在服务器管理器中,可以使用 Active Directory 域服务配置向导将服务器提升到域控制器并降级服务器。 本文介绍该向导中以下页面上的控件。
若要将服务器晋升为域控制器,请执行以下步骤:
若要降级域控制器:
将服务器提升到域控制器
以下部分介绍使用 Active Directory 域服务配置向导将服务器提升到域控制器时看到的页面。
部署配置
服务器管理器从“部署配置”页面开始执行每个域控制器的安装。 你在本页面及后续页面上看到的选项和必填字段取决于您选择了哪个部署操作。
该向导在 “部署配置 ”页上运行一些验证和测试,并在以后作为先决条件检查的一部分再次运行。 例如,尝试在林中安装第一个 Windows Server 域控制器时,将执行检查。 如果林的功能级别不支持域控制器的 Windows Server 版本,则会在此页上显示错误。
以下部分介绍在此页上可以选择的部署操作。
创建林
以下屏幕截图显示了创建林时出现的选项:
创建林时,必须为林根域指定名称。
- 无法对目录林根级域进行单标签。 例如,它必须是
example-domain.com而不是example-domain。 - 它必须使用允许的域名系统(DNS)域命名约定。 有关 DNS 域命名约定的详细信息,请参阅 适用于计算机、域、站点和 OU 的 Active Directory 中的命名约定。
- 可以指定国际化域名(IDN)。
- 无法对目录林根级域进行单标签。 例如,它必须是
你创建的任何 Active Directory 林的名称必须与外部 DNS 名称不同。 例如,如果您的 Internet DNS URL 为
https://example-domain.com,那么为避免将来的兼容性问题,您必须为内部域林选择一个不同的名称。 该名称应是唯一的,不太可能用于 Web 流量,例如corp.example-domain.com。要在服务器上创建林,您必须是该服务器上的 Administrators 组成员。
有关如何创建林的详细信息,请参阅安装全新 Windows Server 2012 Active Directory 林(级别 200)。
创建域
以下屏幕截图显示了创建域时出现的选项:
注意
如果创建树域,则需要指定林根域的名称,而不是父域。 但是,无论是创建子域还是树域,其余向导页和选项都是相同的。
对于 父域名,请选择 “选择 ”以转到父域或 Active Directory 树,或输入有效的父域或树名。
对于 “新建域名”,请输入新域的名称。
- 对于树域,请提供有效的完全限定根域名。 该名称不能是单标签名称,并且必须满足 DNS 域名要求。
- 对于子域,请提供有效的单标签子域名。 该名称必须满足 DNS 域名要求。
如果当前凭据不是来自域,Active Directory 域服务配置向导会提示你输入域凭据。 选择 “更改” 以提供域凭据。
有关如何创建域的详细信息,请参阅安装全新 Windows Server 2012 Active Directory 子域或树域(级别 200)。
将域控制器添加到现有域
以下屏幕截图显示了向现有域添加新域控制器时出现的选项:
对于域,选择Select以进入该域,或者输入有效的域名。
如果需要,服务器管理器会提示输入有效的凭据。 安装其他域控制器需要 Domain Admins 组中的成员身份。
此外,在林中安装运行 Windows Server 的第一个域控制器时,需要凭据包括企业管理员组和架构管理员组中的组成员身份。 如果当前凭据没有足够权限或组成员身份,Active Directory 域服务配置向导将在稍后给出提示。
有关如何将域控制器添加到现有域中的详细信息,请参阅在现有域中安装副本 Windows Server 2012 域控制器(级别 200)。
域控制器选项
在 “域控制器选项” 页上看到的选项取决于您的部署操作。 以下部分介绍为每个操作配置的选项。
新森林选项
创建林时, “域控制器选项” 页将显示以下屏幕截图中显示的选项:
林和域功能级别的默认值取决于 Windows Server 版本。
从 Windows Server 2012 版本开始,域功能级别在密钥分发中心(KDC)管理模板策略 KDC 支持声明、复合身份验证和 Kerberos 保护中提供以下设置:
- 始终提供声明
- 拒绝不受保护的身份验证请求
有关详细信息,请参阅 Support for claims, compound authentication, and Kerberos armoring。
在林中创建的任何域都会在与所选林功能级别相等的域功能级别自动运行。 此外,域中的任何域控制器都运行所选域功能级别的 Windows Server 版本。
有关各种功能级别提供的功能的详细信息,请参阅 Active Directory 域服务功能级别。
域控制器上可用的功能取决于域控制器运行的 Windows Server 版本。
创建林时,默认情况下会选择 “域名系统”(DNS)服务器 选项。 林中的第一个域控制器必须是全局编录服务器,它不能是只读域控制器(RODC)。
若要登录到未运行 AD DS 的域控制器,需要目录服务还原模式 (DSRM) 密码。 指定的密码必须遵循应用于服务器的密码策略。 默认情况下,该策略不需要强密码。 它只需要非空白密码。 总是选择复杂强密码或首选密码。 有关如何将 DSRM 密码与域用户帐户的密码同步的信息,请参阅 有关同步密码的支持文章。
有关如何创建林的详细信息,请参阅安装全新 Windows Server 2012 Active Directory 林(级别 200)。
新的子域选项
创建子域时, “域控制器选项” 页显示以下屏幕截图中显示的选项:
域功能级别的默认值取决于你的 Windows Server 版本。 可以指定大于或等于林功能级别的任何值。
可以配置以下域控制器选项:
- 域名系统 (DNS) 服务器
- 全局编录 (GC)
不能将新域中的第一个域控制器配置为 RODC。
建议所有域控制器都提供 DNS 和全局编录服务,以实现分布式环境中的高可用性。 因此,向导在创建域时默认启用这些选项。
还可以使用此页从林配置中选择适当的 Active Directory 逻辑站点名称。 默认情况下,选择了具有最正确子网的站点。 如果只有一个站点,则会自动选择该站点。
重要
如果服务器不属于 Active Directory 子网,并且有多个站点,则不会选择任何站点。 在从列表中选择网站之前,“ 下一步 ”按钮不可用。
有关如何创建域的详细信息,请参阅安装全新 Windows Server 2012 Active Directory 子域或树域(级别 200)。
将域控制器添加到域的可选项
将域控制器添加到域时, “域控制器选项” 页将显示以下屏幕截图中显示的选项:
可以配置以下域控制器选项:
- 域名系统 (DNS) 服务器
- 全局编录 (GC)
- 只读域控制器 (RODC)
建议所有域控制器都提供 DNS 和全局编录服务,以实现分布式环境中的高可用性。 因此,默认情况下,这些选项处于启用状态。 若要详细了解如何部署 RODC,请参阅只读域控制器规划和部署指南。
有关如何将域控制器添加到现有域中的详细信息,请参阅在现有域中安装副本 Windows Server 2012 域控制器(级别 200)。
DNS 选项
如果安装 DNS 服务器角色,将显示以下 DNS 选项 页:
安装 DNS 服务器角色时,应在父 DNS 区域中创建将 DNS 服务器作为该区域的权威服务器的委派记录。 委派记录传输名称解析机构。 它们还提供对新区域权威性的新服务器的其他 DNS 服务器和客户端的正确引用。 这些资源记录包括以下记录:
- 影响委派的名称服务器 (NS) 资源记录。 此资源记录声明名为
ns1.na.example.microsoft.com的服务器是委托子域的权威服务器。 - 主机(A 或 AAAA)资源记录,也称为粘附记录。 必须存在此记录,才能将 NS 资源记录中指定的服务器的名称解析为其 IP 地址。 将此资源记录中的主机名称解析为 NS 资源记录中的委派 DNS 服务器的过程有时称为“粘附追踪”。
可以让 Active Directory 域服务配置向导自动创建这些记录。 在 “域控制器选项” 页上,如果选择“ 下一步”,向导将验证父 DNS 区域中是否存在相应的记录。 如果向导无法验证父域中是否存在记录,向导将提供为新域(或更新现有委派)自动创建 DNS 委派的选项,并继续安装新的域控制器。
或者,可以在安装 DNS 服务器角色之前创建这些 DNS 委派记录。 若要创建区域委派,请打开 DNS 管理器,右键单击父域,然后选择“ 新建委派”。 按照“新建委派向导”中的步骤创建委派。
安装过程尝试创建委派,以确保其他域中的计算机可解析主机的 DNS 查询,包括 DNS 子域中的域控制器和成员计算机。 委托记录只能在Microsoft DNS 服务器上自动创建。 如果父 DNS 域区域驻留在伯克利 Internet 名称域(BIND)服务器等第三方 DNS 服务器上,则会在 “先决条件检查 ”页上显示有关创建 DNS 委派记录失败的警告。 有关警告的详细信息,请参阅 安装和删除 AD DS 的已知问题。
父域和要提升的子域之间的委派可在安装前后创建和验证。 由于无法创建或更新 DNS 委派,因此没有理由延迟安装新的域控制器。
有关委派的详细信息,请参阅 了解区域委派。 如果在您的情况下无法进行区域委派,您可以考虑其他方法,将其他域的名称解析提供给您的域中的主机。 例如,另一个域的 DNS 管理员可以配置条件转发、存根区域或辅助区域,以便解析域中的名称。 有关详细信息,请参阅以下资源:
RODC 选项
以下屏幕截图显示了安装 RODC 时显示的选项。
可以使用 “委派管理员帐户 ”选项指定为 RODC 分配本地管理权限的帐户。 这些用户可使用与本地计算机管理员组相当的权限来操作。 它们不是域管理员或域内置管理员组的成员。 此选项可用于在未授予域管理权限的情况下委派分支机构管理。 不需要配置管理委派。 有关详细信息,请参阅 管理员角色分离。
可以使用页面上的其余选项来配置密码复制策略(PRP),该策略充当访问控制列表(ACL)。 此策略确定 RODC 是否可以缓存密码。 RODC 收到经过身份验证的用户或计算机登录请求后,会引用 PRP 来确定是否应缓存帐户的密码。 然后,同一帐户可以更高效地执行后续登录。 缓存帐户后,RODC 可以对其进行身份验证,即使指向中心站点的 WAN 链接处于脱机状态也是如此。
PRP 列出了两种类型的帐户:
- 具有可缓存的密码的帐户
- 具有显式拒绝缓存密码的帐户
如果用户或计算机帐户位于可缓存的帐户列表中,RODC 不一定缓存该帐户的密码。 例如,管理员可以提前指定 RODC 应缓存的帐户。
不会为任何未被显式或隐式拒绝或允许的用户或计算机帐户缓存密码。 如果这些用户或计算机无权访问可写域控制器,则他们无法访问 AD DS 提供的资源或功能。 有关 PRP 的详细信息,请参阅 密码复制策略。 有关管理 PRP 的详细信息,请参阅 管理密码复制策略。
有关安装 RODC 的详细信息,请参阅安装 Windows Server 2012 Active Directory 只读域控制器 (RODC)(级别 200)。
其他选项
以下屏幕截图显示了创建域时显示在 “其他选项” 页上的选项:
以下屏幕截图显示了将域控制器添加到现有域时显示在 “其他选项” 页上的选项:
可以使用“ 复制” 选项将域控制器指定为复制源,或者允许向导选择任何域控制器作为复制源。
可以使用 “从媒体安装 ”选项指定用于安装域控制器的备份媒体源。 如果安装介质存储在本地,则可以使用 “路径” 选项选择文件位置。 此选项不适用于远程安装。 可以选择 “验证” 以确保提供的路径是有效的媒体。 必须使用 Windows Server 备份或来自其他现有 Windows Server 计算机的
ntdsutil.exe创建用于此选项的媒体。 不能使用早于 Windows Server 2012 的作系统为域控制器创建媒体。 如果媒体受 SysKey 密码保护,则服务器管理器在验证期间会提示输入映像的密码。
有关如何创建域的详细信息,请参阅安装全新 Windows Server 2012 Active Directory 子域或树域(级别 200)。 有关如何将域控制器添加到现有域中的详细信息,请参阅在现有域中安装副本 Windows Server 2012 域控制器(级别 200)。
路径
以下屏幕截图显示了“ 路径” 页上显示的选项:
可以使用“路径”页覆盖 AD DS 数据库(NTDS.DIT)、数据库事务日志和 SYSVOL 共享的默认文件夹位置。 默认位置始终位于 %systemroot% 文件夹中。 对于本地安装,可以选择用于存储文件的位置。
准备选项
以下屏幕截图显示了 “准备选项” 页:
此页面提示你提供凭据以运行adprep.exe。 满足以下两个条件时,向导将显示此页面:
- 你当前未使用足够的凭据登录,因而无法运行
adprep.exe命令。 - 若要完成 AD DS 安装,
adprep.exe需要运行。
在以下情况中,需要 adprep.exe 工具才能运行:
adprep /forestprep必须运行该命令,才能将运行 Windows Server 2012 的第一个域控制器添加到现有林。 若要运行此命令,你必须是托管架构主机的域的企业管理员组、架构管理员组和域管理员组的成员。 若要使此命令运行成功,必须保持运行命令的计算机与林架构主机之间的连接。adprep /domainprep必须运行该命令才能将运行 Windows Server 2012 的第一个域控制器添加到现有域。 此命令必须由在其中安装运行 Windows Server 的域控制器的域的域管理员组的成员运行。 若要使此命令成功运行,必须在运行命令的计算机与域的基础结构主机之间建立连接。要将第一个 RODC 添加到现有林,需要运行
adprep /rodcprep命令。 此命令必须由 Enterprise Admins 组的成员来运行。 若要使此命令成功运行,必须在运行命令的计算机与林中每个应用程序目录分区的基础结构主节点之间建立连接。
有关 adprep.exe 的详细信息,请参阅 Adprep.exe 集成 和 运行 Adprep.exe。
查看选项
以下屏幕截图显示了 “审阅选项” 页:
可以使用“ 审阅选项 ”页来验证设置,并确保它们满足你的要求,然后再开始安装。 此页不是服务器管理器中停止安装的最后一次机会。 在继续配置之前,可以使用此页面查看和确认设置。
在此页上,还可以选择使用 “视图脚本 ”按钮创建一个 Unicode 文本文件,该文件包含当前
ADDSDeployment模块配置作为单个 Windows PowerShell 脚本。 因此,可以使用服务器管理器图形界面作为 Windows PowerShell 部署工作室:- 使用 Active Directory 域服务配置向导配置选项。
- 导出配置。
- 取消向导。
此过程将创建有效且语法正确的示例,以便做进一步修改或直接使用。
先决条件检查
以下屏幕截图显示了 “先决条件检查 ”页:
此页显示先决条件检查期间检测到的潜在问题。 结果可以列出警告,包括以下警告:
运行 Windows Server 的域控制器具有默认设置“ 允许与 Windows NT 4 兼容的加密算法”,从而阻止使用较弱加密算法的客户端建立安全通道会话。 有关潜在影响和解决方法的详细信息,请参阅在所有受影响的域控制器上禁用 AllowNT4Crypto 设置。
无法创建或更新 DNS 委派。 有关详细信息,请参阅 DNS 选项。
Windows Management Instrumentation (WMI) 调用失败。 先决条件检查需要 WMI 调用。 如果防火墙规则阻止了 WMI 调用,则可能会失败并返回远程过程调用 (RPC) 服务器不可用错误。
有关为 AD DS 安装执行的特定先决条件检查的详细信息,请参阅 先决条件测试。
结果
以下屏幕截图显示了 “结果 ”页:
在此页面上,可以查看安装结果。
也可以在向导完成后从此页面重启目标服务器。 但是,如果安装成功,则无论是否选择该选项,服务器都会重启。
在某些情况下,目标服务器无法重启。 如果向导在安装之前未加入域的目标服务器上完成,则目标服务器的系统状态可以使服务器在网络上无法访问。 系统状态还可以阻止你拥有管理远程服务器的权限。
如果目标服务器在这些情况下无法重启,则必须手动重启它。 不能使用工具(如 shutdown.exe 或 Windows PowerShell)重新启动它。 可以使用远程桌面服务登录并远程关闭目标服务器。
将域控制器降级
以下部分介绍使用 Active Directory 域服务配置向导降级域控制器时看到的页面。
资格证书
以下屏幕截图显示了降级过程开始时显示的 “凭据 ”页。
在此页上配置降级选项。 在各个情况中进行降级操作所需的凭据如下:
降级其他域控制器需要 Domain Admin 凭据。 选择“强制删除域控制器”将降级域控制器,不会从 Active Directory 删除域控制器对象的元数据。
重要
请勿选择 强制删除此域控制器 选项,除非域控制器无法联系其他域控制器,并且 无法 合理解决该网络问题。 强制降级会将 Active Directory 中已丢弃的元数据保留在林中的其余域控制器上。 此外,该域控制器上所有未复制的更改(如密码或新用户帐户)将永远丢失。 在 Microsoft 的 AD DS、Microsoft Exchange、SQL Server 和其他软件的支持案例中,很大一部分的根本原因都是元数据孤立。 如果强制降级域控制器,必须立即手动执行元数据清理。 有关说明,请参阅 清理服务器元数据。
在一个域中降级最后一个域控制器需要拥有企业管理员组成员身份,因为此操作会移除域本身。 如果该域是森林中的最后一个域,则此操作也会删除整个森林。 服务器管理器将通知当前域控制器是否是域中的最后一个域控制器。 选择“域中的最后一个域控制器”以确认域控制器是域中的最后一个域控制器。
有关删除 AD DS 的详细信息,请参阅 “删除 Active Directory 域服务”(级别 100) 和 降级域控制器和域。
警告
使用服务器管理器降级域控制器时,向导在某些情况下会显示警告。 如果域控制器还托管其他角色,例如 DNS 服务器或全局编录服务器角色,将显示以下 “警告 ”页:
在选择 “下一步 ”继续之前,必须选择 “继续删除 ”以确认降级域控制器会使这些角色不可用。
如果强制删除域控制器:
不会复制到域中其他域控制器的任何 Active Directory 对象更改都将丢失。
删除域控制器上的所有应用程序目录分区。 如果域控制器保存一个或多个应用程序目录分区的最后一个副本,则在删除作完成后,这些分区不再存在。
如果域控制器托管某些角色,域和林中的关键操作会受到以下方式的影响:
角色 删除域控制器的结果 在继续之前需要执行的步骤 全局编录 用户登录林中的域时可能会遇到问题。 确保林和站点中有足够的全局编录服务器来服务用户登录。如有必要,请指定另一个全局编录服务器,并使用新信息更新客户端和应用程序。 DNS 服务器 存储在 Active Directory 集成区域中的所有 DNS 数据都将丢失。 删除 AD DS 后,DNS 服务器无法对已集成 Active Directory 的 DNS 区域执行名称解析。 更新当前引用 DNS 服务器的 IP 地址的所有计算机的 DNS 配置,以便进行名称解析。 使用新 DNS 服务器的 IP 地址配置它们。 基础结构主控 域中的客户端可能难以定位其他域中的对象。 将基础结构主机角色转移到非全局目录服务器的域控制器上。 相对 ID (RID) 主机 创建用户帐户、计算机帐户和安全组时可能会遇到问题。 将 RID 主机角色转移到与正在降级的域控制器位于同一域中的域控制器。 主域控制器 (PDC) 模拟器 由 PDC 模拟器执行的作(如非 AD DS 帐户的组策略更新和密码重置)无法正常工作。 将 PDC 仿真主机角色转移到与你正在降级的域控制器位于同一域的域控制器。 架构主控节点 不能再修改林的架构。 将架构主机角色转移到林根域中的域控制器。 域命名主控器 不能再向林添加域或从中移除域。 将域命名主机角色转移到林根域中的域控制器。
在删除托管任何操作主机角色的域控制器之前,请尝试将这些角色转移到另一台域控制器。
如果无法传输角色,请先从计算机中删除 AD DS。 然后,通过在你计划接管角色的域控制器上使用 ntdsutil.exe 来获取该角色。 如果可能,在降级的域控制器所在的同一站点中使用最近的复制合作伙伴。 有关转移和抢占操作主机角色的详细信息,请参阅 Active Directory 域服务中的转移或抢占操作主机角色。
如果向导无法确定域控制器是否担任操作主角色,请运行 netdom.exe 命令来确定域控制器是否执行任何操作主角色。
从域中的最后一个域控制器卸载 AD DS 后,该域不再存在。
删除选项
如果降级的域控制器是委派用于托管 DNS 区域的 DNS 服务器,则会看到以下页面。 它提供了从 DNS 区域委派中删除 DNS 服务器的选项。
有关删除 AD DS 的详细信息,请参阅 “删除 Active Directory 域服务”(级别 100) 和 降级域控制器和域。
新建管理员密码
“ 新建管理员密码 ”页要求你为内置本地计算机的管理员帐户提供密码。 当降级完成并且计算机成为域成员服务器或工作组计算机时,将使用此密码。
有关删除 AD DS 的详细信息,请参阅 “删除 Active Directory 域服务”(级别 100) 和 降级域控制器和域。
查看选项
以下屏幕截图显示了降级域控制器时看到的 “审阅选项” 页:
您可以使用此页面查看您的选择并开始降级处理。
本页还提供了将降级的配置设置导出到 Windows PowerShell 脚本的机会,以便可以自动执行其他降级。
若要降级服务器,请选择 “降级”。