Windows Server 2012 中的 Active Directory Domain Services (AD DS) 部署比舊版 Windows Server 更簡單且更快速。 AD DS 安裝程序現在建置於 Windows PowerShell 上,而且與 [伺服器管理員] 整合。 將網域控制站引入現有 Active Directory 環境所需執行的步驟也減少了。 這樣讓建立新 Active Directory 環境的程序變得更簡單且更有效率。 新的 AD DS 部署程序將可能阻止安裝的錯誤的機率降到最低。
此外,您還可以同時在多部伺服器上安裝 AD DS 伺服器角色二進位檔 (它是 AD DS 伺服器角色)。 您也可以從遠端在個別伺服器上執行 AD DS 安裝精靈。 這些改進功能為部署執行 Windows Server 的域控制器提供更多彈性,特別是針對需要部署至不同區域中許多域控制器的大型全域部署。
AD DS 安裝包括下列功能:
Adprep.exe 整合到 AD DS 安裝程序。 準備現有 Active Directory 所需的繁複步驟,像是需要使用各種不同的認證、複製 Adprep.exe 檔案或登入特定網域控制站等,現在都已經簡化或可以自動執行了。 這樣就縮短了安裝 AD DS 所需的時間,並減少了可能阻止網域控制站升級的錯誤的機率。 對於在安裝新網域控制站之前最好預先執行 adprep.exe 命令的環境而言,您仍然可以將 adprep.exe 命令與 AD DS 安裝分開執行。
新的 AD DS 安裝建置於 Windows PowerShell 上,並可從遠端叫用。 新的 AD DS 安裝與 [伺服器管理員] 整合,所以您可以使用與安裝其他伺服器角色所用的相同介面來安裝 AD DS。 對於 Windows PowerShell 使用者,AD DS 部署 Cmdlet 提供了更多的功能及彈性。 命令列與 GUI 的安裝選項功能是對等的。
新的 AD DS 安裝包含先決條件驗證。 任何可能出現的錯誤會在安裝開始前就先發現。 您可以在發生錯誤條件之前修正錯誤狀況,而不需要部分完成升級所造成的考慮。 例如,如果必須執行 adprep /domainprep,安裝精靈會確認使用者的權限足以執行操作。
根據最常用的升級選項順序來分組設定頁面,以更少的精靈頁面來包含相關的選項。 這可為選擇安裝選項提供更好的上下文。
您可以匯出包含圖形化安裝期間指定之所有選項的 Windows PowerShell 指令碼。 在安裝或移除的最後,您可以將設定匯出到 Windows PowerShell 指令碼,以便用於自動化相同的操作。
在重新開機之前只會執行關鍵性複寫。 新的參數允許在重新開機前複寫非關鍵性資料。 如需詳細資訊,請參閱 ADDSDeployment PowerShell Cmdlet。
Active Directory 網域服務設定精靈
從 Windows Server 2012 開始,Active Directory 網域服務組態精靈會取代舊版 Active Directory 網域服務安裝精靈作為使用者介面 (UI) 選項,以在安裝域控制器時指定設定。 [Active Directory 網域服務設定精靈] 會在 [新增角色精靈] 完成之後啟動。
在 [安裝 Active Directory 網域服務] 中,UI 程式會示範如何啟動 [新增角色精靈] 來安裝 AD DS 伺服器角色二進制檔,然後執行 [Active Directory 網域服務設定精靈] 來完成域控制器安裝。 Windows PowerShell 範例示範如何使用 AD DS 部署 Cmdlet 完成這兩個程序的步驟。
Adprep.exe integration
當您將執行 Windows Server 的域控制器安裝到現有的 Active Directory 網域或樹系時,Adprep 命令會自動執行。
雖然 adprep 作業會自動執行,但是您可以個別執行 Adprep.exe。 例如,如果安裝 AD DS 的使用者不是 Enterprise Admins 群組的成員 (必須是這個群組的成員才能執行 Adprep /forestprep),那麼可能需要另外執行命令。 但是,如果您打算就地升級第一個 Windows Server 域控制器,您只需要執行 adprep.exe。換句話說,這表示您打算對執行 Windows Server 2012 的域控制器進行就地升級作業系統。
Adprep.exe 位於 Windows Server 安裝光碟的 \support\adprep 資料夾中。Adprep 能夠從遠端執行。
For information about resolving other errors returned by Adprep.exe, see Known issues.
Windows Server 2012 中 Adprep 的語法
使用下列語法將 adprep 與 AD DS 安裝分開執行:
Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *
使用命令中的 /logdsid 以便產生更多詳細的記錄。 adprep.log 位於 %windir%\System32\Debug\Adprep\Logs 中。
使用智慧卡執行 adprep
Windows Server 版本的 adprep.exe 使用智慧卡作為認證運作,但無法透過命令行指定智慧卡認證。 有一個方式是透過 PowerShell Cmdlet Get-Credential 獲取智慧卡認證。 然後使用傳回的 PSCredential 物件的使用者名稱 (顯示為 @@...)。 密碼是智慧卡的 PIN。
如果有指定 /user,Adprep.exe 就需要 /userdomain。 對於智慧卡認證,/userdomain 應該是智慧卡代表的基礎使用者帳戶的網域。
Adprep /domainprep /gpprep 命令不會自動執行
adprep /domainprep /gpprep 命令不會做為 AD DS 安裝的一部分來執行。 這個命令會設定原則結果組 (RSOP) 計劃模式功能所需的權限。 如需這個命令的詳細資訊,請參閱 Microsoft 知識庫文章 324392。 如果命令需要在 Active Directory 網域中執行,您可以將它與 AD DS 安裝分開執行。 如果準備部署執行 Windows Server 2003 SP1 或更新版本的網域控制站時已經執行了命令,就不需要再次執行命令。
您可以安全地將執行 Windows Server 的域控制器新增至現有的網域,而不需要執行 adprep /domainprep /gpprep,但 RSOP 規劃模式將無法正常運作。
AD DS 安裝先決條件驗證
AD DS 安裝精靈會在安裝開始之前,先檢查是否符合下列先決條件。 這讓您有機會先行修正可能阻止安裝的問題。
例如,Adprep 相關的先決條件包括:
- Adprep 認證驗證:如果必須執行 adprep,安裝精靈會確認使用者的權限足以執行必要的 Adprep 操作。
- 架構主機可用性檢查:如果安裝精靈判斷需要執行 adprep /forestprep,它會確認架構主機已經連線,否則會失敗。
- 基礎結構主機可用性檢查:如果安裝精靈判斷需要執行 adprep /domainprep,它會確認基礎結構主機已經連線,否則會失敗。
從舊版 [Active Directory 安裝精靈] (dcpromo.exe) 繼承的其他先決條件檢查包括:
- 樹系名稱驗證:確定樹系名稱是有效的,而且目前不存在。
- NetBIOS 名稱驗證:檢查提供的 NetBIOS 名稱是有效的,而且與現有名稱沒有衝突。
- 元件路徑驗證:確認 Active Directory 資料庫、記錄檔以及 SYSVOL 的路徑是有效的,而且有足夠的可用磁碟空間儲存它們。
- 子網域名稱驗證:確定父系及新增的子網域名稱是有效的,而且它們與現有網域沒有衝突。
- 樹狀目錄網域名稱驗證:確定指定的樹狀目錄名稱是有效的,而且目前不存在。
Known issues
本節列出影響 Windows Server 2012 中 AD DS 安裝的一些已知問題。 如需其他已知問題,請參閱 Troubleshooting Domain Controller Deployment。
當您從遠端執行 adprep /forestprep 時,如果 Windows 防火牆封鎖 WMI 存取架構主機,則下列錯誤會被記錄到 %systemroot%\system32\debug\adprep 中的 adprep 記錄內:
Adprep encountered a Win32 error. Error code: 0x6ba Error message: The RPC server is unavailable.在這種情況下,可以在架構主機上直接執行 adprep /forestprep,或是執行下列其中一個命令,允許 WMI 流量通過 Windows 防火牆,就可以解決這個錯誤。
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes您可以按下 Ctrl + C,取消 Install-ADDSForest Cmdlet。 這個取消會停止安裝,也會還原之前對伺服器狀態所做的任何變更。 但是發出取消命令之後,控制權不會交回給 Windows PowerShell,而且 Cmdlet 會無限期停滯。
如果目標伺服器在安裝前沒有加入網域,使用智慧卡認證安裝其他網域控制站的操作會失敗。
這個情況中傳回的錯誤訊息如下:
Unable to connect to the replication source domain controller source-domain-controller-name. (例外:登入失敗:未知的使用者名稱或密碼錯誤)
如果將目標伺服器加入網域,然後使用智慧卡執行安裝,則安裝會成功。
ADDSDeployment 模組不會在 32 位元程序下執行。 如果您使用包含了 ADDSDeployment Cmdlet 以及不支援原生 64 位元程序的任何其他 Cmdlet 來自動部署和設定 Windows Server 2012,則這個指令碼會失敗並出現一個錯誤,指示找不到 ADDSDeployment Cmdlet。
在這個情況下,您需要將 ADDSDeployment Cmdlet 與不支援原生 64 位元程序的 Cmdlet 分開執行。
Windows Server 2012 有一個新的檔案系統,稱為復原檔案系統。 請不要將 Active Directory 資料庫、記錄檔或 SYSVOL 儲存到使用復原檔案系統 (ReFS) 格式化的資料磁碟區。 如需 ReFS 的詳細資訊,請參閱 Building the next generation file system for Windows: ReFS (為 Windows 建立新一代的檔案系統:ReFS)。
在伺服器管理員中,在 Server Core 安裝上執行 AD DS 或其他伺服器角色並已升級的伺服器,即使事件和狀態如預期般收集,伺服器角色仍會顯示紅色狀態。 執行初步發行 Windows Server 安裝 Server Core 的伺服器也會受到影響。
如果錯誤阻止關鍵性複寫,Active Directory 網域服務安裝會停滯
如果 AD DS 安裝在關鍵性複寫階段碰到錯誤,安裝會無限期停滯。 例如,如果是網路錯誤防止關鍵性複寫完成,安裝將不會繼續。
如果您使用 [伺服器管理員] 進行安裝,可能會看到安裝進度頁面維持開啟,但是螢幕上沒有報告錯誤,而且 15 分鐘過去了進度還是沒有任何變化。 如果您是使用 Windows PowerShell,則 Windows PowerShell 視窗中顯示的進度超過 15 分鐘還是沒有任何變化。
如果發生這種問題,請檢查目標伺服器上 %systemroot%\debug 資料夾中的 dcpromo.log 檔案。 記錄檔通常會指出重複複寫錯誤。 這個問題的一些已知原因包括:
網路問題阻礙了升級中的目標伺服器與複寫來源的網域控制站之間的關鍵性複寫。
例如,dcpromo.log 會顯示:
05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963 Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 500 Reported error information: Error value: Could not find the domain controller for this domain. (1908) directory service: <domain>.com Extensive error information: Error value: A security package specific error occurred. 1825 directory service: <DC Name>因為安裝程序會無限期地重試關鍵性複寫,基礎網路問題解決之後,網域控制站安裝就可以繼續。 視需要使用像是 ipconfig、nslookup 及 netmon 等工具來調查網路問題。 確保您要升級的網域控制站與在 AD DS 安裝過程中所選取的複寫夥伴之間有連線存在。 此外,還請確定名稱解析可正常運作。
系統會在開始安裝之前,於先決條件檢查期間驗證網路連線與名稱解析的 AD DS 安裝需求。 但是,部分錯誤狀況可能會在先決條件驗證發生之後且在安裝完成之前出現,例如,如果複寫夥伴在安裝期間無法使用。
在複本網域控制站安裝期間,會為安裝認證指定目標伺服器的本機 Administrator 帳戶,而且本機 Administrator 帳戶的密碼與網域管理員帳戶的密碼相符。 在這個情況下,您可以在碰到「拒絕存取」失敗之前,完成安裝精靈並開始安裝。
例如,dcpromo.log 會顯示:
03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com... 03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 508 Reported error information: Error value: Access is denied. (5) directory service: DC2.contoso.com如果錯誤是因為指定本機系統管理員帳戶和密碼而產生,為了進行復原,您需要重新安裝作業系統、針對無法完成安裝的網域控制站帳戶執行中繼資料清理,然後使用網域管理員認證重試 AD DS 安裝。 重新啟動伺服器將不會更正這個錯誤狀況,因為伺服器將指出已安裝 AD DS,即使安裝並未成功完成也一樣。
指定了非標準化的 DNS 名稱時,[Active Directory 網域服務設定精靈] 會提出警告。
如果您建立新的網域或樹系,且指定包含非標準化的國際化字元的 DNS 網域名稱,那麼 Active Directory Domain Services 設定精靈會顯示警告,說明名稱的 DNS 查詢可能會失敗。 雖然 DNS 網域名稱是在 [部署設定] 頁面上指定的,但是警告是在精靈稍後的 [先決條件檢查] 頁面上出現。
如果使用 füß ball.com 或 'ΣΣ'.com 等非正規化名稱來指定 DNS 功能變數名稱(正規化版本為:füssball.com 和βστα.com),則嘗試使用 WinHTTP 存取它的用戶端應用程式會在呼叫名稱解析 API 之前將名稱正規化。 如果使用者在某些對話方塊上輸入 "'ΣΤ'.com",則 DNS 查詢將會以 "βστα.com" 傳送出去,而沒有任何一個 DNS 伺服器可以將它對應到 "'ΣΤ'.com" 的資源記錄。 使用者將無法解析名稱。
下列範例說明使用非標準化的 IDN 名稱時可能發生的其中一個問題:
- 在 DNS 伺服器上建立並註冊使用非標準化名稱的網域:füßball.com
- 電腦 "nps" 已加入網域,其名稱已註冊:nps.füßball.com
- 用戶端應用程式嘗試連線到伺服器 nps.füßball.com
- 用戶端應用程式嘗試使用名稱解析 API 來解析名稱 nps.füßball.com。
- 由於標準化,名稱會轉換成 nps.füssball.com,並透過線路查詢為 nps.füßball.com
- 用戶端應用程式無法解析該名稱,因為已註冊的名稱是 nps.füßball.com
如果 [Active Directory 網域服務設定精靈] 中的 [先決條件檢查] 頁面上出現警告,請返回 [部署設定] 頁面,指定標準化的 DNS 網域名稱。 如果您使用 Windows PowerShell 安裝新的網域,請為 -DomainName 選項指定標準化的 DNS 名稱。
如需 IDN 的詳細資訊,請參閱處理國際化網域名稱 (IDN)。