Перед установкою першого контролера домену на Windows Server 2008 R2 в існуючий домен (Windows 2000, Windows Server 2003 або Windows Server 2008), ви повинні підготувати ліс і домен Active Directory. Це робиться шляхом запуску утиліти ADPREP. З цією програмою ви могли познайомитися в статті: оновлення домену Active Directory в Wndows 2008.
ADPREP розширює схему Active Directory і оновлює дозволів, необхідних для підготовки лісу і домену до впровадження контролера домену, який працює під управлінням ОС Windows Server 2008 R2.
Примітка: Можливо, ви пам'ятаєте, що ADPREP використовувався і в попередніх версіях Windows Server 2003, Windows Server 2003 R2 і Windows Server 2008. Ця стаття стосується виключно Windows Server 2008 R2.
Не всі версії ADPREP виконують одні й ті ж операції, але, як правило ADPREP виконує наступне:
- Оновлює схему Active Directory
- Оновлює дескриптори безпеки
- Змінює списки контролю доступу (ACL) на об'єкти Active Directory і на файли в папці SYSVOL
- Створює нові об'єкти
- Створює нові контейнери
Щоб підготувати ліс і домен для установки першого Windows Server 2008 R2 контролера домену, виконайте наступні завдання:
важливо: Якщо ви плануєте просто додати в домен рядовий сервер Windows Server 2008 R2 Server, ніяких додаткових дій виконувати не треба !!! Його можна додати в домен і без розширення схеми J
По-перше, ви повинні розглянути і зрозуміти схему оновлення та інші зміни, які внесе ADPREP в Active Directory (AD DS). Ви повинні протестувати оновлення схеми утилітою ADPREP в тестовому середовищі, щоб переконається, що не з додатками, які працюють у вашому середовищі.
Ви повинні зробити резервну копію ваших контролерів домену, в тому числі господаря схеми і принаймні по одному контролеру домену в кожному домені в лісі AD.
На диску з дистрибутивом Windows Server 2008 R2 потрібно знайти утилітуadprep.exe (Для 64-розрядних серверів) або adprep32.exe (Для 32-х розрядних контролерів домену). Вони знаходяться в папці D: \ Support\ adprep
Для виконання цієї процедури необхідно використовувати обліковий запис, який є членом всіх наступних груп:
- адміністратори підприємства
- адміністратори схеми
- Адміністратори домену в домені, який містить господар схеми
Зайдіть з цим обліковим записом на існуючий контролер домену і відкрийте командний рядок з правами адміністратора. Введіть команду:
adprep / forestprep
В цей час в схему AD будуть імпортовані кілька файлів LDF і повідомлення про це будуть відображатися у вікні командного рядка.
Після завершення ви отримаєте повідомлення про успішне закінчення процесу.
Після закінчення цієї операції дочекайтеся поки зміни реплицируются на всі контролери домену в лісі AD.
У вікні командного рядка введіть наступну команду:
adprep / domainprep
Процес займе менше секунди.
ADPREP повинна бути запущена тільки в Windows 2000 в режимі Native або вище. Якщо ви спробуєте запустити її в змішаному режимі (Mixed Mode), ви отримаєте помилку:
Adprep detected that the domain is not in native mode
[Status / Consequence]
Adprep has stopped without making changes.
[User Action]
Configure the domain to run in native mode and re-run domainprep
Після закінчення цієї операції дочекайтеся поки зміни реплицируются на всі контролери домену в лісі AD.
Якщо ваш домен вже працював в режимі Windows 2008 Active Directory, на цьому процес можна вважати закінченим, ніяких додаткових завдань виконувати не потрібно.
Якщо ви працюєте в домені Active Directory Windows 2000, ви повинні виконати наступну команду:
adprep / domainprep / gpprep
Якщо ви працюєте в домені Active Directory Windows 2003 то також ніяких додаткових дій виконувати не потрібно. Однак, якщо ви плануєте використовувати контролери домену RODC (Read Only Domain controllers), ви також повинні набрати наступну команду:
adprep / rodcprep
Якщо у вас вже запускали цю команду в домені Windows Server 2008, то вам не потрібно запускати її знову.
Команда відпрацює за пару секунд.
Щоб переконатися, що Adprep / ForestPrep відпрацювала успішно, виконайте наступні дії:
1. Зайдіть на комп'ютер зі встановленою ADSIEdit. ADSIEdit встановлюється за умовчанням на контролери домену під керуванням Windows Server 2008 або Windows Server 2008 R2. У Windows Server 2003 необхідно встановити Resource Kit Tools.
2. Натисніть Пуск -Виконати, введіть ADSIEdit.msc, а потім натисніть кнопку ОК.
3. Натисніть Action, а потім натисніть кнопку Connect to.
4. Натисніть Naming Context, виберіть Configuration і ОК.
5. Відкрийте пункт Configuration, а потім CN = Configuration, DC = forest_root_domain, де forest_root_domain - ім'я вашого кореневого домена.
6. Відкрийте CN = ForestUpdates.
7. Клацніть правою кнопкою миші по CN = ActiveDirectoryUpdate, а потім виберіть пункт Властивості.
8. Якщо ви запускали adprep / forestprep для Windows Server 2008 R2, переконайтеся, що значення атрибута Revision - 5, а потім натисніть кнопку ОК.
9. У ADSIEdit перейдіть в розділ Schema
10. Клацніть правою кнопкою миші по вузлу CN = Schema, CN = Configuration, DC = forest_root_domain, а потім виберіть пункт Властивості.
11. Якщо ви запускали adprep / forestprep для Windows Server 2008 R2, переконайтеся, що значення атрибута objectVersion дорівнює 47, а потім натисніть кнопку ОК.
Якщо ви хочете делегувати управління RODC в Windows 2008 - прочитайте цю статтю.
