Новые возможности при установке и удалении доменных служб Active Directory

2025-05-12
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

развертывание служб домен Active Directory (AD DS) в Windows Server 2012 проще и быстрее, чем предыдущие версии Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory. Это упрощает процесс создания новой среды Active Directory и повышает его эффективность. В новом процессе развертывания AD DS сведена к минимуму вероятность ошибок, которые могут воспрепятствовать установке.

Кроме того, можно установить двоичные файлы роли сервера AD DS (то есть, роль сервера AD DS) на несколько серверов одновременно. Можно также удаленно запускать мастер установки AD DS на отдельном сервере. Эти улучшения обеспечивают большую гибкость для развертывания контроллеров домена, работающих под управлением Windows Server, особенно для крупномасштабных глобальных развертываний, где многие контроллеры домена должны быть развернуты в офисах в разных регионах.

Установка AD DS имеет следующие особенности:

Интеграция Adprep.exe в процесс установки Active Directory Domain Services. Трудоемкие задачи по подготовке существующей среды Active Directory, например необходимость использования разных учетных данных, копирования файлов Adprep.exe и входа в определенные контроллеры домена, упрощены или выполняются автоматически. Это ускоряет установку AD DS и снижает вероятность ошибок, которые могут воспрепятствовать повышению роли контроллера домена. В средах, где рекомендуется выполнять команды adprep.exe перед установкой нового контроллера домена, вы по-прежнему можете выполнять adprep.exe команды отдельно от установки AD DS.
Новый процесс установки AD DS выполняется на основе Windows PowerShell и может быть инициирован удаленно. Новый процесс установки AD DS интегрирован с диспетчером сервера, что позволяет использовать для установки AD DS тот же интерфейс, что и для установки других ролей сервера. При использовании Windows PowerShell командлеты развертывания AD DS обеспечивают дополнительные функциональные возможности и повышенную гибкость. Существует функциональный паритет между параметрами установки командной строки и графического интерфейса.
Новый процесс установки AD DS включает проверку предварительных требований. Любые потенциальные ошибки можно обнаружить до начала установки. Вы можете исправить условия ошибки до их возникновения без проблем, вызванных частично завершенным обновлением. Например, если нужно выполнить команду adprep /domainprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения операции.
Страницы настройки сгруппированы в последовательность, отражающую требования наиболее часто используемых параметров продвижения, при этом связанные параметры сгруппированы на меньшем количестве страниц мастера. Это улучшает контекст для выбора параметров установки.
Можно экспортировать сценарий Windows PowerShell, содержащий все параметры, заданные во время установки через графический интерфейс. По окончании установки или удаления можно экспортировать параметры в сценарий Windows PowerShell для использования при автоматическом выполнении той же операции.
Перед перезагрузкой выполняется репликация только критически важных данных. Новый коммутатор, позволяющий выполнять репликацию некритических данных перед перезагрузкой. Дополнительные сведения см. в командлете ADDSDeployment PowerShell.

Мастер настройки доменных служб Active Directory

Начиная с Windows Server 2012 мастер настройки доменных служб Active Directory заменяет устаревший мастер установки доменных служб Active Directory в качестве параметра пользовательского интерфейса, чтобы указать параметры при установке контроллера домена. Мастер настройки доменных служб Active Directory запускается после завершения работы мастера добавления ролей.

В разделе "Установка доменных служб Active Directory" процедуры пользовательского интерфейса показывают, как запустить мастер добавления ролей для установки двоичных файлов ролей сервера AD DS, а затем запустить мастер настройки доменных служб Active Directory, чтобы завершить установку контроллера домена. В примерах Windows PowerShell показано, как выполнить оба этапа с помощью командлета развертывания AD DS.

Adprep.exe integration

Команды Adprep выполняются автоматически при установке контроллера домена, который работает под управлением Windows Server в существующем домене или лесу Active Directory.

Хотя операции Adprep выполняются автоматически, можно запускать программу adprep.exe отдельно. Например, если пользователь, который устанавливает AD DS, не является членом группы администраторов предприятия, которая требуется для запуска Adprep /forestprep, может потребоваться выполнить команду отдельно. Но запускать adprep.exe необходимо, только если вы планируете встроенное обновление вашего первого контроллера домена Windows Server (иными словами, если вы планируете встроенное обновление операционной системы контроллера домена, который работает под управлением Windows Server 2012).

Adprep.exe находится в папке \support\adprep диска установки Windows Server. Adprep может выполняться удаленно.

What's new

For information about resolving other errors returned by Adprep.exe, see Known issues.

Синтаксис Adprep в Windows Server 2012

Для запуска программы Adprep отдельно от установки AD DS используйте следующий синтаксис:

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

Для более подробного ведения журнала используйте в команде параметр /logdsid. Файл adprep.log находится в папке %windir%\System32\Debug\Adprep\Logs.

Запуск Adprep с помощью смарт-карты

Версия windows Server adprep.exe работает с помощью смарт-карты в качестве учетных данных, но в командной строке нет простого способа указать учетные данные смарт-карты. Один из способов получения учетных данных смарт-карты - использовать командлет PowerShell Get-Credential. Затем следует использовать имя пользователя из возвращенного объекта PSCredential, которое отображается как @@.... Паролем служит ПИН-код смарт-карты.

Программа adprep.exe требует указать параметр /userdomain, если параметр /user задан. Для учетных данных смарт-карты параметр /userdomain должен соответствовать домену учетной записи пользователя, которую представляет смарт-карта.

Команда Adprep /domainprep /gpprep не выполняется автоматически

Команда adprep /domainprep /gpprep не выполняется как часть установки AD DS. Эта команда устанавливает разрешения, необходимые для режима планирования результирующей политики. Подробнее об этой команде см. в статье 324392 базы знаний Майкрософт. Если команду нужно выполнить в вашем домене Active Directory, ее можно запустить отдельно от установки AD DS. Если команда уже запущена при подготовке развертывания контроллеров домена под управлением Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии, команда не должна выполняться снова.

Вы можете безопасно добавить контроллеры домена, которые запускают Windows Server в существующий домен, не выполняя adprep /domainprep /gpprep, но режим планирования RSOP не будет работать должным образом.

Валидация предварительных требований для установки служб Active Directory Domain Services (AD DS)

Мастер установки AD DS перед началом установки проверяет, выполняются ли следующие предварительные условия. Это позволяет исправить ошибки, которые могут воспрепятствовать установке.

Предварительные требования, связанные с программой Adprep, включают, например, следующие.

Проверка учетных данных Adprep: если нужно запустить программу Adprep, мастер установки проверяет, достаточно ли у пользователя прав для выполнения необходимых операций Adprep.
Проверка доступности хозяина схемы: если мастер установки определит, что необходимо выполнить команду adprep /forestprep, он проверяет, подключен ли к сети хозяин схемы, и, если нет, завершается ошибкой.
Проверка доступности мастера инфраструктуры: если мастер установки определяет, что необходимо выполнить команду adprep /domainprep, он проверяет, находится ли мастер инфраструктуры в сети, и в противном случае завершает работу с ошибкой.

Другие проверки предварительных требований, которые были перенесены из прежнего мастера установки Active Directory (dcpromo.exe), включают следующее.

Проверка имени леса. Убедитесь, что имя леса является допустимым и в настоящее время не существует.
Проверка имени NetBIOS: проверяет, что предоставленное имя NetBIOS является допустимым и не конфликтует с существующими именами.
Проверка пути к компоненту. Проверяет, что пути к базе данных Active Directory, журналам и SYSVOL допустимы, и что для них достаточно места на диске.
Проверка имени дочернего домена. Убедитесь, что родительские и новые дочерние доменные имена допустимы и что они не конфликтуют с существующими доменами.
Проверка доменного имени дерева: удостоверяет, что указанное доменное имя дерева является допустимым и в данный момент не существует.

Known issues

В этом разделе перечислены некоторые известные проблемы, влияющие на установку AD DS в Windows Server 2012. Другие известные проблемы см. в разделе Troubleshooting Domain Controller Deployment.

Если доступ WMI к хозяину схемы заблокирован брандмауэром Windows при удаленном выполнении команды adprep /forestprep, то в журнале Adprep в каталоге %systemroot%\system32\debug\adprep появляется следующее сообщение об ошибке:
```
Adprep encountered a Win32 error.
Error code: 0x6ba Error message: The RPC server is unavailable.
```
В этом случае, можно решить проблему, либо запустив команду adprep /forestprep непосредственно на мастере схемы, либо выполнив одну из следующих команд, которые разрешают передачу трафика WMI через брандмауэр Windows.
```
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes
```
Чтобы отменить выполнение командлета Install-ADDSForest, можно нажать клавиши CTRL+C. Установка будет прекращена, и любые изменения состояния сервера будут отменены. Но после выдачи команды отмены управление не возвращается в Windows PowerShell, и командлет может застревать на неопределенный срок.
Установка дополнительного контроллера домена с использованием учетных данных смарт-карты завершается ошибкой, если целевой сервер не присоединен к домену перед установкой.

В этом случае возвращается следующее сообщение об ошибке:

Unable to connect to the replication source domain controller source-domain-controller-name. (Исключение: ошибка при входе: неизвестное имя пользователя или неверный пароль)

Если вы присоедините целевой сервер к домену и затем проведете установку с использованием смарт-карты, то установка завершится успешно.
Модуль ADDSDeployment не поддерживает 32-разрядные процессы. Если вы автоматизируете развертывание и настройку Windows Server 2012 с помощью скрипта, включающего командлет ADDSDeployment и любой другой командлет, который не поддерживает собственные 64-разрядные процессы, скрипт может завершиться ошибкой, указывающей, что командлет ADDSDeployment не найден.

В этом случае необходимо запустить командлет ADDSDeployment отдельно от командлета, который не поддерживает собственные 64-разрядные процессы.
В Windows Server 2012 есть новая файловая система с именем Отказоустойчивая файловая система. Не сохраняйте базу данных Active Directory, файлы журналов или SYSVOL в томе данных, отформатированный с помощью отказоустойчивой файловой системы (ReFS). Дополнительные сведения о ReFS см. в статье Создание файловой системы нового поколения для Windows: ReFS.
В диспетчере серверов серверы, на которых выполняются AD DS или другие роли сервера на установке основных серверных компонентов и были обновлены, роль сервера может отображаться с красным состоянием, даже если события и состояние собираются должным образом. Серверы, на которые выполняется установка основных серверных компонентов предварительного выпуска Windows Server, также могут быть затронуты.

Установка доменных служб Active Directory зависает, если ошибка мешает репликации критически важных данных

Если при установке AD DS будет обнаружена ошибка на этапе репликации критически важных данных, то установка может зависнуть на неопределенное время. Например, если сетевые ошибки препятствуют выполнению критической репликации, установка не будет продолжаться.

Если вы устанавливаете с помощью диспетчера сервера, вы можете увидеть, что страница прогресса установки остается открытой, но ошибки не отображаются на экране, и прогресс может не измениться примерно в течение 15 минут. Если вы используете Windows PowerShell, ход выполнения, показанный в окне Windows PowerShell, не изменится более чем на 15 минут.

В случае возникновения этой проблемы проверьте файл dcpromo.log в папке %systemroot%\debug на целевом сервере. Обычно файл журнала содержит сведения о повторяющихся сбоях репликации. Некоторые известные причины этой проблемы

Сетевые неполадки мешают репликации критически важных данных между целевым сервером, роль которого повышается, и исходным контроллером домена репликации.

Например, файл dcpromo.log может содержать следующие данные:
```
05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963
Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
Process ID:
500
Reported error information:
Error value:
Could not find the domain controller for this domain. (1908)
directory service:
<domain>.com
Extensive error information:
Error value:
A security package specific error occurred. 1825
directory service:
<DC Name>
```
Поскольку в процессе установки попытки репликации критически важных данных повторяются бесконечное число раз, установка контроллера домена продолжится, если проблемы с сетью будут решены. Исследуйте проблему с сетью с использованием таких средств, как ipconfig, nslookup и netmon, если необходимо. Убедитесь, что подключение существует между контроллером домена, который вы продвигаете, и партнером репликации, выбранным во время установки AD DS. Также убедитесь, что разрешение имен работает.

Требования к сетевому подключению и разрешению имен для установки AD DS проверяются в процессе проверки требований перед началом установки. Но некоторые ошибочные состояния могут возникнуть после выполнения проверки необходимых компонентов и до завершения установки, например если партнер репликации становится недоступным во время установки.
Во время установки контроллера домена репликации учетная запись локального администратора на целевом сервере указана для учетных данных установки, а пароль этой учетной записи совпадает с паролем учетной записи администратора домена. В этом случае можно завершить мастер настройки и сразу начать установку до того, как возникнет ошибка "Доступ запрещен".

Например, файл dcpromo.log может содержать следующие данные:
```
03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com...
03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause.
Process ID:
508
Reported error information:
Error value:
Access is denied. (5)
directory service:
DC2.contoso.com
```
Если причиной ошибки стало указание локальной учетной записи администратора и пароля, для восстановления необходимо повторно установить операционную систему, выполнить очистку метаданных учетной записи контроллера домена, установка которой завершилась с ошибками, а затем повторить попытку установки AD DS с использованием учетных данных администратора домена. Перезапуск сервера не исправит это условие ошибки, так как сервер будет указывать, что AD DS установлен, даже если установка не завершена успешно.

Мастер настройки доменных служб Active Directory выдает предупреждение, когда указано ненормализованное DNS-имя

Если вы создаете новый домен или лес и указываете DNS-доменное имя, включающее международные символы, которые не нормализованы, мастер настройки служб домен Active Directory отображает предупреждение о том, что запросы DNS для имени могут завершиться ошибкой. Хотя DNS-имя домена указывается на странице конфигурации развертывания, предупреждение позднее выводится на странице проверки предварительных требований в мастере.

Если доменное имя DNS указано с использованием ненормализованного имени, например füß ball.com или ΣΣ'.com (нормализованные версии: füssball.com и βστα.com), клиентские приложения, которые пытаются получить доступ к нему с помощью WinHTTP, нормализуют имя перед вызовом API разрешения имен. Если пользователь вводит "'ΣΤ'.com" в каком-либо диалоговом окне, DNS-запрос будет отправлен как "βστα.com", и ни один DNS-сервер не сопоставит его с записью ресурса для "'ΣΤ'.com". Пользователь не сможет разрешить имя.

В следующем примере объясняется одно из проблем, которые могут возникнуть при использовании имени idN, который не нормализован:

Домен, использующий ненормализованное имя, создается и регистрируется на dns-сервере: füß ball.com
Компьютер "nps" присоединен к домену и его имя зарегистрировано: nps.füßball.com
Клиентское приложение пытается подключиться к серверу nps.füß ball.com
Клиентское приложение пытается разрешить имя nps.füßball.com, вызывая API для разрешения имен.
Из-за нормализации имя преобразуется в nps.füssball.com и запрашивается по сети как nps.füßball.com.
Приложение не может определить имя, потому что зарегистрированное имя — nps.füßball.com.

Если на странице проверки предварительных требований в мастере настройки доменных служб Active Directory появляется предупреждение, вернитесь на страницу конфигурации развертывания и укажите нормализованное DNS-имя домена. Если вы устанавливаете новый домен с помощью Windows PowerShell, укажите нормализованное DNS-имя для параметра -DomainName.

Подробнее об IDN см. в разделе Обработка международных доменных имен (IDN).