安装其余域控制器--微软提供W2008

 

安装其余域控制器

更新时间: 2009年1月

应用到: Windows Server 2008, Windows Server 2008 R2

使用下列所需的过程之一将运行 Windows Server 2008 或者 Windows Server 2008 R2 的其余域控制器安装到现有域上。

若是您是在 Windows Server 2008 林中安装其余 Windows Server 2008 域控制器，则没有必要在开始安装以前准备林。可是，若是您正在安装的其余域控制器是现有 Windows Server 2003 或 Windows 2000 Server 域中的第一个 Windows Server 2008 域控制器，请确保完成如下任务：

• 若是您在林中正在安装第一个 Windows Server 2008 或者 Windows Server 2008 R2 域控制器，则运行包含架构主机操做主机（也称为灵活单主机操做或 FSMO）角色服务器上的 adprep /forestprep命令。有关详细信息，请参阅为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 林架构。
• 若是您在域中安装第一个 Windows Server 2008 或者 Windows Server 2008 R2 域控制器，则运行包含基础结构操做主机角色服务器上的 adprep /domainprep /gpprep命令。有关详细信息，请参阅为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 域。
• 若是您在域上安装第一个只读域控制器 (RODC)，请运行林中任何计算机上的 adprep /rodcprep命令。有关详细信息，请参阅为只读域控制器准备林。

您可使用如下方法安装其余 Windows Server 2008 或者 Windows Server 2008 R2 域控制器：

• 使用 Windows 界面安装其余域控制器
• 使用命令行安装其余域控制器
• 使用答案文件安装其余 Windows Server 2008 域控制器

备注

无论使用哪一种方法，您都必须是正在安装的域中 Domain Admins 组的成员。

您还能够选择使用从介质安装 (IFM) 的安装方法。您必须已使用改进的 Ntdsutil.exe 命令行工具准备了安装介质，或从同一域中某个域控制器的还原备份准备了安装介质，才能选择使用该选项。有关使用 IFM 在现有域中安装域控制器的信息，请参阅 从介质安装 AD DS。

备注

默认状况下，当将域控制器账户添加到现有 Active Directory 域时，会为它分配一个 “Account Ops-FC” 访问控制项 (ACE) 以使 Account Operators 组的成员彻底控制此域控制器账户，但这不是一个推荐的配置。例如，Account Operators 组的成员能够重置此域控制器的密码。由于 Account Operators 组在该域中具备重要权限，因此建议您向该组添加成员时要谨慎。有关 Account Operators 组的详细说明，请参阅默认组 ( http://go.microsoft.com/fwlink/?LinkID=131422)（可能为英文网页）。若要在计算机账户上修改 Account Operators 的权限，您可使用 Active Directory 用户和计算机管理单元，完成如下步骤： 1.      若要打开“Active Directory 用户和计算机”，请依次单击 「开始」、 “ 管理工具 ”，而后单击 “Active Directory 用户和计算机 ”。 2.      在控制台树中，右键单击受影响的域控制器账户，而后单击 “ 属性 ”。 3.      在 “ 安全性 ”选项卡上，请选择 “ 组或用户名 ”列表中的 Account Operators，而后根据环境的规范修改权限。

为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 林架构

更新时间: 2009年9月

应用到: Windows Server 2008, Windows Server 2008 R2

若要将运行 Windows Server 2008 的域控制器添加到运行 Windows 2000 Server 或 Windows Server 2003 的 Active Directory 环境中，必须先更新 Active Directory 架构。必须从承载架构操做主机角色的域控制器更新架构。若是您对 Windows Server 2008 执行无人参与安装 AD DS，则必须先更新架构，而后再安装操做系统。对于正常安装，必须在运行安装程序以后且在安装 AD DS 以前更新架构。

准备林以后，须要准备计划安装运行 Windows Server 2008 的域控制器的任何域。有关详细信息，请参阅 为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 域。

若是正在新建一个 Windows Server 2008 林，则无需准备架构或林中的任何域。

使用如下过程更新 Windows Server 2008 的 Windows Server 2003 或 Windows 2000 Server Active Directory 架构。

管理凭据

若要执行该过程，必须使用在全部下列组中具备成员身份的账户：

• Enterprise Admins
• Schema Admins
• Domain Admins（对于包含架构主机的域）

为 Windows Server 2008 准备林架构的步骤

1.       以 Enterprise Admins、Schema Admins 和 Domain Admins 组成员身份登陆到架构主机。

2.       将 Windows Server 2008 DVD 插入到 CD 或 DVD 驱动器。将 \sources\adprep 文件夹的内容复制到架构主机上的 Adprep 文件夹。

3.       打开命令提示符，而后将目录更改到 Adprep 文件夹。

4.       在命令提示符下，键入如下内容，而后按 Enter：

adprep /forestprep

5.       若是您计划在林的任何域中安装 RODC，则键入如下内容，而后按 Enter：

adprep /rodcprep

6.       在为运行 Windows Server 2008 的域控制器准备任何域以前，容许该操做完成，而后容许在整个林中复制这些更改。

为运行 Windows Server 2008 的域控制器准备 Windows 2000 或 Windows Server 2003 域

更新时间: 2009年1月

应用到: Windows Server 2008, Windows Server 2008 R2

使用如下过程为 Windows Server 2008 准备 Windows 2000 或 Windows Server 2003 域。

管理凭据

若要执行此过程，您必须是 Domain Admins 组的成员。若要执行此过程，仅 Enterprise Admins 组的成员身份是不够的。

为 Windows Server 2008 准备 Windows 2000 或 Windows Server 2003 域的步骤

1.       按照以下方式标识域结构操做主机角色全部者（也称为灵活单主机操做或 FSMO）：

·         在“Active Directory 用户和计算机”中，右键单击域对象，单击 “ 操做主机 ”，而后单击 “ 结构 ”。

2.       以 Domain Admins 组成员的身份登陆到结构主机。

3.       将 Windows Server 2008 DVD 插入到 CD 或 DVD 驱动器。将 \sources\adprep 文件夹的内容复制到结构主机上的 Adprep 文件夹。

4.       打开命令提示符，而后将目录更改到 Adprep 文件夹。

5.       键入如下命令，而后按 Enter：

adprep /domainprep /gpprep

6.       在安装运行 Windows Server 2008 的域控制器以前，容许该操做完成，而后容许在整个林中复制这些更改。

为只读域控制器准备林

更新时间: 2009年1月

应用到: Windows Server 2008, Windows Server 2008 R2

在 Windows 2000 或 Windows Server 2003 林中安装只读域控制器 (RODC) 以前，您必须经过运行 adprep /rodcprep准备林。您能够在林中的任何计算机上运行 adprep /rodcprep。能够远程运行该操做。它联系每一个域中的结构主机来更新权限。您只需在林中运行该命令一次；可是，若是因为结构主机不可用致使该命令没法完成，则能够随时从新运行该命令。

使用如下过程为 RODC 准备林。

管理凭据

若要执行此过程，您必须是 Enterprise Admins 组的成员。

为 RODC 准备林的步骤

1.       以 Enterprise Admins 组成员的身份登陆到林中的任何计算机。

2.       将 Windows Server 2008 DVD 插入到 CD 或 DVD 驱动器。将 \sources\adprep 文件夹的内容复制到结构主机上的 Adprep 文件夹。

3.       打开命令提示符，而后将目录更改到 Adprep 文件夹。

4.       键入如下命令，而后按 Enter：

adprep /rodcprep

5.       在尝试安装 RODC 以前，容许操做完成，而后容许在整个林中复制这些更改。

使用 Windows 界面安装其余域控制器

更新时间: 2009年1月

应用到: Windows Server 2008, Windows Server 2008 R2

Windows 界面提供了引导您完成安装 Active Directory 域服务 (AD DS) 过程的两个向导。第一个向导是添加角色向导，能够在服务器管理器中访问该向导。第二个向导是 Active Directory 域服务安装向导，您能够经过下列方法对其进行访问：

• 完成添加角色向导后，单击打开 Active Directory 域服务安装向导的连接。
• 依次单击「开始」、“运行”，键入 dcpromo.exe，而后单击“肯定”。

若是使用 Active Directory 域服务安装向导中的高级选项，则能够经过从介质安装 (IFM) 方法或经过复制来控制在服务器上安装 AD DS 的方式：

• IFM：您能够为使用 Ntdsutil.exe 建立的或从同一域的相似域控制器的备份中还原的安装介质提供一个位置。若是经过使用 Ntdsutil 建立安装介质，则能够选择为只读域控制器 (RODC) 建立安全的安装介质。在这种状况下，Ntdsutil 将从安装介质中删除缓存机密，如密码。有关详细信息，请参阅从介质安装 AD DS。
• 复制：您能够在域中指定一个从中复制 AD DS 的域控制器。

管理凭据

若要执行此过程，您必须是正在安装域控制器的域中 Domain Admins 组的成员。

经过使用 Windows 界面在现有域中安装域控制器的步骤

1.       打开服务器管理器。单击“开始”，指向“管理工具”，而后单击“服务器管理器”。

2.       在 “ 角色摘要 ”中，单击 “ 添加角色 ”。

3.       若有必要，请查看 “ 开始以前 ”页上的信息，而后单击 “ 下一步 ”。

4.       在 “ 选择服务器角色 ”页上，单击 “Active Directory 域服务 ”复选框，而后单击 “ 下一步 ”。

备注

在运行 Windows Server 2008 R2 的服务器上，可能必须单击 “ 添加必需的功能 ”安装 .NET Framework 3.5.1 功能，而后才能单击 “ 下一步 ”。

5.       若有必要，请查看 “Active Directory 域服务 ”页上的信息，而后单击 “ 下一步 ”。

6.       在 “ 确认安装选择 ”页上，单击 “ 安装 ”。

7.       在 “ 安装结果 ”页上，单击 “ 关闭该向导并启动 Active Directory 域服务安装向导 (dcpromo.exe)”。

8.       在 “ 欢迎使用 Active Directory 域服务安装向导 ”页上，单击 “ 下一步 ”。

若是您但愿从介质安装，请为 AD DS 复制标识源域控制器，或为 RODC 指定密码复制策略 (PRP) 做为其余域控制器安装的一部分，而后选中 “ 使用高级模式安装 ”。

9.       在 “ 操做系统兼容性 ”页上，查看有关 Windows Server 2008 和 Windows Server 2008 R2 域控制器的默认安全设置的警告，而后单击 “ 下一步 ”。

10.   在 “ 选择某一部署配置 ”页上，单击 “ 现有林 ”，再单击 “ 向现有域添加域控制器 ”，而后单击 “ 下一步 ”。

11.   在 “ 网络凭据 ”页上，键入计划要在其中安装其余域控制器的林中的任何现有域的名称。在 “ 请指定用于执行安装的账户凭据 ”下，单击 “ 个人当前登陆凭据 ”或单击 “ 备用凭据 ”，而后单击 “ 设置 ”。在 “Windows 安全 ”对话框中，提供可用来安装其余域控制器账户的用户名和密码。若要安装其余域控制器，您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后，单击 “ 下一步 ”。

12.   在 “ 选择一个域 ”页上，选择新域控制器的域，而后单击 “ 下一步 ”。

13.   在 “ 请选择一个站点 ”页上，从列表中选择站点或选择站点中与其 IP 地址相对应的选项来安装域控制器，而后单击 “ 下一步 ”。

14.   在 “ 其余域控制器选项 ”页上，进行以下选择，而后单击 “ 下一步 ”：

·         “DNS 服务器 ”：默认状况下，此选项处于选中状态，以便域控制器能够做为域名系统 (DNS) 服务器。若是您不但愿该域控制器成为 DNS 服务器，则清除该选项。

备注

选择安装 DNS 服务器的选项时，可能会收到一条消息，指示没法为 DNS 服务器建立 DNS 委派，并指示应手动为 DNS 服务器建立 DNS 委派以确保可靠的名称解析。若是是在林根域或树根域中安装其余域控制器，则不须要建立 DNS 委派。在这种状况下，请单击 “ 是 ”并忽略该消息。

·         “ 全局编录 ”：默认状况下，此选项处于选中状态。它会将全局编录、只读目录分区添加到域控制器，而且将启用全局编录搜索功能。

·         “ 只读域控制器 ”。默认状况下此选项未被选中。该选项使其余域控制器成为只读，也就是说，使域控制器成为 RODC。

若是未向网络适配器分配静态 IPv4 和 IPv6 地址，可能会显示警报消息，建议您先为这些协议设置静态地址，而后才能继续操做。若是已向网络适配器分配了静态 IPv4 地址，而且您的组织不使用 IPv6，则能够忽略此消息，并单击 “ 是，该计算机将使用动态分配的 IP 地址 ( 不推荐 )”。

重要事项

咱们建议您不要禁用 IPv6 协议。

15.   若是在 “ 欢迎 ”页面上选中了 “ 使用高级模式安装 ”，则会显示 “ 从介质安装 ”页。能够提供将用于建立域控制器和配置 AD DS 的安装介质的位置，还能够选择经过网络执行全部复制。注意，即便您从介质安装，也会经过网络复制某些数据。有关使用该方法安装域控制器的信息，请参阅 从介质安装 AD DS。

16.   若是在 “ 欢迎使用 ”页上选中 “ 使用高级模式安装 ”，则会出现 “ 源域控制器 ”页。单击 “ 让向导选择一个合适的域控制器 ”或单击 “ 使用此特定的域控制器 ”以指定但愿为建立新的域控制器而做为复制源提供的域控制器，而后单击 “ 下一步 ”。若是您未选择从介质安装，则会今后源域控制器复制全部数据。

17.   在 “ 数据库、日志文件和 SYSVOL 的位置 ”页上，键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置，而后单击 “ 下一步 ”。

Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复，请将这些文件存储到不包含应用程序或其余非目录文件的其余卷上。

18.   在 “ 目录服务还原模式的 Administrator 密码 ”页上，键入并确认还原模式密码，而后单击 “ 下一步 ”。此密码必须用于在目录服务还原模式 (DSRM) 下启动 AD DS 才能完成必须脱机执行的任务。

19.   在 “ 摘要 ”页上，检查您的选择。若有必要，请单击 “ 上一步 ”更改任何选项。

若要将选择的设置保存到答案文件以便之后自动执行 AD DS 操做，请单击 “ 导出设置 ”。为答案文件键入名称，而后单击 “ 保存 ”。

确认所作选择正确无误以后，请单击 “ 下一步 ”安装 AD DS。

20.   在 “ 完成 Active Directory 域服务安装向导 ”页上，单击 “ 完成 ”。

21.   还能够选中 “ 完成后从新启动 ”复选框使服务器自动重启，也可在收到系统提示后重启服务器完成对 AD DS 的安装。

使用命令行安装其余域控制器

更新时间: 2009年6月

应用到: Windows Server 2008, Windows Server 2008 R2

使用如下过程从命令行执行新域控制器的无人参与安装。有关无人参与安装选项（包括默认值、许可值和描述）的完整列表，请在命令提示符下键入 dcpromo /?:Promotion，或参阅提高操做。

管理凭据

若要执行此过程，您必须是 Domain Admins 组的成员。

经过在命令行输入无人参与安装参数安装新域控制器的步骤

1.       在命令提示符下，键入如下内容，而后按 Enter：

dcpromo /unattend / unattendOption : value / unattendOption : value ...

其中

·         unattendOption 是 提高操做表中的一个选项。使用空格将每一个 option:值 对分开。

·         value 是该选项的配置说明。

如下示例借助全局编录建立了其余域控制器而且安装和配置了 DNS 服务器服务：

dcpromo /unattend /InstallDns:yes /confirmGC:yes /replicaOrNewDomain:replica /replicaDomainDNSName:contoso.com /databasePath:"e:\Windows\ntds" /logPath:"e:\Windows\ntds" /sysvolpath:"e:\Windows\sysvol" /safeModeAdminPassword: FH#3573.cK /rebootOnCompletion:yes

2.       键入建立其余域控制器所需的全部选项以后，按 Enter。

使用答案文件安装其余 Windows Server 2008 域控制器

更新时间: 2009年1月

应用到: Windows Server 2008, Windows Server 2008 R2

用来新建域控制器的答案文件必须具备指定的副本选项。使用如下过程建立答案文件。

管理凭据

若要执行此过程，可使用对此文本编辑器应用程序具备读写权限的任何账户。

建立用于安装新域控制器的答案文件的步骤

1.       打开记事本或任何文本编辑器。

2.       在第一行上，键入 [DCINSTALL]，而后按 Enter。

3.       建立下列条目，每行一个条目：这些选项是在自动安装和配置 DNS 和全局编录的状况下安装新域控制器所需的最少选项。有关无人参与安装选项（包括默认值、许可值和描述）的完整列表，请参阅 提高操做。

UserName=<新域控制器的域中的管理账户>

UserDomain=<新域控制器的域的名称>

Password=<UserName 中账户的密码>

ReplicaOrNewDomain=replica

DatabasePath=<到本地卷上的文件夹的路径，包含在双引号中>

LogPath=<到本地卷上的文件夹的路径，包含在双引号中>

SYSVOLPath=<到本地卷上的文件夹的路径，包含在双引号中>

InstallDNS=yes

ConfirmGC=yes

SafeModeAdminPassword=<密码>

RebootOnCompletion=yes

4.       将答案文件保存到安装服务器上由 Dcpromo 从中调用该答案文件的位置，或将该答案文件保存到用于分发的网络共享或可移动介质。

建立答案文件后，使用下列过程执行无人参与的安装。使用此过程将 AD DS 安装到完整安装的 Windows Server 2008 上或 Windows Server 2008 服务器核心安装上。

管理凭据

若要执行此过程，您必须是 Domain Admins 组的成员。

经过使用答案文件安装新的域控制器的步骤

• 在命令提示符下，键入如下内容，而后按 Enter：

dcpromo /unattend:“ 到答案文件的路径”