows PowerShell Active Directory | Поддерживают создание сайтов Active Directory, ссылок на сайты, объектов соединения и других компонентов и управление ими при помощи Windows PowerShell. |
| Динамические контроль доступа | Новая платформа авторизации на основе утверждений, расширяющая традиционную модель управления доступом. |
| Пользовательский интерфейс политики точного пароля | Центр администрирования Active Directory предоставляет дополнительный графический интерфейс пользователя для создания, изменения и назначения объектов параметров паролей, изначально добавленных в Windows Server 2008. |
| Групповые управляемые учетные записи служб (gMSA) | Введение нового типа субъекта безопасности — групповых управляемых учетных записей служб. Службы, работающие на нескольких узлах, могут использовать одну и ту же групповую управляемую учетную запись службы. |
| Автономное присоединение к домену DirectAccess | Автономное присоединение к домену расширено путем включения требований для DirectAccess. |
| Быстрое развертывание с помощью клонирования виртуального контроллера домена | Виртуальные контроллеры домена можно быстро развертывать путем клонирования существующих виртуальных контроллеров домена при помощи командлетов Windows PowerShell. |
| Изменения пула RID | Добавлены новые события мониторинга и квоты для защиты от избыточного использования глобального пула RID. При необходимости размер глобального пула RID удваивается, если первоначальный пул исчерпан. |
| Безопасная служба времени | Повышает уровень безопасности W32tm, удаляя секретные данные из проводной сети, удаляя хэш-функции MD5 и требуя от сервера проводить проверку подлинности клиентов службы времени Windows 8 |
| Защита отката USN для виртуализированных контроллеров домена | Случайное восстановление резервных копий виртуализованных контроллеров домена больше не приводит к откату USN. |
| Средство просмотра журнала Windows PowerShell | Администраторы могут просматривать команды Windows PowerShell, выполненные при использовании центра администрирования Active Directory. |
Автоматическое обслуживание и изменения в способе перезапуска после применения обновлений Центром обновления Windows
До выпуска Windows 8 Центр обновления Windows имел собственное внутреннее расписание проверки, загрузки и установки обновлений. При этом агент обновления Windows постоянно выполнялся в фоновом режиме, потребляя память и другие системные ресурсы.
В Windows 8 и Windows Server 2012 появился новый компонент, который называется Автоматическое обслуживание. Автоматическое обслуживание объединяет в себе множество разных функций, каждая из которых ранее имела собственное расписание и логику выполнения. Такое объединение позволяет всем этим компонентам потреблять гораздо меньше системных ресурсов, работать согласованно, поддерживать новый режим ожидания с подключением для новых типов устройств и экономить заряд батареи на переносных устройствах.
Так как Центр обновления Windows является частью автоматического обслуживания в Windows 8 и Windows Server 2012, его внутреннее расписание установки обновлений больше не действует. Чтобы обеспечить согласованный и предсказуемый способ перезапуска всех устройств и компьютеров в организации, в том числе с ОС Windows 8 и Windows Server 2012, можно настроить следующие параметры групповой политики:
- Конфигурация компьютера|Политики|Шаблоны Администратор istrative|Компоненты Windows|Обновл. Windows|Настройка автоматического Обновления
- Конфигурация компьютера|Политики|Шаблоны Администратор istrative|Компоненты Windows|Обновл. Windows|Автоматическая перезагрузка с пользователями, вошедшего в систему
- Конфигурация компьютера|Политики|Шаблоны Администратор istrative|Компоненты Windows|Планировщик обслуживания |Случайная задержка обслуживания
В таблице ниже приведены некоторые примеры настройки этих параметров для обеспечения необходимого способа перезапуска.
| Сценарий | Рекомендуемые конфигурации |
|---|---|
| Управляемые службы WSUS — установка обновлений один раз в неделю |
Установите для компьютеров значение autoinstall, запретите автообращение до требуемого времени Политика. Настройка автоматического обновления (включена) Настройка автоматического обновления: 4. Автоматическое скачивание и планирование установки Политика: автоматическое запуск без входа пользователей (отключено) Предельные сроки WSUS: по пятницам в 23:00 |
| Управляемые службы WSUS — Stagger устанавливает в разные часы и дни |
Настройте целевые группы компьютеров, которые должны обновляться вместе Используйте инструкции для предыдущего сценария Настройте различные предельные сроки для отдельных целевых групп |
| Не управляемые WSUS — поддержка крайних сроков не поддерживается — Stagger устанавливает в разное время |
Политика. Настройка автоматического обновления (включена) Настройка автоматического обновления: 4. Автоматическое скачивание и планирование установки Раздел реестра: Включить раздел реестра, описанный в статье базы знаний Майкрософт 2835627 Политика: случайная задержка автоматического обслуживания (включена) Задайте для параметра Случайная задержка регулярного обслуживания значение PT6H, чтобы задать 6-часовую случайную задержку с указанным ниже поведением. — Обновления будет устанавливаться в настроенное время обслуживания, а также случайная задержка — Перезапуск каждого компьютера будет выполняться ровно через 3 дня Кроме того, можно настроить для каждой группы компьютеров разное время обслуживания. |
Дополнительные сведения о том, почему команда инженеров Windows реализовала эти изменения, см. в статье "Как уменьшить вероятность перезапуска компьютера".
Изменения в установке роли сервера доменных служб Active Directory
В ОС начиная с Windows Server 2003 до Windows Server 2008 R2 необходимо было запускать программу командной строки Adprep.exe версии x86 или x64 перед выполнением мастера установки Active Directory, Dcpromo.exe. Программа Dcpromo.exe предусматривала дополнительные варианты установки с носителя или автоматической установки.
Начиная с Windows Server 2012, установка с помощью командной строки выполняется путем использования модуля ADDSDeployment в Windows PowerShell. Повышения роли на основе графического интерфейса пользователя выполняются в диспетчере серверов при помощи абсолютно нового мастера настройки доменных служб Active Directory. Для упрощения установки средство ADPREP было интегрировано в установку доменных служб Active Directory и при необходимости запускается автоматически. Мастер настройки AD DS на основе Windows PowerShell автоматически предназначен для ролей главных ролей схемы и инфраструктуры в доменах, где добавляются контроллеры домена, а затем удаленно выполняет необходимые команды ADPREP на соответствующих контроллерах домена.
Проверка необходимых компонентов в мастере установки доменных служб Active Directory позволяет выявить потенциальные ошибки до начала установки. Возможность исправления ошибок исключает проблемы в случае неполного обновления. Мастер также экспортирует сценарий Windows PowerShell, содержащий все параметры, указанные во время графической установки.
Вместе изменения установки AD DS упрощают процесс установки роли контроллера домена и снижают вероятность административных ошибок, особенно при развертывании нескольких контроллеров домена в глобальных регионах и доменах. Более подробные сведения об установке на основе графического интерфейса пользователя и Windows PowerShell, включая синтаксис командной строки и пошаговые инструкции мастера, см. в разделе Установка доменных служб Active Directory. Администраторы, желающие управлять изменениями схемы в лесу Active Directory независимо от установки контроллеров домена Windows Server 2012 в существующем лесу, могут выполнять команды Adprep.exe в командной строке с повышенными привилегиями.
Нерекомендуемые компоненты и изменения в поведении, связанные с доменными службами Active Directory в Windows Server 2012
Был внесен ряд изменений, связанных с доменными службами Active Directory.
- Отмена Adprep32.exe
- Существует только одна версия Adprep.exe, и она может выполняться по мере необходимости на 64-разрядных серверах под управлением Windows Server 2008 или более поздней версии. Программу можно и нужно запускать удаленно, если целевая роль хозяина операций размещается в 32-разрядной операционной системе или в Windows Server 2003.
- Отмена Dcpromo.exe
- Dcpromo устарел, хотя в Windows Server 2012 только его можно запустить с помощью файла ответов или параметров командной строки, чтобы предоставить организациям время для перехода существующей автоматизации в новые параметры установки Windows PowerShell.
- LMHash отключен в учетных записях пользователей
- Значения по умолчанию в шаблонах безопасности Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012 включают политику NoLMHash, которая отключена в шаблонах безопасности контроллеров домена в Windows 2000 и Windows Server 2003. Отключите политику NoLMHash для клиентов, зависимых от LMHash, по мере необходимости, выполнив действия, описанные на странице "Как запретить Windows хранить хэш диспетчера локальной сети" пароля в базах данных Active Directory и локальных sam.
Начиная с Windows Server 2008, контроллеры домена также имеют следующие безопасные параметры по умолчанию по сравнению с контроллерами домена под управлением Windows Server 2003 или Windows 2000:
| Тип или политика шифрования | Состояние по умолчанию в Windows Server 2008 | Состояние по умолчанию в Windows Server 2012 и Windows Server 2008 R2 | Комментарий |
|---|---|---|---|
| AllowNT4Crypto | Выключено | Выключено | Сторонние клиенты SMB могут быть несовместимы с параметрами безопасности по умолчанию на контроллерах домена. В любом случае эти параметры можно настроить, чтобы разрешить взаимодействие, но только за счет ухудшения безопасности. Дополнительные сведения см. в разделе "Отключить параметр AllowNT4Crypto" для всех затронутых контроллеров домена в базе знаний Майкрософт (/services-hub/unified/health/remediation-steps-ad/disable-the-allownt4crypto-setting-on-all-affected-domain-controllers). |
| DES | Активировано | Выключено | Статья 977321 в базе знаний Майкрософт (https://go.microsoft.com/fwlink/?LinkId=177717) |
| CBT/расширенная защита для встроенной проверки подлинности | Н/П | Включен | Ознакомьтесь с советами по безопасности Майкрософт (937811) иhttps://go.microsoft.com/fwlink/?LinkId=164559 статьями 976918 в Базе знаний Майкрософт (https://go.microsoft.com/fwlink/?LinkId=178251). Проверьте и установите исправление в установке пакетов обновления и исправлений — клиент Windows (/устранение неполадок,windows-client /deployment/install-packs-packs-hotfixes) в Базе знаний Майкрософт по мере необходимости. |
| LMv2 | Активировано | Выключено | Статья 976918 в базе знаний Майкрософт (https://go.microsoft.com/fwlink/?LinkId=178251) |
Требования к операционной системе
Минимальные требования к системе для Windows Server 2012 перечислены в следующей таблице. Более подробные сведения о требованиях к системе и необходимых действиях перед началом установки см. в разделе Установка Windows Server 2012. Для установки нового леса Active Directory нет дополнительных требований к системе, но следует добавить достаточный объем памяти для кэширования содержимого базы данных Active Directory, чтобы улучшить производительность контроллеров домена, запросов LDAP-клиентов и приложений с поддержкой Active Directory. При обновлении существующего или добавлении нового контроллера домена в существующий лес прочтите следующий раздел, чтобы проверить, соответствует ли сервер требованиям к дисковому пространству.
| Требование | Значение |
|---|---|
| Процессор | 64-разрядный процессор с тактовой частотой 1,4 ГГц |
| ОЗУ | 512 МБ |
| Требования к месту на диске | 32 Гб |
| Разрешение экрана | 800 x 600 или выше |
| Разное | DVD-дисковод, клавиатура, доступ к Интернету |
Требования к дисковому пространству для обновления контроллеров домена
В этом разделе рассматриваются требования к дисковой области только для обновления контроллеров домена с Windows Server 2008 или Windows Server 2008 R2. Дополнительные сведения о требованиях к дисковому пространству для обновления контроллеров домена до более ранних версий Windows Server см. в разделе Требования к дисковому пространству для обновления до Windows Server 2008 или Требования к дисковому пространству для обновления до Windows Server 2008 R2.
Разместите диск, на котором размещены базы данных Active Directory и файлы журналов, чтобы разместить пользовательские и управляемые приложениями расширения схемы, индексы, инициированные приложением и администратором, а также пространство для объектов и атрибутов, которые будут добавлены в каталог в течение срока развертывания контроллера домена (обычно 5–8 лет). Экономически эффективнее вложить средства в правильное определение параметров на этапе развертывания, чем впоследствии тратить средства на увеличение дискового пространства. Дополнительные сведения см. в разделе Планирование мощности для доменных служб Active Directory.
Перед началом обновления операционной системы убедитесь в том, что на контроллерах домена, которые планируется обновить, имеется хотя бы 20 % свободного места на диске, на котором расположена база данных Active Directory (NTDS.DIT). Если на томе недостаточно свободного места на диске, обновление может завершиться ошибкой, и отчет о совместимости обновления возвращает ошибку, указывающую на недостаточно свободное место на диске:
В этом случае можно попытаться выполнить автономную дефрагментацию базы данных Active Directory, чтобы освободить дополнительное пространство, а затем повторить обновление. Дополнительные сведения см. в разделе Дефрагментация файла базы данных каталога (автономная дефрагментация).
Доступные номера SKU
Существует 4 выпуска Windows Server: Foundation, Essentials, Standard и Datacenter. Два выпуска поддерживают роль доменных служб Active Directory — Standard и Datacenter.
Выпуски предыдущих версий Windows Server различались уровнем поддержки ролей сервера, количеством процессоров и поддержкой большого объема памяти. Выпуски Standard и Datacenter windows Server поддерживают все функции и базовое оборудование, но зависят от их прав виртуализации. Для выпуска Standard разрешено два виртуальных экземпляра, а для выпуска Datacenter разрешено неограниченное количество виртуальных экземпляров.
Клиентские и серверные ОС Windows, для которых поддерживается присоединение к доменам Windows Server
На компьютерах — членах домена с контроллерами домена под управлением Windows Server 2012 или более поздней версии поддерживаются следующие клиентские и серверные ОС Windows.
- Серверные операционные системы: Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2, Windows Server 2003
Поддерживаемые варианты обновления на месте
Контроллеры домена, выполняющие 64-разрядные версии Windows Server 2008 или Windows Server 2008 R2, можно обновить до Windows Server 2012. Невозможно обновить контроллеры домена под управлением Windows Server 2003 или 32-разрядных версий Windows Server 2008. Чтобы их заменить, установите в домене контроллеры домена с более поздней версией Windows Server, а затем удалите контроллеры домена с Windows Server 2003.
| Если вы используете эти выпуски | Доступно обновление до следующих выпусков |
|---|---|
| Windows Server 2008 Standard с пакетом обновления 2 (SP2) ИЛИ Windows Server 2008 Enterprise с пакетом обновления 2 (SP2) |
Windows Server 2012 Standard ИЛИ Windows Server 2012 Datacenter; |
| Windows Server 2008 Datacenter с пакетом обновления 2 (SP2) | Windows Server 2012 Datacenter; |
| Windows Web Server 2008 | Windows Server 2012 Standard |
| Windows Server 2008 R2 Standard с пакетом обновления 1 (SP1) ИЛИ Windows Server 2008 R2 Enterprise с пакетом обновления 1 (SP1) |
Windows Server 2012 Standard ИЛИ Windows Server 2012 Datacenter; |
| Windows Server 2008 R2 Datacenter с пакетом обновления 1 (SP1) | Windows Server 2012 Datacenter; |
| Windows Web Server 2008 R2 | Windows Server 2012 Standard |
Дополнительные сведения о поддерживаемых способах обновления см. в разделе Ознакомительные версии и варианты обновления для Windows Server 2012. Обратите внимание, что нельзя преобразовать контроллер домена, который запускает ознакомительную версию Windows Server 2012 непосредственно в розничную версию. Вместо этого установите дополнительный контроллер домена на сервере с установленной розничной версией и удалите доменные службы Active Directory с контроллера домена, работающего под управлением ознакомительной версии.
Из-за известной проблемы невозможно обновить контроллер домена, на котором выполняется установка основных серверных компонентов Windows Server 2008 R2 до установки основных серверных компонентов Windows Server 2012. Обновление зависнет с черным экраном на позднем этапе. При перезагрузке контроллеров домена в файле boot.ini появляется возможность отката к предыдущей версии операционной системы. При дополнительной перезагрузке происходит автоматический откат к предыдущей версии операционной системы. До тех пор, пока решение не будет доступно, рекомендуется установить новый контроллер домена с установкой основных серверных компонентов Windows Server 2012 вместо обновления существующего контроллера домена, на котором выполняется установка основных серверных компонентов Windows Server 2008 R2. Дополнительные сведения см. в статье базы знаний 2734222.
Возможности режимов работы и требования
Для Windows Server 2012 требуется функциональный уровень леса Windows Server 2003. Таким образом, прежде чем добавить контроллер домена под управлением Windows Server 2012 в существующий лес Active Directory, функциональный уровень леса должен быть Windows Server 2003 или более поздней версии. Это означает, что контроллеры домена под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 могут работать в одном лесу, но контроллеры домена под управлением Windows 2000 Server не поддерживаются и блокируют установку контроллера домена под управлением Windows Server 2012. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется.
Контроллеры домена под управлением Windows 2000 необходимо удалить, прежде чем добавлять в лес контроллеры домена под управлением Windows Server 2012. В этом случае порядок действий будет следующим.
- Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы.
- Удалите контроллеры домена под управлением Windows 2000. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента "Пользователи и компьютеры Active Directory" удалите учетные записи для всех удаленных контроллеров домена.
- Повысьте режим работы леса до Windows Server 2003 или выше.
- Установите контроллеры домен с Windows Server 2012.
- Удалите контроллеры домена под управлением более ранних версий Windows Server.
Новый функциональный уровень домена Windows Server 2012 включает одну новую функцию: поддержка KDC утверждений, составной проверки подлинности и политики административных шаблонов kerberos с поддержкой административных шаблонов KDC имеет два параметра (всегда предоставляйте утверждения и запросы проверки подлинности без изменений), для которых требуется функциональный уровень домена Windows Server 2012.
Функциональный уровень леса Windows Server 2012 не предоставляет новых функций, но гарантирует, что любой новый домен, созданный в лесу, будет автоматически работать на уровне функциональных возможностей домена Windows Server 2012. Функциональный уровень домена Windows Server 2012 не предоставляет другие новые функции, кроме поддержки KDC для утверждений, составной проверки подлинности и защиты Kerberos. Но это гарантирует, что любой контроллер домена в домене запускает Windows Server 2012. Дополнительные сведения о других возможностях, доступных при разных режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).
После установки функционального уровня леса на определенное значение нельзя откатить или снизить функциональный уровень леса, за исключением следующих исключений: после повышения функционального уровня леса до Windows Server 2012 его можно снизить до Windows Server 2008 R2. Если корзина Active Directory не включена, вы также можете снизить функциональный уровень леса с Windows Server 2012 до Windows Server 2008 R2 или Windows Server 2008 или с Windows Server 2008 R2 обратно в Windows Server 2008. Если для режима работы леса задано значение Windows Server 2008 R2, его нельзя откатить, например в Windows Server 2003.
После установки уровня функциональности домена на определенное значение нельзя откатить или снизить функциональный уровень домена, при этом при повышении функционального уровня домена до Windows Server 2008 R2 или Windows Server 2012, а если уровень функциональности леса — Windows Server 2008 или более низкий, у вас есть возможность переключения уровня функциональности домена на Windows Server 2008 или Windows Server 2008 R2. Вы можете снизить функциональный уровень домена только с Windows Server 2012 до Windows Server 2008 R2 или Windows Server 2008 или с Windows Server 2008 R2 до Windows Server 2008. Если для уровня работы домена задано значение Windows Server 2008 R2, его нельзя откатить, например в Windows Server 2003.
Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).
Помимо функциональных уровней, контроллер домена под управлением Windows Server 2012 предоставляет дополнительные функции, недоступные на контроллере домена, на котором запущена более ранняя версия Windows Server. Например, контроллер домена под управлением Windows Server 2012 можно использовать для клонирования виртуального контроллера домена, а контроллер домена, на котором запущена более ранняя версия Windows Server. Но клонирование виртуального контроллера домена и защита виртуального контроллера домена в Windows Server 2012 не имеют каких-либо функциональных требований.
Примечание.
В Microsoft Exchange Server 2013 требуется режим работы леса Windows Server 2003 или выше.
Взаимодействие доменных служб Active Directory с другими ролями сервера и операционными системами Windows
AD DS не поддерживается в следующих операционных системах Windows:
- Windows MultiPoint Server
- Windows Server 2012 Essentials
AD DS нельзя установить на сервере, где также выполняются следующие роли сервера или службы ролей:
- Сервер Hyper-V Server
- Посредник подключений к удаленному рабочему столу
Роли хозяина операций
Некоторые новые функции в Windows Server 2012 влияют на роли главных ролей операций:
- Эмулятор PDC должен работать под управлением Windows Server 2012 для поддержки клонирования виртуальных контроллеров домена. Существуют дополнительные требования для клонирования контроллеров домена. Дополнительные сведения см. в разделе Виртуализация доменных служб Active Directory (AD DS).
- Новые субъекты безопасности создаются при запуске эмулятора PDC Windows Server 2012.
- Хозяин RID имеет новую выдачу RID и функции наблюдения. Усовершенствования включают в себя улучшенный журнал событий, более подходящие ограничения и способность в экстренных случаях увеличивать общее распределение относительного идентификатора RID в пуле на один бит. Дополнительные сведения см. в разделе Managing RID Issuance.
Примечание.
Хотя они не являются главными ролями операций, другое изменение в установке AD DS заключается в том, что роль DNS-сервера и глобальный каталог устанавливаются по умолчанию на всех контроллерах домена под управлением Windows Server 2012.
Виртуализация контроллеров домена
Улучшения AD DS, начиная с Windows Server 2012, обеспечивают безопасную виртуализацию контроллеров домена и возможность клонировать контроллеры домена. Клонирование контроллеров домена, в свою очередь, обеспечивает быстрое развертывание дополнительных контроллеров домена в новом домене и другие преимущества. Дополнительные сведения см. в разделе Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100).
Администрирование серверов Windows Server 2012
Используйте средства удаленного сервера Администратор istration для Windows 8 для управления контроллерами домена и другими серверами под управлением Windows Server 2012. Вы можете запустить удаленный сервер Windows Server 2012 Администратор istration Tools на компьютере под управлением Windows 8.
Совместимость приложений
В следующей таблице приведены типовые приложения Майкрософт с интеграцией Active Directory. В таблице перечислены версии Windows Server, в которых можно установить эти приложения, и указано, влияет ли установка контроллеров домена под управлением Windows Server 2012 на совместимость приложений.
| Продукт | Примечания. |
|---|---|
| Microsoft SharePoint 2010 | SharePoint 2010 с пакетом обновления 2 (SP2) требуется для установки и работы необходимо установить SharePoint 2010 с пакетом обновления 2. Для установки и использования SharePoint 2010 Foundation на серверах Windows Server 2012 необходимо установить SharePoint 2010 Foundation с пакетом обновления 2. Процесс установки SharePoint Server 2010 (без пакетов обновления) на серверах Windows Server 2012 завершается ошибкой Установщик необходимых компонентов SharePoint Server 2010 (PrerequisiteInstaller.exe) завершается ошибкой "Эта программа имеет проблемы совместимости". При нажатии кнопки "Запустить программу без получения справки" отображается сообщение об ошибке "Проверка возможности установки SharePoint | SharePoint Server 2010 (без пакетов обновления) не удается установить в Windows Server 2012". |
| Microsoft SharePoint 2013 | Минимальные требования для сервера базы данных в ферме Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter Минимальные требования для единственного сервера со встроенной базой данных: Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter Минимальные требования для интерфейсных веб-серверов и серверов приложений в ферме: Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter. |
| Configuration Manager 2012 | Configuration Manager 2012 с пакетом обновления 1 (SP1): После выпуска пакета обновления 1 Майкрософт добавит следующие операционные системы в матрицу поддержки клиентов: - Windows 8 Профессиональная Все роли серверов сайта, включая серверы сайта, поставщиков SMS и точки управления, можно развертывать на серверах со следующими выпусками операционных систем: — Windows Server 2012 Standard |
| Microsoft Endpoint Configuration Manager (current branch) | Поддерживаемые операционные системы для серверов системы сайта Configuration Manager. |
| Microsoft Lync Server 2013 | Lync Server 2013 требуется с платформами Windows Server 2008 R2 или Windows Server 2012. Его нельзя запустить на установке основных серверных компонентов. Его можно запускать на виртуальных серверах. |
| Lync Server 2010 | Lync Server 2010 можно установить на новой (необновленной) платформе Windows Server 2012, если установлены накопительные пакеты обновления для Lync Server за октябрь 2012 года . Обновление операционной системы до Windows Server 2012 для существующей установки Lync Server 2010 не поддерживается. Сервер группового чата Microsoft Lync Server 2010 также не поддерживается на платформе Windows Server 2012. |
| System Center 2012 Endpoint Protection | После выпуска System Center 2012 Endpoint Protection с пакетом обновления 1 в матрицу поддержки клиентов будут добавлены следующие операционные системы: - Windows 8 Профессиональная |
| System Center 2012 Forefront Endpoint Protection | После выпуска FEP 2010 с накопительным пакетом обновления 1 в матрицу поддержки клиентов будут добавлены следующие операционные системы: - Windows 8 Профессиональная |
| Forefront Threat Management Gateway (TMG) | TMG поддерживается только в Windows Server 2008 и Windows Server 2008 R2. Подробнее см. в разделе Требования к системе для Forefront TMG. |
| Службы обновления Windows Server | Этот выпуск служб WSUS уже поддерживает компьютеры под управлением Windows 8 и компьютеры под управлением Windows Server 2012 в качестве клиентов. |
| Службы Windows Server Update Services 3.0 | Обновление КБ статье 2734608 позволяет серверам под управлением служб Windows Server Update Services (WSUS) 3.0 с пакетом обновления 2 (SP2) предоставлять обновления для компьютеров под управлением Windows 8 или Windows Server 2012: Примечание. Клиенты с автономными службами WSUS 3 Средам с пакетом обновления 2 (SP2) или средам Configuration Manager 2 с пакетом обновления 2 (SP2) с пакетом обновления 2 (SP2) требуется 2734608 для правильного управления компьютерами под управлением Windows 8 или компьютеров под управлением Windows Server 2012 в качестве клиентов. |
| Exchange 2013 | Windows Server 2012 Standard и Datacenter поддерживаются для следующих ролей: хозяин схемы, сервер глобального каталога, контроллер домена, почтовый ящик и роль сервера клиентского доступа Режим работы леса: Windows Server 2003 или выше Источник: требования к системе для Exchange 2013 |
| Exchange 2010. | Источник: Exchange 2010 с пакетом обновления 3 (SP3) Exchange 2010 с пакетом обновления 3 можно установить на рядовых серверах Windows Server 2012. В разделеТребования к системе для Exchange 2010 указаны последние поддерживаемые роли хозяина схемы, глобального каталога и контроллера домена для Windows Server 2008 R2. Режим работы леса: Windows Server 2003 или выше |
| SQL Server 2012 | Источник: статья базы знаний 2681562 SQL Server 2012 RTM поддерживается в Windows Server 2012. |
| SQL Server 2008 R2 | Источник: статья базы знаний 2681562 Для установки на сервере Windows Server 2012 требуется SQL Server 2008 R2 с пакетом обновления 1 или новее. |
| SQL Server 2008 | Источник: статья базы знаний 2681562 Для установки на сервере Windows Server 2012 требуется SQL Server 2008 с пакетом обновления 3 или новее. |
| SQL Server 2005 | Источник: статья базы знаний 2681562 Установка на сервере Windows Server 2012 не поддерживается. |
Известные проблемы
В следующей таблице перечислены известные проблемы, связанные с установкой AD DS:
| Номер и название статьи базы знаний | Затрагиваемая технологическая область | Описание проблемы |
|---|---|---|
| 2830145: Идентификаторы SID S-1-18-1 и SID S-1-18-2 нельзя сопоставить на компьютерах с ОС Windows 7 или Windows Server 2008 R2 в среде домена | Управление AD DS, совместимость приложений | Приложения, которые сопоставляют SID S-1-18-1 и SID S-1-18-2, которые являются новыми в Windows Server 2012, могут завершиться ошибкой, так как идентификаторы SID не могут быть разрешены на компьютерах под управлением Windows 7 или Windows Server 2008 R2. Чтобы устранить эту проблему, установите исправление на компьютерах с ОС Windows 7 и Windows Server 2008 R2 в домене. |
| 2737129. Подготовка групповой политики не выполняется при автоматической подготовке существующего домена для Windows Server 2012 | Установка доменных служб Active Directory | Adprep /domainprep /gpprep не запускается автоматически в рамках установки первого контроллера домена, на котором выполняется Windows Server 2012 в домене. Если программа ранее не запускалась в домене, ее необходимо запустить вручную. |
| 2737416: При развертывании контроллера домена с использованием Windows PowerShell выводятся многократные предупреждения | Установка доменных служб Active Directory | Предупреждения могут появляться в ходе проверки необходимых компонентов и затем снова возникать в процессе установки. |
| 2737424: Возникает ошибка "Неверный формат имени домена" при попытке удалить доменные службы Active Directory с контроллера домена | Установка доменных служб Active Directory | Эта ошибка возникает, если вы удаляете последний контроллер домена в домене, где все еще существуют предварительно созданные учетные записи RODC. Эта ошибка затрагивает Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008. |
| 2737463: контроллер домена не запускается, ошибка c00002e2e2 или отображается сообщение "Выбрать параметр" | Установка доменных служб Active Directory | Контроллер домена не запускается, так как администратор использовал Dism.exe, Pkgmgr.exe или Ocsetup.exe для удаления роли DirectoryServices-DomainController. |
| 2737535: Командлет Install-AddsDomainController возвращает ошибку настройки параметра для контроллера домена только для чтения | Установка доменных служб Active Directory | Ошибка может возникнуть при попытке связать сервер с учетной записью контроллера домена только для чтения, если вы указываете аргументы, уже заданные в ранее созданной учетной записи этого контроллера. |
| 2737560: Возникает ошибка "Не удалось выполнить проверку конфликтов схемы Exchange", и происходит сбой проверки предварительных требований | Установка доменных служб Active Directory | Сбой проверки предварительных требований возникает при настройке первого контроллера домена под управлением Windows Server 2012 в существующем домене, поскольку на контроллерах домена отсутствует параметр SeServiceLogonRight для сетевой службы либо поскольку заблокированы инструментарий WMI или протоколы DCOM. |
| 2737797: Модуль AddsDeployment с аргументом -Whatif показывает неправильные результаты для DNS | Установка доменных служб Active Directory | Параметр -WhatIf показывает, что DNS-сервер не будет установлен, но он будет. |
| 2737807. Кнопка "Далее" недоступна на странице "Параметры контроллера домена" | Установка доменных служб Active Directory | Кнопка "Далее" отключена на странице "Параметры контроллера домена", так как IP-адрес целевого контроллера домена не сопоставляется с существующей подсетью или сайтом, или потому что пароль DSRM не введен и подтвержден правильно. |
| 2737935: Установка Active Directory зависает на этапе "Создание объекта параметров NTDS" | Установка доменных служб Active Directory | Установка зависает потому, что пароль локального администратора совпадает с паролем администратора домена, или потому, что сетевые неполадки мешают критически важной репликации. |
| 2738060: Появляется сообщение "Отказано в доступе" при удаленном создании дочернего домена с помощью командлета Install-AddsDomain | Установка доменных служб Active Directory | Это сообщение об ошибке появляется при запуске командлета Install-ADDSDomain с параметром Invoke-Command, если DNSDelegationCredential имеет неверный пароль. |
| 2738697. Ошибка конфигурации контроллера домена "Сервер не работает" при настройке сервера с помощью диспетчер сервера | Установка доменных служб Active Directory | Это сообщение об ошибке появляется при попытке установить доменные службы Active Directory на компьютере рабочей группы, потому что отключена проверка подлинности NTLM. |
| 2738746: Возникают ошибки "Отказано в доступе" после входа в систему с учетной записью локального администратора домена | Установка доменных служб Active Directory | При входе с помощью локальной учетной записи Администратор istrator, а не встроенной учетной записи Администратор istrator, а затем создания нового домена учетная запись не добавляется в группу доменных Администратор s. |
| 2743345: "Система не может найти указанный файл" Ошибка Adprep /gpprep или сбой средства | Установка доменных служб Active Directory | Это сообщение об ошибке появляется при запуске программы adprep /gpprep, поскольку хозяин инфраструктуры реализует несвязанное пространство имен. |
| 2753560: Возникают ошибки установки ADMT 3.2 и PES 3.1 в Windows Server 2012 | ADMT | ADMT 3.2 нельзя установить в Windows Server 2012 с помощью конструктора. |
| 2750857. Отчеты диагностики репликации DFS не отображаются в Интернете Обозреватель 10 | DFS Replication | Диагностический отчет о репликации DFS не отображается правильно из-за изменений в Интернете Обозреватель 10. |
| 2741537: Пользователи могут просматривать обновления в удаленной групповой политике | Групповая политика | Это связано с тем, что назначенные задания выполняются в контексте каждого пользователя, выполнившего вход в систему. Для планировщика заданий Windows в этом случае требуется интерактивное приглашение. |
| 2741591. Файлы ADM отсутствуют в SYSVOL в параметре состояния инфраструктуры GPMC | Групповая политика | GP реплика tion может сообщать "реплика tion in progress", так как состояние инфраструктуры GPMC не соответствует настраиваемым правилам фильтрации. |
| 2737880: ошибка "Служба не может быть запущена" во время настройки AD DS | Клонирование виртуального контроллера домена | Это сообщение об ошибке появляется во время установки или удаления доменных служб Active Directory либо во время клонирования, потому что отключена служба сервера с ролью DS. |
| 2742836: При использовании функции клонирования виртуального контроллера домена создаются две аренды DHCP для каждого контроллера домена | Клонирование виртуального контроллера домена | Это связано с тем, что клонированный контроллер домена получил аренду до клонирования и повторно после завершения клонирования. |
| 2742844: Клонирование контроллера домена завершается сбоем, и сервер перезагружается в режиме DSRM в Windows Server 2012 | Клонирование виртуального контроллера домена | Клонированный контроллер домена запускается в режиме DSRM, потому что клонирование завершилось сбоем по разным причинам, указанным в статье базы знаний. |
| 2742874. Клонирование контроллера домена не создает все имена субъектов-служб | Клонирование виртуального контроллера домена | Некоторые три части spN не создаются на клонированном контроллере домена из-за ограничения процесса переименования домена. |
| 2742908: После клонирования контроллера домена возникает ошибка "Нет доступных серверов входа" | Клонирование виртуального контроллера домена | Это сообщение об ошибке появляется при попытке войти в систему после клонирования виртуального контроллера домена потому, что клонирование завершилось сбоем и контроллер домена запускается в режиме DSRM. Для устранения сбоя клонирования войдите в систему с правами администратора (.\administrator). |
| 2742916: Клонирование контроллера домена завершается сбоем — в файле dcpromo.log указана ошибка 8610 | Клонирование виртуального контроллера домена | Сбой клонирования, так как эмулятор PDC не выполнил входящий реплика секции домена, скорее всего, из-за передачи роли. |
| 2742927: Командлет New-AdDcCloneConfig завершается ошибкой "Индекс вне диапазона" | Клонирование виртуального контроллера домена | После выполнения командлета New-ADDCCloneConfigFile при клонировании виртуальных контроллеров домена возникает ошибка, так как командлет не был запущен из командной строки с повышенными привилегиями или так как маркер доступа не содержит группу Администратор istrators. |
| 2742959: Клонирование контроллера домена завершается ошибкой 8437 — "Для этой операции репликации указан недопустимый параметр" | Клонирование виртуального контроллера домена | Клонирование завершилось ошибкой потому, что было указано недопустимое имя клона или повторяющееся NetBIOS-имя. |
| 2742970: Клонирование контроллера домена завершается сбоем без DSRM, дублирования источника и компьютера клона | Клонирование виртуального контроллера домена | Клонированный виртуальный контроллер домена загружается в режиме восстановления служб каталогов (DSRM), используя повторяющееся имя в качестве исходного контроллера домена, так как файл DCCloneConfig.xml не был создан в правильном расположении или из-за перезагрузки исходного контроллера домена перед клонированием. |
| 2743278: Возникает ошибка клонирования контроллера домена 0x80041005 | Клонирование виртуального контроллера домена | Клонированный контроллер домена загружается в режиме DSRM потому, что был указан только один WINS-сервер. Если указан какой-либо WINS-сервер, необходимо указать и предпочитаемый, и альтернативный WINS-серверы. |
| 2745013: При выполнении командлета New-AdDcCloneConfigFile в Windows Server 2012 возникает сообщение об ошибке "Сервер неработоспособен" | Клонирование виртуального контроллера домена | Эта ошибка возникает после запуска командлета New-ADDCCloneConfigFile, так как сервер не может связаться с глобальным сервером каталога. |
| 2747974: Событие клонирования контроллера домена с кодом 2224 предоставляет некорректные рекомендации | Клонирование виртуального контроллера домена | Событие с кодом 2224 неправильно предписывает удаление управляемых учетных записей служб перед клонированием. Автономные MSAs должны быть удалены, но группы MSAs не блокируют клонирование. |
| 2748266. После обновления до Windows 8 не удается разблокировать зашифрованный диск BitLocker. | BitLocker | При попытке разблокировать диск на компьютере, который был обновлен с Windows 7, возникает ошибка "Приложение не найдено". |
См. также
Руководствопо установке и развертыванию Windows Server 2012для Windows Server 2012