【官方文档】-将域控制器升级到 Windows 服务器 2012 R2 和 Windows 服务器 2012
将域控制器升级到 Windows 服务器 2012 R2 和 Windows 服务器 2012
适用于: Windows 服务器 2012 R2, Windows 服务器 2012
本主题提供有关 Windows Server 2012 R2 和 Windows Server 2012 中的活动目录域服务的背景信息,并解释了从 Windows 服务器 2008 或 Windows Server 2008 R2 升级域控制器的过程。
域控制器升级步骤
升级域的建议方法是升级运行较新版本的 Windows Server 的域控制器,并根据需要降级较旧的域控制器。此方法比升级现有域控制器的操作系统更可取。此列表介绍升级运行 Windows 服务器 n 较新版本的域控制器之前要遵循的一般步骤:
-
验证目标服务器是否满足系统要求。
-
验证应用程序兼容性。
-
验证安全设置。有关详细信息,请参阅Windows 服务器 2012 中的已弃用功能和行为更改,请参阅 Windows服务器2008 和 Windows 服务器 2008 R2 中的安全默认设置。
-
检查您计划运行安装的计算机与目标服务器的连接。
-
检查必要的操作主机角色的可用性:
-
若要在现有域和林中安装运行 Windows Server 2012 的第一个 DC,运行安装所需的计算机需要连接到架构主机,以便运行 adprep /林普雷普和基础结构主机才能运行 adprep /domainprep。
-
若要在已扩展林架构的域中安装第一个 DC,只需连接到基础结构主机。
-
若要在现有林中安装或删除域,需要连接到域命名主机。
-
任何域控制器安装都需要连接到 RID 主机。
-
如果要在现有林中安装第一个只读域控制器,则需要连接到每个应用程序目录分区的基础结构主机,也称为非域命名上下文或 NDNC。
-
-
请务必提供必要的凭据来运行 AD DS 安装。
表 1 安装操作
凭据要求
安装新林
目标服务器上的本地管理员
在现有林中安装新域
企业管理员
在现有域中安装其他 DC
域管理员
运行 adprep /林普雷普
架构管理员、企业管理员和域管理员
运行 adprep /域准备
域管理员
运行 adprep /域准备 /gpprep
域管理员
运行 adprep /rodcprep
企业管理员
您可以委派安装 AD DS 的权限。有关详细信息,请参阅安装管理任务。
使用 Windows PowerShell cmdlet 和服务器管理器升级新的和副本 Windows Server 2012 域控制器的分步说明可以在以下链接中找到:
Windows 服务器 2012 中的新内容?
下表列出了按服务器角色和技术区域列出的新功能。有关 Windows Server 2012 中其他功能的其他白皮书、视频演示和演示文稿,请参阅服务器和云平台。
Windows 更新应用更新后自动维护和更改以重新启动行为
在 Windows 8 发布之前,Windows 更新管理自己的内部计划,以检查更新以及下载和安装更新。它要求 Windows 更新代理始终在后台运行,消耗内存和其他系统资源。
Windows 8 和 Windows 服务器 2012 引入了一项名为"自动维护"的新功能。自动维护整合了许多不同的功能,每个功能都用于管理自己的计划和执行逻辑。这种整合允许所有这些组件使用更少的系统资源,一致地工作,尊重新的连接待机状态的新设备类型,并减少便携式设备上的电池消耗。
由于 Windows 更新是 Windows 8 和 Windows Server 2012 中的自动维护的一部分,因此其用于设置安装更新的一天和时间的内部计划不再有效。为了帮助确保企业中所有设备和计算机的一致且可预测的重新启动行为, 包括那些运行 Windows 8 和 Windows Server 2012,请参阅 Microsoft KB文章 2885694(或参见 2013 年 10 月累计汇总2883201),然后配置 WSUS 博客文章中描述的策略设置,为Windows 8 和 Windows Server 2012 (KB 2885694) 启用更可预测的 Windows更新体验 。
Windows 服务器 2012 R2 中的 AD DS 中的新内容?
下表总结了 Windows Server 2012 R2 中 AD DS 的新功能,并提供了指向更多详细信息的链接。有关某些功能(包括其要求)的更多详细信息,请参阅Windows Server 2012 R2 中活动目录中的新功能。
特征 |
描述 |
---|---|
允许信息工作者将个人设备与公司联接来访问公司资源和服务。 |
|
使用新的远程访问角色服务提供对 Web 应用程序的访问。 |
|
AD FS 简化了部署和改进,使用户能够从个人设备访问资源,并帮助 IT 部门管理访问控制。 |
|
运行 Windows Server 2012 R2 的域控制器阻止创建重复的服务主体名称 (SDN) 和用户主体名称 (UPN)。 |
|
启用锁屏应用程序,可在 Windows 8.1 设备上重新启动并可用。 |
|
使 CA 可在颁发的证书中加密证明证书请求者私钥实际上受受信任平台模块 (TPM) 保护。 |
|
新的凭据保护和域身份验证控制,以减少凭据盗窃。 |
|
Windows Server 2003 域功能级别也已弃用,因为在功能级别,FRS 用于复制 SYSVOL。这意味着,当您在运行 Windows Server 2012 R2 的服务器上创建新域时,域功能级别必须为 Windows Server 2008 或更高版本。您仍然可以将运行 Windows Server 2012 R2 的域控制器添加到具有 Windows Server 2003 域功能级别的现有域;您无法在该级别创建新域。 |
|
Windows 服务器 2012 R2 有新功能级别。Windows 服务器 2012 R2 DFL 提供新功能。 |
|
LDAP搜索效率的性能提高和复杂查询的LDAP搜索时间。 |
|
LDAP 搜索结果统计信息已添加到事件 ID 1644,以帮助进行故障排除。 |
|
将 AD 复制的最大吞吐量从 40Mbps 调整到 600 Mbps 左右 |
Windows 服务器 2012 中的 AD DS 中的新内容是什么?
下表总结了 Windows Server 2012 中 AD DS 的新功能,并提供了指向更多详细信息的链接。有关某些功能(包括其要求)的更多详细信息,请参阅活动目录域服务 (AD DS) 中的新功能。
特征 |
描述 |
---|---|
基于目录的活动激活 (AD BA) 请参阅批量激活概述 |
简化配置批量软件许可证的分发和管理的任务。 |
通过服务器管理器、简化的信任设置、自动信任管理、SAML 协议支持等添加角色安装。 |
|
活动目录丢失页面刷新事件 |
记录有喷射误差的 NTDS ISAM 事件 530 以检测丢失的页面刷新事件到活动目录数据库。 |
活动目录管理中心 (ADAC) 添加了最初在 Windows Server 2008 R2 中引入的回收站功能的 GUI 管理。 |
|
使用 Windows PowerShell 支持创建和管理活动目录网站、站点链接、连接对象等。 |
|
新的基于声明的授权平台,可增强旧式访问控制模型。 |
|
ADAC 添加了最初添加到 Windows Server 2008 中的 PSO 的创建、编辑和分配的 GUI 支持。 |
|
称为 gMSA 的新安全主体类型。在多个主机上运行的服务可以在同一个 gMSA 帐户下运行。 |
|
通过包括直接访问先决条件来扩展脱机域联接。 |
|
通过使用 Windows PowerShell cmdlet 克隆现有的虚拟域控制器,可以快速部署虚拟化的 DC。 |
|
添加新的监视事件和配额,防止过度消耗全局 RID 池。如果原始池已用尽,可以选择将全局 RID 池的大小翻倍。 |
|
安全时间服务 |
通过从网络中删除机密、删除 MD5 哈希函数并要求服务器使用 Windows 8 时间客户端进行身份验证,增强 W32tm 的安全性 |
意外还原虚拟化 PC 的快照备份不再导致 USN 回滚。 |
|
允许管理员查看使用 ADAC 时执行的 Windows PowerShell 命令。 |
Windows 更新应用更新后自动维护和更改以重新启动行为
在 Windows 8 发布之前,Windows 更新管理自己的内部计划,以检查更新以及下载和安装更新。它要求 Windows 更新代理始终在后台运行,消耗内存和其他系统资源。
Windows 8 和 Windows 服务器 2012 引入了一项名为"自动维护"的新功能。自动维护整合了许多不同的功能,每个功能都用于管理自己的计划和执行逻辑。这种整合允许所有这些组件使用更少的系统资源,一致地工作,尊重新的连接待机状态的新设备类型,并减少便携式设备上的电池消耗。
由于 Windows 更新是 Windows 8 和 Windows Server 2012 中的自动维护的一部分,因此其用于设置安装更新的一天和时间的内部计划不再有效。为了帮助确保企业中所有设备和计算机(包括运行 Windows 8 和 Windows Server 2012 的设备)的重新启动行为一致且可预测,可以配置以下组策略设置:
-
计算机配置|计算机配置|计算机配置|计算机配置政策|政策|政策|政策|管理模板|管理模板|管理模板|管理模板窗口组件|窗口组件|窗口组件|窗口组件|窗口组件窗口更新|窗口更新|窗口更新|窗口更新配置自动更新
-
计算机配置|计算机配置|计算机配置|计算机配置政策|政策|政策|政策|管理模板|管理模板|管理模板|管理模板窗口组件|窗口组件|窗口组件|窗口组件|窗口组件窗口更新|窗口更新|窗口更新|窗口更新登录用户时无法自动重新启动
-
计算机配置|计算机配置|计算机配置|计算机配置政策|政策|政策|政策|管理模板|管理模板|管理模板|管理模板窗口组件|窗口组件|窗口组件|窗口组件|窗口组件维护计划程序|维护计划维护随机延迟
下表列出了如何配置这些设置以提供所需的重新启动行为的一些示例。
场景 |
推荐配置 |
Wsus 已管理
|
将计算机设置为自动安装,防止自动重新启动,直到所需时间 策略: 配置自动更新(已启用) 配置自动更新: 4 = 自动下载并安排安装 策略: 没有自动重新启动与登录用户...(禁用) WSUS 截止日期:设置为星期五晚上 11 点 |
Wsus 已管理
|
为应一起更新的不同计算机组设置目标组 对以前的方案使用上述步骤 为不同的目标组设置不同的最后期限 |
不是 WSUS 管理的 = 不支持最后期限
|
策略: 配置自动更新(已启用) 配置自动更新: 4 = 自动下载并安排安装 注册表项:启用 Microsoft KB 文章2835627 中讨论的注册表项 政策:自动维护随机延迟(已启用) 将定期维护随机延迟设置为 PT6H,用于 6 小时随机延迟,以提供以下行为:
或者,为每组机器设置不同的维护时间 |
有关 Windows 工程团队实现这些更改的原因,请参阅在Windows 更新中自动更新后最小化重新启动。
AD DS 服务器角色安装更改
在 Windows Server 2003 通过 Windows Server 2008 R2 中,在运行活动目录安装向导之前,您运行了 Adprep.exe 命令行工具的 x86 或 X64 版本,Dcpromo.exe 和 Dcpromo.exe 具有从媒体安装或无人参与安装安装的可选变体。
从 Windows Server 2012 开始,命令行安装通过使用 Windows PowerShell 中的 ADDS 部署模块执行。基于 GUI 的促销使用全新的 AD DS 配置向导在服务器管理器中执行。为了简化安装过程,ADPREP 已集成到 AD DS 安装中,并根据需要自动运行。基于 Windows PowerShell+的 AD DS 配置向导自动将架构和基础结构主角色作为添加 DC 的域中的目标,然后在相关域控制器上远程运行所需的 ADPREP 命令。
AD DS 安装向导中的先决条件检查在安装开始之前识别潜在的错误。可以更正错误条件,以消除部分完成升级时的问题。该向导还导出一个 Windows PowerShell 脚本,该脚本包含图形安装期间指定的所有选项。
总之,AD DS 安装更改简化了 DC 角色安装过程,并降低了管理错误的可能性,尤其是在全局区域和域中部署多个域控制器时。有关 GUI 和基于 Windows PowerShell 的安装(包括命令行语法和分步向导说明)的更多详细信息,请参阅安装活动目录域服务。对于希望控制在 Active Directory 林中引入架构更改的管理员,与在现有林中安装 Windows Server 2012 DC 无关,Adprep.exe 命令仍可以在提升的命令提示符下运行。
Windows 服务器 2012 中与 AD DS 相关的弃用功能和行为更改
与 AD DS 相关的更改:
-
贬低Adprep32.exe
Adprep.exe 只有一个版本,它可以根据需要在运行 Windows Server 2008 或更晚的 64 位服务器上运行。它可以远程运行,如果目标操作主机角色托管在 32 位操作系统或 Windows Server 2003 上,则必须远程运行。
-
贬低 Dcpromo. exe
Dcpromo 已弃用,尽管在 Windows Server 2012 中,它仍可以使用应答文件或命令行参数运行,以使组织有时间将现有自动化过渡到新的 Windows PowerShell 安装选项。
-
在用户帐户上禁用 LMHash
Windows 服务器 2008、Windows 服务器 2008 R2 和 Windows Server 2012 上的安全模板中的安全默认值启用了在 Windows 2000 和 Windows Server 2003 域控制器的安全模板中禁用的 NoLMHash 策略。使用 KB 第946405条中的步骤,根据要求禁用 LMHash 依赖客户端的 NoLMHash 策略。
与运行 Windows Server 2003 或 Windows 2000 的域控制器相比,域控制器还具有以下安全的默认设置。
加密类型或策略 |
Windows 服务器 2008 默认值 |
Windows 服务器 2012 和 Windows 服务器 2008 R2 默认 |
评论 |
AllowNT4Crypto |
禁用 |
禁用 |
第三方服务器消息块 (SMB) 客户端可能与域控制器上的安全默认设置不兼容。在所有情况下,这些设置都可以放宽,以允许互操作性,但仅以牺牲安全性为代价。有关详细信息,请参阅 Microsoft知识库(https://go.microsoft.com/fwlink/?LinkId=164558)中的第 942564条。 |
Des |
启用 |
禁用 |
微软知识库(第977321条)第https://go.microsoft.com/fwlink/?LinkId=177717) |
用于集成身份验证的 CBT/扩展保护 |
不和 |
启用 |
请参阅 Microsoft 知识库 (https://go.microsoft.com/fwlink/?LinkId=178251) 中的 Microsoft 安全通报(937811) (https://go.microsoft.com/fwlink/?LinkId=164559) 和第976918条。 请根据要求查看并安装Microsoft 知识库中第 977073(https://go.microsoft.com/fwlink/?LinkId=186394)条中的修补程序。 |
Lmv2 |
启用 |
禁用 |
微软知识库(第976918条)第https://go.microsoft.com/fwlink/?LinkId=178251) |
操作系统要求
下表列出了 Windows Server 2012 的最低系统要求。有关系统要求和预安装信息的信息,请参阅安装 Windows 服务器 2012。安装新的 Active Directory 林没有其他系统要求,但应添加足够的内存来缓存 Active Directory 数据库的内容,以提高域控制器、LDAP 客户端请求和启用 Active Directory 的应用程序的性能。如果要升级现有域控制器或向现有林添加新域控制器,请查看下一节以确保服务器满足磁盘空间要求。
处理器 |
1.4 Ghz 64 位处理器 |
Ram |
512 MB |
可用磁盘空间要求 |
32 GB |
屏幕分辨率 |
800 x 600 或更高 |
杂项 |
DVD 驱动器、键盘、互联网接入 |
升级域控制器的磁盘空间要求
本节仅介绍从 Windows 服务器 2008 或 Windows 服务器 2008 R2 升级域控制器的磁盘空间要求。有关将域控制器升级到早期版本的 Windows 服务器的磁盘空间要求的信息,请参阅升级到Windows Server 2008的磁盘空间要求或升级到 Windows Server 2008 R2 的磁盘空间要求。
调整承载 Active Directory 数据库和日志文件的磁盘的大小,以适应自定义和应用程序驱动的架构扩展、应用程序和管理员启动的索引,以及将在域控制器的部署生命周期(通常为 5 到 8 年)添加到目录中的对象和属性的空间。与部署后扩展磁盘存储所需的更多触摸成本相比,在部署时间正确调整大小通常是一个很好的投资。有关详细信息,请参阅活动目录域服务的容量规划。
在计划升级的域控制器上,请确保承载活动目录数据库 (NTDS) 的驱动器。DIT) 具有至少表示 NTDS 20% 的可用磁盘空间。在开始操作系统升级之前,先使用 DIT 文件。如果卷上的可用磁盘空间不足,升级可能会失败,并且升级兼容性报告返回一个错误,指示可用磁盘空间不足:
在这种情况下,您可以尝试对 Active Directory 数据库进行脱机碎片整理以重新捕获其他空间,然后重试升级。有关详细信息,请参阅压缩目录数据库文件(脱机碎片整理)。
可用的 SKU
有 4 个版本的 Windows 服务器:基础、基本、标准和数据中心。支持 AD DS 角色的两个版本是标准和数据中心。
在以前的版本中,Windows 服务器版本在支持服务器角色、处理器计数和大型内存支持方面有所不同。Windows Server 的标准和数据中心版本支持所有功能和底层硬件,但虚拟化权限各不相同 - 标准版允许两个虚拟实例,数据中心版允许无限虚拟实例。
支持加入 Windows 服务器域的 Windows 客户端和 Windows 服务器操作系统
以下 Windows 客户端和 Windows 服务器操作系统支持具有运行 Windows Server 2012 或更晚的域控制器的域成员计算机:
-
客户端操作系统: Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows XP
运行 Windows 8.1 或 Windows 8 的计算机还可以加入具有运行早期版本的 Windows 服务器(包括 Windows Server 2003 或更晚)的域控制器的域。但是,在这种情况下,某些 Windows 8 功能可能需要其他配置或可能不可用。有关这些功能以及有关在下级域中管理 Windows 8 客户端的其他建议的详细信息,请参阅在 Windows Server 2003 域中运行 Windows 8 成员计算机。
-
服务器操作系统: Windows 服务器 2012 R2, Windows 服务器 2012, Windows 服务器 2008 R2, Windows 服务器 2008, Windows 服务器 2003 R2, Windows 服务器 2003
支持的就地升级路径
运行 64 位版本的 Windows 服务器 2008 或 Windows 服务器 2008 R2 的域控制器可以升级到 Windows Server 2012。无法升级运行 Windows Server 2003 或 Windows Server 2008 的 32 位版本的域控制器。若要替换它们,请安装域中运行 Windows Server 的较新版本的域控制器,然后删除 Windows Server 2003 的域控制器。
如果您正在运行这些版本 |
您可以升级到这些版本 |
---|---|
带 SP2 的 Windows 服务器 2008 标准 或 Windows 服务器 2008 企业版与 SP2 |
Windows 服务器 2012 标准 或 Windows 服务器 2012 数据中心 |
带 SP2 的 Windows 服务器 2008 数据中心 |
Windows 服务器 2012 数据中心 |
Windows Web 服务器 2008 |
Windows 服务器 2012 标准 |
带 SP1 的 Windows 服务器 2008 R2 标准 或 Windows 服务器 2008 R2 企业版与 SP1 |
Windows 服务器 2012 标准 或 Windows 服务器 2012 数据中心 |
带 SP1 的 Windows 服务器 2008 R2 数据中心 |
Windows 服务器 2012 数据中心 |
Windows Web 服务器 2008 R2 |
Windows 服务器 2012 标准 |
有关受支持的升级路径的详细信息,请参阅 Windows服务器 2012 的评估版本和升级选项。请注意,您无法将运行 Windows Server 2012 评估版本的域控制器直接转换为零售版本。相反,在运行零售版本的服务器上安装其他域控制器,并从在评估版本上运行的域控制器中删除 AD DS。
由于已知问题,无法将运行 Windows Server 2008 R2 的服务器核心安装的域控制器升级到 Windows Server 2012 的服务器核心安装。升级将在升级过程的后期挂在实心黑屏上。重新启动此类 DC 将公开一个在 boot.ini 文件中的选项,以回滚到以前的操作系统版本。额外的重新启动将触发自动回滚到以前的操作系统版本。在解决方案可用之前,建议您安装运行 Windows Server 2012 的服务器核心安装的新域控制器,而不是就地升级运行 Windows Server 2008 R2 的服务器核心安装的现有域控制器。有关详细信息,请参阅知识库文章2734222。
功能级功能和要求
Windows 服务器 2012 需要 Windows 服务器 2003 林功能级别。也就是说,在将运行 Windows Server 2012 的域控制器添加到现有活动目录林之前,林功能级别必须为 Windows Server 2003 或更高版本。这意味着运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的域控制器可以在同一林中运行,但运行 Windows 2000 Server 的域控制器不受支持,并将阻止安装运行 Windows Server 2012 的域控制器。如果林包含运行 Windows Server 2003 或更晚的域控制器,但林功能级别仍然是 Windows 2000,则安装也会被阻止。
在将 Windows Server 2012 域控制器添加到林中之前,必须删除 Windows 2000 域控制器。在这种情况下,请考虑以下工作流:
-
安装运行 Windows Server 2003 或更晚的域控制器。这些域控制器可以部署在 Windows 服务器的评估版本上。此步骤还要求运行 adprep.exe的操作系统版本作为先决条件。
-
删除 Windows 2000 域控制器。具体地说,从域中正常降级或强制删除 Windows Server 2000 域控制器,并使用"活动目录用户"和"计算机"删除所有已删除域控制器的域控制器帐户。
-
将林功能级别提升至 Windows Server 2003 或更高版本。
-
安装运行 Windows 服务器 2012 的域控制器。
-
删除运行早期版本的 Windows 服务器的域控制器。
新的 Windows Server 2012 域功能级别启用了一项新功能:KDC 支持声明、复合身份验证和 Kerberos装甲 KDC 管理模板策略有两个设置(始终提供声明和失败未注册身份验证请求),需要 Windows Server 2012 域功能级别。有关详细信息,请参阅支持声明、复合身份验证和 Kerberos 装甲。
Windows Server 2012 林功能级别不提供任何新功能,但它可确保在林中创建的任何新域都将在 Windows Server 2012 域功能级别自动运行。Windows Server 2012 域功能级别不提供除了 KDC 支持声明、复合身份验证和 Kerberos 护甲之外的其他新功能。但它可确保域中的任何域控制器运行 Windows Server 2012。有关不同功能级别提供的其他功能的信息,请参阅了解活动目录域服务 (AD DS) 功能级别。
将林功能级别设置为特定值后,不能回滚或降低林功能级别,但以下情况除外:将林功能级别提升至 Windows Server 2012 后,可以将林功能级别降到 Windows Server 2008 R2。如果尚未启用活动目录回收站,您还可以将林功能级别从 Windows Server 2012 降为 Windows 服务器 2008 R2 或 Windows 服务器 2008,或从 Windows 服务器 2008 R2 将级别降低到 Windows 服务器 2008。如果林功能级别设置为 Windows Server 2008 R2,则无法回滚,例如,回滚到 Windows Server 2003。
将域功能级别设置为某个值后,不能回滚或降低域功能级别,但有以下例外:当您将域功能级别提升为 Windows Server 2008 R2 或 Windows Server 2012 时,如果林功能级别为 Windows Server 2008 或更低,您可以选择将域功能级别回滚到 Windows Server 2008 或 Windows Server 2008 R2。只能将域功能级别从 Windows 服务器 2012 降到 Windows 服务器 2008 R2 或 Windows 服务器 2008 或从 Windows 服务器 2008 R2 降到 Windows 服务器 2008。如果域功能级别设置为 Windows Server 2008 R2,则无法回滚,例如,回滚到 Windows Server 2003。
有关在较低功能级别可用的功能的信息,请参阅了解活动目录域服务 (AD DS) 功能级别。
除了功能级别之外,运行 Windows Server 2012 的域控制器还提供在运行早期版本的 Windows Server 的域控制器上不可用的其他功能。例如,运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆,而运行早期版本的 Windows Server 的域控制器不能。但是 Windows Server 2012 中的虚拟域控制器克隆和虚拟域控制器安全措施没有任何功能级别要求。
备注
Microsoft Exchange 服务器 2013 需要 Windows 服务器 2003 或更高级别的林功能级别。
AD DS 与其他服务器角色和 Windows 操作系统的互操作性
以下 Windows 操作系统不支持 AD DS:
-
Windows 多点服务器
-
Windows 服务器 2012 要点
AD DS 不能安装在同时运行以下服务器角色或角色服务的服务器上:
-
超V服务器
-
远程桌面连接代理
操作主机角色
Windows Server 2012 中的一些新功能会影响操作主机角色:
-
PDC 模拟器必须运行 Windows Server 2012 以支持克隆虚拟域控制器。克隆 DC 还有其他先决条件。有关详细信息,请参阅活动目录域服务 (AD DS) 虚拟化。
-
当 PDC 模拟器运行 Windows Server 2012 时,将创建新的安全主体。
-
RID 主机具有新的 RID 颁发和监视功能。这些改进包括更好的事件日志记录、更适当的限制,以及在紧急情况下将整个 RID 池分配增加一点的能力。有关详细信息,请参阅管理RID 颁发。
备注
虽然它们不是操作主机角色,但 AD DS 安装的另一个变化是 DNS 服务器角色和全局编录默认安装在运行 Windows Server 2012 的所有域控制器上。
虚拟化域控制器
从 Windows Server 2012 开始的 AD DS 改进使域控制器能够更安全的虚拟化,并能够克隆域控制器。克隆域控制器反过来又允许在新域中快速部署其他域控制器和其他好处。有关详细信息,请参阅活动目录域服务 (AD DS) 虚拟化 (级别 100) 简介。
管理 Windows 服务器 2012 服务器
使用Windows 8 的远程服务器管理工具管理域控制器和运行 Windows Server 2012 的其他服务器。您可以在运行 Windows 8 的计算机上运行 Windows 服务器 2012 远程服务器管理工具。
应用程序兼容性
下表介绍常见的活动目录集成 Microsoft 应用程序。下表涵盖了应用程序可以安装在哪些版本的 Windows 服务器,以及引入 Windows Server 2012 DC 是否会影响应用程序兼容性。
产品 |
笔记 | ||
---|---|---|---|
配置管理器 2007 与 SP2(包括配置管理器 2007 R2 和配置管理器 2007 R3):
|
|||
在 Windows 服务器 2012 上安装时不支持 Microsoft Office SharePoint 服务器 2007。 |
|||
SharePoint 2010 Service Pack 2 需要在 Windows 服务器 2012 服务器上安装和操作 SharePoint 2010 SharePoint 2010 基础服务包 2 需要在 Windows 服务器 2012 服务器上安装和操作 SharePoint 2010 基础 SharePoint 服务器 2010(没有服务包)安装过程在 Windows 服务器 2012 上失败 SharePoint 服务器 2010 必备安装程序(PrerequisiteInstaller.exe)失败,错误"此程序存在兼容性问题"。单击"在未获得帮助的情况下运行程序"将显示错误"验证是否已安装 SharePoint |在 Windows 服务器 2012 上无法安装 SharePoint 服务器 2010(没有服务包)。 |
|||
服务器场中数据库服务器的最低要求 Windows 服务器 2008 R2 服务包 1 (SP1) 标准、企业或数据中心的 64 位版本或 64 位版本的 Windows 服务器 2012 标准或数据中心 具有内置数据库的单个服务器的最低要求: Windows 服务器 2008 R2 服务包 1 (SP1) 标准、企业或数据中心的 64 位版本或 64 位版本的 Windows 服务器 2012 标准或数据中心 服务器场中前端 Web 服务器和应用程序服务器的最低要求: Windows 服务器 2008 R2 服务包 1 (SP1) 标准、企业或数据中心的 64 位版本或 Windows 服务器 2012 标准或数据中心的 64 位版本。 |
|||
系统中心 2012 配置管理器服务包 1: Microsoft 将在服务包 1 发布时将以下操作系统添加到我们的客户支持矩阵中:
所有站点服务器角色(包括站点服务器、SMS 提供程序和管理点)都可以部署到具有以下操作系统版本的服务器:
|
|||
Lync 服务器 2013 需要与 Windows 服务器 2008 R2 或 Windows 服务器 2012.它不能在服务器核心安装上运行。它可以在虚拟服务器上运行。 |
|||
Lync Server 2010 可以安装在新的(未升级)安装 Windows Server 2012 上,如果安装了 Lync Server 的 2012 年 10 月累积更新。不支持将操作系统升级到 Windows Server 2012,以用于 Lync Server 2010 的现有安装。Windows 服务器 2012 上也不支持微软 Lync 服务器 2010 群聊服务器。 |
|||
系统中心 2012 端点保护服务包 1 将更新客户端支持矩阵,以包括以下操作系统
|
|||
FEP 2010 与更新汇总 1 将更新客户端支持矩阵,以包括以下操作系统:
|
|||
前沿威胁管理网关 (TMG) |
支持 TMG 仅在 Windows 服务器 2008 和 Windows 服务器 2008 R2 上运行。有关详细信息,请参阅Forefront TMG 的系统要求。 |
||
Windows 服务器更新服务 |
此 WSUS 版本已支持基于 Windows 8 的计算机或基于 Windows Server 2012 的计算机作为客户端。 |
||
Windows 服务器更新服务 3.0 |
更新知识库文章 2734608允许运行 Windows 服务器更新服务 (WSUS) 3.0 SP2 的服务器向运行 Windows 8 或 Windows 服务器 2012 的计算机提供更新: 备注 具有独立 WSUS 3.0 SP2 环境或系统中心配置管理器 2007 服务包 2 具有 WSUS 3.0 SP2 的环境的客户需要2734608才能将基于 Windows 8 的计算机或基于 Windows Server 2012 的计算机作为客户端进行正确管理。 |
||
Windows Server 2012 支持以下角色的标准和数据中心:架构主机、全局编录服务器、域控制器、邮箱和客户端访问服务器角色 林功能级别:Windows 服务器 2003 或更高版本 来源: Exchange 2013 系统要求 |
|||
交易所 2010 |
Exchange 2010 与服务包 3 可以安装在 Windows 服务器 2012 成员服务器上。 Exchange 2010 系统要求将最新支持的架构主机、全局编录和域控制器列出为 Windows Server 2008 R2。 林功能级别:Windows 服务器 2003 或更高版本 |
||
SQL 服务器 2012 |
来源: KB 2681562 Windows 服务器 2012 支持 SQL Server 2012 RTM。 |
||
SQL 服务器 2008 R2 |
来源: KB 2681562 需要 SQL Server 2008 R2 与 Service Pack 1 或更晚安装在 Windows Server 2012 上。 |
||
SQL Server 2008 |
来源: KB 2681562 需要使用 Service Pack 3 或更晚一些功能安装到 Windows Server 2012 上的 SQL Server 2008。 |
||
SQL Server 2005 |
来源: KB 2681562 不支持在 Windows 服务器 2012 上安装。 |
已知问题
下表列出了与 AD DS 安装相关的已知问题。
知识库文章编号和标题 |
受影响的技术领域 |
问题/描述 |
2830145: SID S-1-18-1 和 SID S-1-18-2 无法映射在域环境中的 Windows 7 或基于 Windows Server 2 的基于 Windows 服务器 2008 R2 的计算机上 |
AD DS 管理/应用程序兼容性 |
映射 SID S-1-18-1 和 SID S-1-18-2(在 Windows Server 2012 中是新内容)的应用程序可能会失败,因为 SID 无法在基于 Windows 7 或基于 Windows Server 的 2008 R2 计算机上解析。若要解决此问题,请将修补程序安装在域中基于 Windows 7 和基于 Windows Server 2008 R2 的计算机上。 |
2737129: 当您自动为 Windows Server 2012 准备现有域时,不会执行组策略准备 |
AD DS 安装 |
Adprep /域准备 /gpprep 不会自动运行,作为安装在域中运行 Windows Server 2012 的第一个 DC 的一部分。如果以前从未在域中运行过,则必须手动运行。 |
2737416: 基于 Windows PowerShell 的域控制器部署重复警告 |
AD DS 安装 |
警告在先决条件验证期间可能出现,然后在安装期间重新出现。 |
2737424:当您尝试从域控制器中删除活动目录域服务时,"指定域名的格式无效"错误 |
AD DS 安装 |
如果要删除域中仍然存在预创建的 RODC 帐户的最后一个 DC,则出现此错误。这会影响 Windows 服务器 2012、Windows 服务器 2008 R2 和 Windows 服务器 2008。 |
2737463: 域控制器无法启动,c00002e2 错误发生,或显示"选择选项" |
AD DS 安装 |
DC 不会启动,因为管理员使用 Dism.exe、Pkgmgr.exe 或 Ocsetup.exe 来删除目录服务域控制器角色。 |
2737516: Windows 服务器 2012 服务器管理器中的 IFM 验证限制 |
AD DS 安装 |
IFM 验证可以具有 KB 文章中所述的限制。 |
2737535: 安装-添加域控制器 cmdlet 返回 RODC 的参数集错误 |
AD DS 安装 |
如果指定已填充在预创建的 RODC 帐户上的参数,则尝试将服务器附加到 RODC 帐户时可能会收到错误。 |
2737560:"无法执行 Exchange 架构冲突检查"错误,先决条件检查失败 |
AD DS 安装 |
在现有域中配置第一个 Windows Server 2012 DC 时,先决条件检查失败,因为 DC 缺少用于网络服务的 SeServiceLogonRight,或者由于 WMI 或 DCOM 协议被阻止。 |
2737797: 将部署模块与 -Whatif 参数显示不正确的 DNS 结果 |
AD DS 安装 |
•WhatIf 参数显示 DNS 服务器不会安装,但会安装。 |
2737807: 域控制器选项页面上没有"下一步"按钮 |
AD DS 安装 |
"下一步"按钮在"域控制器选项"页上禁用,因为目标 DC 的 IP 地址未映射到现有子网或站点,或者由于 DSRM 密码未正确键入和确认。 |
2737935: 活动目录安装在"创建 NTDS 设置对象"阶段停滞不前 |
AD DS 安装 |
安装挂起是因为本地管理员密码与域管理员密码匹配,或者网络问题阻止关键复制完成。 |
2738060:使用安装-添加域远程创建子域时出现"访问被拒绝"错误消息 |
AD DS 安装 |
如果 DNS 委托凭据密码错误,则使用 Invoke 命令 cmdlet 运行安装-ADDSDomain 时将收到错误。 |
2738697:使用服务器管理器配置服务器时出现"服务器无法操作"域控制器配置错误 |
AD DS 安装 |
当您尝试在工作组计算机上安装 AD DS 时,您会收到此错误,因为 NTLM 身份验证已禁用。 |
2738746: 登录本地管理员域帐户后,您将收到访问被拒绝的错误 |
AD DS 安装 |
当您使用本地管理员帐户(而不是内置的管理员帐户)登录,然后创建新域时,该帐户不会添加到域管理员组。 |
2743345:"系统找不到指定的文件" Adprep /gpprep 错误,或工具崩溃 |
AD DS 安装 |
运行 adprep /gpprep 时收到此错误,因为基础结构主机实现不相交的命名空间 |
2743367: Adprep 在 Windows 服务器 2003 上"不是有效的 Win32 应用程序"错误,64 位版本 |
AD DS 安装 |
您收到此错误是因为 Windows 服务器 2012 Adprep 无法在 Windows 服务器 2003 上运行。 |
2753560: ADMT 3.2 和 PES 3.1 在 Windows 服务器 2012 上安装错误 |
阿德姆特 |
根据设计,ADMT 3.2 无法安装在 Windows 服务器 2012 上。 |
2750857: DFS 复制诊断报告在 Internet 资源管理器 10 中无法正确显示 |
DFS 复制 |
由于 Internet 资源管理器 10 中的更改,DFS 复制诊断报告无法正确显示。 |
2741537: 远程组策略更新对用户可见 |
组策略 |
这是因为计划的任务在登录的每个用户的上下文中运行。在这种情况下,Windows 任务计划程序设计需要交互式提示。 |
2741591: GPMC 基础结构状态选项中的 SYSVOL 中不存在 ADM 文件 |
组策略 |
GP 复制可以报告"复制正在进行中",因为 GPMC 基础结构状态不遵循自定义筛选规则。 |
2737880:AD DS 配置期间出现"无法启动服务"错误 |
虚拟直流克隆 |
由于 DS 角色服务器服务已禁用,因此在安装或删除 AD DS 或克隆时将收到此错误。 |
2742836: 当您使用 VDC 克隆功能时,将每个域控制器创建两个 DHCP 租约 |
虚拟直流克隆 |
这是因为克隆的域控制器在克隆之前收到租约,在克隆完成时再次收到租约。 |
2742844: 域控制器克隆失败,服务器在 Windows 服务器 2012 中的 DSRM 中重新启动 |
虚拟直流克隆 |
克隆的 DC 在 DSRM 中启动,因为克隆由于 KB 文章中列出的任何各种原因而失败。 |
2742874: 域控制器克隆不会重新创建所有服务主体名称 |
虚拟直流克隆 |
由于域重命名过程的限制,在克隆的 DC 上不会重新创建某些由三部分的 SDN。 |
2742908:克隆域控制器后出现"没有登录服务器可用"错误 |
虚拟直流克隆 |
克隆虚拟化 DC 后尝试登录时将收到此错误,因为克隆失败,并且 DC 在 DSRM 中启动。以 .=管理员身份登录以排除克隆失败。 |
2742916: 域控制器克隆失败,在 dcpromo.log 中错误 8610 |
虚拟直流克隆 |
克隆失败是因为 PDC 模拟器未执行域分区的入站复制,可能是因为角色已转移。 |
2742927:" 索引出范围" 新 AdDcCloneConfig 错误 |
虚拟直流克隆 |
克隆虚拟 DC 时运行 New-ADDCCloneConfigFile cmdlet 后将收到错误,原因不是 cmdlet 未从提升的命令提示符运行,要么因为访问令牌不包含管理员组。 |
2742959: 域控制器克隆失败,错误 8437:"为此复制操作指定了无效参数" |
虚拟直流克隆 |
克隆失败,因为指定了无效的克隆名称或重复的 NetBIOS 名称。 |
2742970: DC 克隆失败,没有 DSRM、重复源和克隆计算机 |
虚拟直流克隆 |
在目录服务修复模式 (DSRM) 中克隆的虚拟 DC 启动,使用重复名称作为源 DC,因为 DCCloneConfig.xml 文件未在正确的位置创建,或者因为源 DC 在克隆之前已重新启动。 |
2743278: 域控制器克隆错误 0x80041005 |
虚拟直流克隆 |
克隆的 DC 引导到 DSRM,因为只指定了一个 WINS 服务器。如果指定了任何 WINS 服务器,则必须同时指定首选和备用 WINS 服务器。 |
2745013:如果您在 Windows 服务器 2012 中运行 New-AdDcCloneConfigFile,则出现"服务器无法运行"错误消息 |
虚拟直流克隆 |
运行 New-ADDCloneConfigFile cmdlet 后收到此错误,因为服务器无法与全局编录服务器联系。 |
2747974: 域控制器克隆事件 2224 提供不正确的指导 |
虚拟直流克隆 |
事件 ID 2224 错误地指出在克隆之前必须删除托管服务帐户。必须删除独立的 MSA,但组 MSA 不会阻止克隆。 |
2748266: 升级到 Windows 8 后,无法解锁 BitLocker 加密的驱动器 |
位锁 |
当您尝试解锁从 Windows 7 升级的计算机上的驱动器时,您会收到"找不到应用程序"错误。 |