Добавление Windows Server 2008 R2 к домену ­ Дневник ­ Максим Боголепов

В единственном домене существующего леса доменов нашего предприятия, в одном из удаленных филиалов, потребовалось установить дополнительный домен-контроллер. Роли домен-контроллеров в организации подняты на серверах с операционной системой Microsoft Windows Server 2003 R2 (rus, 32-bit, sp2). На текущий момент купить данную операционку нельзя, пришлось поднимать роль контроллера домена на вновь приобретенной Microsoft Windows Server 2008 R2 (rus, 64-bit, sp1).

При осуществлении этой, вроде бы простой операции, столкнулся с некоторыми трудностями. При попытке добавить роль “Диспетчер службы Active Directory” через “Диспетчер сервера” Microsoft Windows Server 2008 R2 или просто через командную строку с помощью команды dcpromo, выскочила ошибка:

Чтобы установить контроллер домена в этом лесу Active Directory, сначала необходимо подготовить лес
с помощью команды "adprep /forestprep".

Данная команда доступна на установочном диске DVD с дистрибутивом Windows Server 2008 R2 в папке support\adprep. Внутри вы найдете файлы для выполнения на 32-х битной (adprep32.exe) и 64-х битной (adprep.exe) системах. Но дело в том, что запускать их необходимо на существующих домен-контроллерах. Естественно, язык операционных систем на этих серверах может отличаться от того, что вы только что приобрели. На этот случай предлагаю вам скачать у меня на сервере команду adprep для соответствующих языков: русского или английского:

1. ru-adprep.zip
2. en-adprep.zip

Команда adprep имеет следующий синтаксис:

 The syntax of the command is:


 adprep  [option]

 Supported :
 /forestPrep             Update forest information
                         Must be run on the schema role master

 /domainPrep             Update domain information
                         Must be run on the infrastructure role master
                         Must be run after /forestPrep is finished

 /domainprep /gpprep     Update permissions on Group Policy Objects in
                         Active Directory Domain Services and SYSVOL
                         Must be run on the infrastructure role master
                         Must be run after /forestPrep is finished

 /rodcPrep               Update permissions on NDNC partitions to
                         enable replication for Read-only Domain Controllers.
                         Runs remotely and contacts a NDNC replica to update
                         permissions. Must be run after /forestPrep is
                         finished. Can be re-run at any time. You should run
                         this in particular when you have DNS application
                         partitions in your forest.

 Supported [option]:

 /noSPWarning            adprep will suppress the Windows 2000 service
                         pack 4 requirement warning during /forestprep

 /silent                 adprep will suppress all output.

Для того, чтобы подготовить существующий лес доменов, необходимо на домен-контроллере с ролью “хозяина схемы” с правами администратора дать команду adprep /forestprep. При этом вы увидите предупреждение, что выполнить такую подготовку можно только на серверах с установленной операционной системой не ниже Windows 2000 Service Pack 4 (SP4). Если у вас выполняется такое требование (у меня – выполняется), необходимо нажать клавишу С и ввод, для продолжения.

Итак, делаем: Пуск -> Выполнить -> cmd.exe

 Microsoft Windows [Версия 5.2.3790]
 (С) Корпорация Майкрософт, 1985-2003.


 C:\Documents and Settings\Администратор>cd c:\

 C:\>C:\ru-adprep\adprep32.exe /forestprep

 ADPREP WARNING:

 Before running adprep, all Windows 2000 Active Directory Domain Controllers in t
 he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

 [User Action]
 If ALL your existing Windows 2000 Active Directory Domain Controllers meet this
 requirement, type C and then press ENTER to continue. Otherwise, type any other
 key and press ENTER to quit.

 C
 Открытое подключение к DC
 Привязка SSPI успешно выполнена
 Текущая версия схемы: 31
 Обновление схемы до версии 47
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch32.ldf”
 Загружаются элементы…………………
 18 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch33.ldf”
 Загружаются элементы………………
 17 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch34.ldf”
 Загружаются элементы……………………………………………………
 60 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch35.ldf”
 Загружаются элементы………
 7 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch36.ldf”
 Загружаются элементы………………………
 26 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch37.ldf”
 Загружаются элементы…………………………………………………
 56 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch38.ldf”
 Загружаются элементы……
 3 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch39.ldf”
 Загружаются элементы……………
 14 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch40.ldf”
 Загружаются элементы……………………………………………………
 69 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch41.ldf”
 Загружаются элементы…………
 9 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch42.ldf”
 Загружаются элементы……………………………………………………
 364 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch43.ldf”
 Загружаются элементы………………………
 24 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch44.ldf”
 Загружаются элементы…………
 11 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch45.ldf”
 Загружаются элементы……………………………………………………
 66 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch46.ldf”
 Загружаются элементы……
 3 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “DC”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\sch47.ldf”
 Загружаются элементы……
 4 элементов успешно изменено.

 Команда успешно выполнена
 Установка связи с “dc.peresvet.ru”
 Вход от имени текущего пользователя с помощью SSPI
 Импортирование каталога из файла “C:\WINDOWS\system32\PAS.ldf”
 Загружаются элементы……………
 13 элементов успешно изменено.

 Команда успешно выполнена
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ………………………………………………………………………
 ……
 Adprep successfully updated the forest-wide information.
 C:\>

Как видно из листинга, приведенного выше, команда adprep /forestprep произвела автоматическое обновление версии схемы с 31 до версии 47.

Теперь необходимо подготовить домен. Это делается командой adprep /domainprep на домен-контроллере с ролью “мастер инфраструктуры”. У меня эта роль установлена на другом сервере, поэтому при попытку выполнить данную команду на домен-контроллере не имеющего этой роли, у меня выскочила ошибка с указанием, на каком сервере необходимо выполнять данную команду:

 C:\>C:\ru-adprep\adprep32.exe /domainprep
 Running domainprep …


 Domain-wide information can only be updated on the Active Directory Domain Contr
 oller that holds the infrastructure operations master role.
 [Status/Consequence]
 Adprep has stopped on this Active Directory Domain Controller and must be run on
 the current infrastructure master, which is dc2.domain.ru.
 [User Action]
 Log on to the dc2.domain.ru Active Directory Domain Controller, change to t
 he directory of adprep.exe on the installation media, and then type the followin
 g command at the command prompt to complete the domain update:
 adprep.exe /domainprep
 C:\>

Делаем так, как и предписано. Логинюсь с правами администратора на указанный сервер dc2.domain.ru и выполняю команду adprep /domainprep:

 Microsoft Windows [Версия 5.2.3790]
 (С) Корпорация Майкрософт, 1985-2003.


 C:\>C:\ru-adprep\adprep32.exe /domainprep
 Running domainprep …

 Adprep successfully updated the domain-wide information.

 The new cross domain planning functionality for Group Policy, RSOP Planning
 Mode, requires file system and Active Directory Domain Services permissions
 to be updated for existing Group Policy Objects (GPOs). You can enable this
 functionality at any time by running “adprep.exe /domainprep /gpprep” on the
 Active Directory Domain Controller that holds the infrastructure operations
 master role.
 This operation will cause all GPOs located in the policies folder of the
 SYSVOL to be replicated once between the AD DCs in this domain.
 Microsoft recommends reading KB Q324392, particularly if you have a large
 number of Group policy Objects.

 C:\>

Далее, на этом же сервере необходимо дать команду adprep /domainprep /gpprep для обновления разрешений объектов групповой политики:

 C:\>C:\ru-adprep\adprep32.exe /domainprep /gpprep
 Running domainprep …


 Domain-wide information has already been updated.
 [Status/Consequence]
 Adprep did not attempt to rerun this operation.
 ……………

 Adprep successfully updated the Group Policy Object (GPO) information.

 C:\>

На этом подготовительная часть по вводу в существующий домен нового домен-контроллера на Windows Server 2008 R2 окончена. Нам осталось запустить мастер добавления роли “Диспетчера службы Active Directory” на новом сервере и следовать указаниям:

После команды dcpromo появится окно “Мастера установки доменных служб Active Directory”. Поставьте галочку “Использовать расширенный режим установки” для полного контроля за процессом и нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Я осуществлял добавление домен-контроллера в домен существующего леса, поэтому и поставил соответствующие галочки. После своего выбора нажмите “Далее >”:

В следующем окне вы увидите наименование существующего домена и выберите, с чьими правами вы будете добавлять новый домен-контроллер к домену. После своего выбора нажмите “Далее >”:

В следующем окне нажмите “Далее >”:

Произойдет проверка только что подготовленного нами леса Active Directory:

Так как мне необходим полноценный домен-контроллер, а не “только для чтения”, я выбираю “Да”:

Выбираю сайт для дополнительного домен-контроллера (в филиале Нижнего Новгорода). После своего выбора нажмите “Далее >”:

На данном этапе произойдет проверка конфигурации DNS:

Мной была уже установлена роль “DNS-сервер” без ее настройки, поэтому мне осталось только поставить галочку “Глобальный каталог” и нажать “Далее >”:

Соглашаюсь с выскочившим предупреждением “Мастера настройки…”, нажав “Да”:

Существует возможность реплицировать данные домена с внешнего носителя. Так как в данной точке провайдер предоставляет быстрый проводной интернет, мой выбор – “Реплицировать данные по сети с существующего контроллера домена”:

В следующем окне я явно указываю имя исходного домен-контроллера для осуществления репликации:

Оставляю наименование папок для хранения данных “по-умолчанию”:

Ввожу пароль администратора домена (или выбранной вами ранее учетной записи для добавления роли контроллера домена):

В следующем окне внимательно просмотрите сделанные вами настройки и если все в порядке, нажмите “Далее >”:

После этого вы увидите процесс установки роли доменных служб Active Directory:

Установите флажок “Перезагрузка по завершению”:

В окошке процесса установки вы сможете наблюдать за ходом репликации данных:

После окончания репликации и завершения установки, сервер перезагрузится автоматически. В итоге я получил полноценный контроллер домена на базе операционной системы Windows Server 2008 R2.

Удачи!