1AD DS 安装和删除中的新增功能

资源描述

《1AD DS 安装和删除中的新增功能》由会员分享，可在线阅读，更多相关《1AD DS 安装和删除中的新增功能（7页珍藏版）》请在金锄头文库上搜索。

1、引用： http:/ DS 安装和删除中的新增功能更新时间: 2009年7 月应用到: Windows Server 2008, Windows Server 2008 R2本主题介绍用于在 Windows Server 2008 中安装和删除 Active Directory 域服务 (AD DS) 的新选项。还对此内容进行了更新，包括 Windows Server 2008 R2 的相应参考。AD DS 在 Windows Server 2008 中具有新的安装选项。虽然 AD DS 在 Windows Server 2008 R2 中没有新的安装选项，但具有可以在 AD DS 安装期

2、间或安装后选择的新域和林功能级别。此外，Adprep.exe 在 Windows Server 2008 和 Windows Server 2008 R2 中的位置不同。必须运行 Adprep.exe 才能将运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到现有Windows 2000 Server 或 Windows Server 2003 Active Directory 环境。在 Windows Server 2008 中，Adprep.exe 位于操作系统安装磁盘的/Sources/adprep 文件夹中。在 Windows

3、 Server 2008 R2 中， Adprep.exe 位于 /Support/adprep 文件夹中。Windows Server 2008 R2包括32位和64位版本的Adprep.exe。默认情况下运行64位版本。如果希望在32 位计算机上运行 Adprep.exe 命令之一，请使用 Adprep.exe 的 32 位版本 (Adprep32.exe)。本主题介绍了以下新安装选项： Active Directory域服务安装向导中的新选项新的无人参与安装选项 RODC 选项 DNS 选项全局编录服务器选项在 Windows Server 2008和 Windows Server

4、2008 R2域功能级别可以使用新功能。例如，您可以在 Windows Server 2008 域功能级别使用细化密码和帐户锁定策略，以将不同的策略设置应用于单一域中不同的用户组。在Windows Server 2008 R2域功能级别，可以使用身份验证机制保证来保护资源(包括应用程序)的安全，以便只将访问权授予使用基于证书的机制登录的用户。Windows Server 2008 R2中属于功能级的另一新功能是能够在有限的一组环境下回滚功能级别。通常, 您无法回滚或降低域功能级别，但在Windows Server 2008 R2中有一个例外情况：当您将域功能级别提升至U Windows S

5、erver 2008 R2并且林功能级别是 Windows Server 2008 或更低时，可以选择将域功能级别回滚到 Windows Server 2008 此外，在 Windows Server 2008 R2 中，将林功能级别设置为某个值之后，就不能回滚或降低林功能级别，但有一种情况例外：当您将林功能级别提升到 W/indow/s Server 2008 R2 且没有启用 Active Directory 冋收站时，可以选择将林功能级别冋滚到 Windows Server 2008。有关 Active Directory 回收站的详细信息，请参阅 AD DS 中的新增功能： Ac

6、tive Directory 回收站(http:/ = 141392)(可能为英文网页)。只能将林功能级别从 Windows Server 2008 R2 降到 Windows Server 2008。例如，如果将林功能级别设置为 Windows Server 2008 R2,贝U无法将其回滚到I Windows Server 2003。有关在 Windows Server 2008和 Windows Server 2008 R2域功能级别可以使用的新功能的完整列表, 请参阅按功能级别启用的功能附录。新的服务器操作系统安装选项包括以下内容： Windows Server 2008 或 Win

7、dows Server 2008 R2 的完全安装 Windows Server 2008 或 Windows Server 2008 R2 的服务器核心安装 Windows Server 2008 R2 包括 Active Directory 管理中心，它提供了增强的 Active Directory 数据管理体验和丰富的图形用户界面 (GUI)。 Active Directory 管理中心依赖于 Active Directory Web 服务 (ADWS)，该服务要求打开TCP端口 9389。如果使用组策略对象(GPO)配置防火墙，请更新GPO以确保该端口对 ADWS 开放。新的 AD

8、 DS 安装选项安装AD DS时，您可以使用几个新选项，这些选项同时出现在Active Directory域服务安装向导中，以及在从命令行执行无人参与安装时。新的 AD DS 安装选项如下：您可以指定以下域控制器选项：域名系统 (DNS) 服务器：在 Windows Server 2003 操作系统中提供了 DNS 服务器安装(如果需要)。在 Windows Server 2008 和 Windows Server 2008 R2 中， DNS 安装和配置是自动进行的(如果需要)。当您在Windows Server 2008的新子域中的第一个域控制器上安装DNS时，会在 DNS 中自

9、动为新域创建委派。全局编录服务器：在Windows Server 2003中，将域控制器安装为全局编录服务器不是Windows界面中的安装选项。在 Windows Server 2008 和 Windows Server 2008 R2 中，您可以在向导中选择该选项。只读域控制器（RODC）:此域控制器选项是Windows Server 2008中的新选项。林或域中的第一个域控制器不能为 RODC。RODC 必须从运行 Windows Server 2008 或 Windows Server 2008 R2 的可写域控制器复制。如果运行 Windows Server 2008 或 Win

10、dows Server 2008 R2 的可写域控制器位于此域中，则当您向此域中添加另一个域控制器时，可以使用安装 RODC 的选项。您可以指定新域控制器的站点或使用与计算机 IP 地址相应的站点。Active Directory 域服务安装向导中的新选项可以使用 Active Directory 域服务安装向导交互地添加 AD DS 服务器角色。可以采用如下新的方式访问Active Directory 域服务安装向导：可以使用“添加角色向导” 。可以采用以下方式访问“ 添加角色向导”：可以在“初始配置任务”（首次安装操作系统时出现的应用程序）中单击“添加角色”。可以在服务器管理器（

11、始终可在“管理工具”菜单上或通过通知区域中的图标使用）中，单击“添加角色”。“添加角色向导”将安装和配置 AD DS 所需的文件安装在服务器上，但不会启动实际的 AD DS 安装。若要启动 AD DS 安装，必须运行 Dcpromo.exe。或者，您也可以：在命令提示符下键入dcpromo，然后按Enter。单击开始，键入dcpromo,然后按Enter。和以前版本的Windows Server操作系统一样，依次单击开始”、“运行”，键入dcpromo，然后单击“确定”。您可以执行RODC分步安装。在这种情况下，不同的用户在不同的时间运行该向导。首先，Domain Admins

12、组的成员使用 Microsoft 管理控制台（MMC）中的 Active Directory 用户和计算机管理单元创建 RODC 帐户。右键单击域控制器”容器或单击域控制器”容器，单击操作”，然后单击预创建只读域控制器帐户” 以启动向导并创建帐户。创建 RODC 帐户时，您可以将 RODC 的安装和管理委派给用户或者安全组（首选）。在将成为 RODC 的服务器上，委派的 RODC 管理员可以通过在命令行运行 dcpromo /UseExistingAccount:Attach 来启动向导。Active Directory 域服务安装向导在该向导的“欢迎使用”页上包含一个新选项，该

13、选项可以启用高级模式作为使用/adv开关(dcpromo /adv)运行dcpromo的备用项。高级模式包含启用更高级配置，以及为有经验的用户提供对操作进行更多控制的其他选项。高级模式中的其他安装选项包括：新建域树。从媒体安装(IFM),可以使用同一域中现有域控制器中的备份媒体，也可以通过在运行WindowsServer 2008或 Windows Server 2008 R2的域控制器上运行ntdsutil ifm命令来创建安装媒体。然后可以在 AD DS 安装期间指向该安装媒体，以降低与初始复制相关的网络流量。选择用于安装的源域控制器。这使您能够控制最初用于将域数据复制到新域控制

14、器的域控制器。修改默认情况下向导生成的 NetBIOS 名称。定义 RODC 的密码复制策略 (PRP)。除了这些更改以外， Active Directory 域服务安装向导还具有新的页面，如下表所述。新的向导页面描述其他域控制器选项指定在安装域控制器期间，还会将域控制器配置为DNS服务器、全局编录服务器还是RODC。RODC也可以为DNS服务器和全局编录服务器。选择域指定安装其他域控制器的域的名称。选择站点指定应该安装域控制器的站点。设置功能级别在安装新域或林期间设置域功能级别和林功能级别。RODC安装和管理的委派指定将在分支机构安装和管理RODC的用户或组的名称。密码复制策略指定允许或

15、拒绝在RODC上缓存的帐户密码。只有选中使用高级模式安装复选框时才会出现此页面。DNS委派创建提供根据域控制器安装类型(在选择部署配置页中指定)的DNS环境创建DNS委派的默认选项。其他改进功能减少了安装 AD DS 期间的出错机会。例如，如果您正在安装其他域控制器，则可以从域树视图中选择域名，而不用键入域名。新的 Active Directory 域服务安装向导还包括以下改进：默认情况下，该向导现在使用当前登录的用户（如果该用户使用域帐户登录）的凭据。如果需要，您也可以指定其他凭据。在向导的“摘要”页上，您可以将所选择的设置导出到相应的答案文件，可以将该文件用作后续操作（安装或卸载）的模板。这样会注释掉对答案文件所做的任何修改。例如，如果您在向导中为目录服务还原模式（DSRM）密码指定一个值，然后将设置导出到答案文件，则此 DSRM 密码不会出现在答案文件中。必须修改答案文件以包含该值。现在您可以忽略答案文件中的管理员密码。而是在答案文件中键入password = *可以确保提示用户提供帐户凭据。现在您可以强制降级以 DSRM 模式启动的域控制器。新的无人参与安装选项

展开阅读全文