隨著Windows Server 2008的發布,越來越多的企業開始使用它。有時候,我們必須面對這樣的情況,我們想保留原來的Windows Server 2003 活動目錄,不想重新建一個新的森林。這能否實現以及如何實現,是廣大管理員想知道的。今天我們將重點介紹如何將Windows Server 2008 的域控制器添加到運行Windows 2000 Server 或者 Windows Server 2003 的活動目錄中。
要實現該目標,需要對現有的活動目錄做一些修改。首先,我們必須更新現有活動目錄架構。從持有架構操作主機角色的域控制器上更新架構。如果要執行Windows Server 2008 的AD DS的無人安裝,在安裝操作系統之前必須更新架構。對於正常的安裝,在安裝 AD DS 之前,必須在運行setup後更新架構。下面介紹如何完成這一步驟。
要執行該操作,使用的賬號必須屬於下面的組:
o Enterprise Admins
o Schema Admins
o 包含架構主機的域的Domain Admins
為Windows Server 2008 准備森林架構
1. 使用屬於Enterprise Admins,、Schema Admins和Domain Admins groups成員的賬號登錄架構主機。
2. 插入Windows Server 2008 DVD 到CD 或者DVD 驅動器。
3. 點擊開始,點擊Command prompt,進入命令行模式,
4. 輸入下面的命令,然後回車。
D:\sources\adprep\adprep /forestprep
D: 是CD 或者DVD驅動器的盤符(因機器而異)。
5. 如果計劃安裝一個RODC到森林中的任何域的話,輸入下面的命令,然後回車。
D:\sources\adprep\adprep /rodcprep
6. 允許該操作完成,並允許該更改復制到整個森林在為任何其他的域准備運行Windows Server 2008 的域控制器之前。
在完成對森林的准備後,需要為要安裝Windows Server 2008 域控制器的域做准備。
要完成該任務,操作者必須是Domain Admins組的成員。屬於Enterprise Admins 組對執行該操作來說不夠的。
1.使用下面的方法來驗證域的基礎結構主機角色位於哪台域控制器上:
"在活動目錄用戶和計算機中,右鍵選中域對象,選擇操作主機,點擊基礎結構。
2.使用屬於Domain Admins 組的賬號登錄到基礎結構主機。
3.插入Windows Server 2008 DVD 到CD 或者DVD 驅動器。
4.點擊開始,點擊Command prompt,進入命令行模式,
5.輸入下面的命令,然後回車。
D:\sources\adprep\adprep /domainprep /gpprep
6.允許該操作完成,並允許該更改復制到整個森林在您安裝運行Windows Server 2008 的域控制器之前。
接下來,就可以按照通常的方法來安裝Windows Server 2008 的域控制器。具體提升的步驟我在此不在描述。
提升完成後,如何驗證該域控制器是否工作正常呢?我們可以通過下面的工具來判斷:
" Active Directory 站點和服務
" DNS管理器
" 事件查看器
" Netdiag.exe
" Dcdiag.exe
" Repadmin.exe
" Ntfrsutl.exe
" Gpotool.exe
下面舉一些例子來說明,當你在域控制器上運行repadmin /showreps命令後,如果出現類似下面的結果則說明目錄服務復制工作正常。
SITE_NAME\DC1_NAME
DC Options: IS_GC
Site Options: (none)
DC object GUID: 69f94b64-3ab9-40b0-b098-de4ac0110835
DC invocationID: 660a6637-800c-48b4-833d-7e87c44d0a65
=== INBOUND NEIGHBORS ===================
DC=domain_name,DC=net
SITE_NAME\DC2_NAME via RPC
DC object GUID: 3198bc33-6275-49be-a5b0-f666cdaf6eb5
Last attempt @ 2008-06-05 11:04:13 was successful.
SITE_NAME\DC3_NAME via RPC
DC object GUID: 267f375c-dc1e-456d-b820-87b4c5f69b14
Last attempt @ 2008-06-05 11:04:13 was successful.
當你在域控制器上運行ntfrsutl sets dc_name命令後出現類似下面的結果,說明FRS復制也正常。
Cxtion: 4BFDA462-27DD-4E27-9743-7A3BB12C3C86
(34a88443-e27b-40fa-9e64a17a9f242f68)
Partner : NNHCDC2 (923b0a69-a2b0-4de5-a9f7a340157f5bd7)
PartDnsName : dcname.domainname.net
PartSrvName : domainname\dcname$
PartPrincName: domainname\dcname$
PartSid : S-1-5-21-1000673501-3501767921-787702556-1480
OrigGuid : 00000000-0000-0000-0000000000000000
State : 7
Flags : 000000c1 Flags [Consistent JoinGuidValid UnJoinGuidValid ]
CxtionOptions: 00000000 Flags [<Flags Clear>]
Inbound : TRUE
JrnlCxtion : FALSE
PartnerAuth : 0
TermCoSn : 0
JoinCmd : 0x00000000
CoCount : 0
CommQueue : 10
CoPQ : 00000000
UnjoinTrigger: 0
UnjoinReset : 0
Comm Packets : 5
PartnerMajor : 0
PartnerMinor : 8
JoinGuid : c517d13e-5e44-d751-8c2c920474f3d785
LastJoinTime : Thu Jun 5, 2008 01:22:15
LastSndStatus: ERROR_SUCCESS
NoFailedSnds : 0
當你在域控制器上運行gpotool /dc:dcname /verbose命令後出現類似下面的結果,說明活動目錄和SYSVOL中的組策略是一致的。
Domain: domainname.com
Validating DCs...
Available DCs:
dcname
Searching for policies...
Found 2 policies
================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
Details:
------------------------------------------------------------
DC: dcname
Friendly name: Default Domain Policy
Created: 6/12/2008 8:51:59 AM
Changed: 6/12/2008 8:58:24 AM
DS version: 1(user) 3(machine)
Sysvol version: 1(user) 3(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2$88-11D1-A28C-00C04FB94F17}]
Functionality version: 2
