安装和删除 AD DS 的已知问题

-飞龙在天- 2010-09-19

展开全文

安装和删除 AD DS 的已知问题

更新时间: 2009年9月

应用到: Windows Server 2008, Windows Server 2008 R2

安装 Active Directory 域服务 (AD DS) 之前，请查看下列已知问题：

Adprep.exe 问题

Adprep.exe 在 Windows Server 2008 和 Windows Server 2008 R2 中的位置不同。必须运行 Adprep.exe 才能将运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到现有 Windows 2000 Server 或 Windows Server 2003 Active Directory 环境。在 Windows Server 2008 中，Adprep.exe 位于操作系统安装磁盘的 /Sources/adprep 文件夹中。在 Windows Server 2008 R2 中，Adprep.exe 位于 /Support/adprep 文件夹中。Windows Server 2008 R2 包括 32 位和 64 位版本的 Adprep.exe。在默认情况下运行 64 位版本。如果希望在 32 位计算机上运行 Adprep.exe 命令之一，则必须使用 Adprep.exe 的 32 位版本。
如果在运行 adprep /rodcprep 命令时应用程序目录分区的基础结构操作主机不可用，则该命令会记录一个错误。该错误指示其基础结构操作主机角色不可用的应用程序目录分区的名称。有关如何修复此问题的详细信息，请参阅 Microsoft 知识库中的文章 949257 (http://go.microsoft.com/fwlink/?LinkId=114419)（可能为英文网页）。此问题会影响 Windows Server 2008 和 Windows Server 2008 R2 中的 adprep /rodcprep 命令。不过，如果已经为 Windows Server 2008 运行了 adprep /rodcprep 命令，则不需要为 Windows Server 2008 R2 再运行该命令。
如果尚未运行 adprep /rodcprep 命令，则在运行 NCSecDesc 测试时 Dcdiag.exe 将返回错误。该测试检查命名上下文标题上的安全描述符是否具有相应的复制权限。该错误指示企业域控制器组对 DNS 应用程序目录分区不具有“复制筛选集中的目录更改”访问权限。如果不计划向林中添加 RODC，则可以忽略此错误。如果计划向林中添加 RODC，则必须运行 adprep /rodcprep。对于 adprep /rodcprep，可以运行 Windows Server 2008 或 Windows Server 2008 R2 中显示的 Adprep.exe 版本，因为该参数在每个版本中都执行一组相同的操作。有关运行 adprep /rodcprep 的详细信息，请参阅为只读域控制器准备林。
在为 Windows Server 2008 R2 运行 adprep /forestprep 时，配置为全局编录服务器的 Windows 2000 域控制器将执行其部分域副本的完全同步。这种情况是因为 /forestprep 操作修改了全局编录的部分属性集 (PAS)。在重建过程中，可能会降低 Windows 2000 域控制器的性能。这只是 Windows 2000 域控制器的预期行为；更高版本的 Windows Server 逐渐添加了其他属性。为避免完全同步，请将 Windows 2000 域控制器升级到 Windows Server 2003。还可以降级 Windows 2000 域控制器，但这种做法需要进行充分规划，以确保不会出现服务中断。
如果在非英文版的 Windows 上运行 Adprep.exe 或 Adprep32.exe，则不会出现状态和进度信息。

Active Directory 域服务安装向导 (Dcpromo.exe) 问题

选择安装 DNS 服务器的选项时，可能会收到一条消息，指示无法在父区域中为 DNS 服务器创建 DNS 委派，并指示应手动为 DNS 服务器创建 DNS 委派以确保可靠的名称解析，如下图所示。如果是在林根域或树根域中安装其他域控制器，则不需要创建 DNS 委派。在这种情况下，请单击“是”并忽略该消息。
如果取消 Active Directory 域服务安装向导，则该向导将关闭，但不会删除 AD DS 二进制文件。

如果希望卸载二进制文件，请使用服务器管理器卸载 AD DS 角色或者在命令行运行 dcpromo /uninstallBinaries，然后重新启动计算机。这适用于 Windows Server 2008 或 Windows Server 2008 R2。

RODC 安装问题

如果主域控制器角色从未由运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器托管并且您从未执行只读域控制器 (RODC) 的完全（非分步）安装，则使用 Active Directory 用户和计算机管理单元预先创建 RODC 帐户将失败。

为了避免这个问题，请执行下列操作之一：
- 预创建 RODC 帐户之前，将主域控制器 (PDC) 模拟器主机操作（也称为灵活单主机操作或 FSMO）角色传输给运行 Windows Server 2008 的服务器之一，并且允许密码复制策略 (PRP) 组复制。
- 在命令提示符下，使用以下命令预创建 RODC 帐户：
  
  dcpromo.exe /createDCaccount /replicaDomainDNSname:<domain_name>
备注

不要使用 /replicationSourceDC 选项。
- 执行 RODC 的完整（非分步）安装，然后预创建任何其他 RODC 帐户。

磁盘空间和组件位置问题

从 Windows Server 2003 到 Windows Server 2008 的升级过程要求为新的操作系统映像、安装过程，以及所有已安装的服务器角色提供可用磁盘空间。当域控制器角色检测到磁盘空间不足以执行升级时，将记录错误。

其他磁盘空间信息将显示在安装程序显示的兼容性报告中。

对于域控制器角色，承载下列资源的一个或多个卷也需要满足下列特定的可用磁盘空间要求：

应用程序数据 (%AppData%)
程序文件 (%ProgramFiles%)
用户数据 (%SystemDrive%\Documents and Settings)
Windows 目录 (%WinDir%)

%WinDir% 卷上的可用磁盘空间必须等于或大于上面列出的资源及其从属文件夹（如果位于 %WinDir% 卷上）的当前大小。默认情况下，Dcpromo.exe 将 Active Directory 数据库和日志文件放置在 %Windir% 下，在这种情况下，%Windir% 文件夹的可用磁盘空间要求还应包含这两个资源的大小。

例如，假设 %WinDir% 卷上承载了以下资源，其大小如下表所示。

资源	大小
应用程序数据 (%AppData%)	100 MB
程序文件 (%ProgramFiles%)	100 MB
用户数据 (%SystemDrive%\Documents and Settings)	50 MB
Windows 目录 (%WinDir%)	1 GB
总大小	1.25 GB

在本示例中，%WinDir% 卷上的可用空间必须等于或大于 1.25 千兆字节 (GB)。

然而，如果 Active Directory 数据库位于上述任何文件夹之外，则承载该数据库的卷必须只包含至少等于当前数据库大小的 10% 或 250 千兆字节 (MB)（取其较大者）的额外可用磁盘空间。最后，用于承载日志文件的卷上的可用空间必须至少为 50 MB。

在默认情况下，在 Windows Server 2003 中安装 Active Directory 时，会将 Active Directory 数据库和日志文件安装在 %WinDir%\NTDS 下。在此配置下，系统会将 Ntds.dit 数据库文件和所有日志文件临时复制到隔离位置，然后复制回其原始位置；这就是为什么这些资源要求额外可用空间的原因。虽然 SYSVOL 目录也位于 %WinDir% 下（即 %WinDir%\SYSVOL），但系统只移动而不复制该目录。因此，该目录不要求任何额外可用空间。

升级后，为复制的资源保留的空间将返回到文件系统。

Windows Server 2008 R2 域控制器上的 Active Directory 数据库 NTDS.dit 可能比 Windows 以前版本中的大，原因如下：

Windows Server 2008 R2 域控制器上禁用了“部分合并”功能。
Windows Server 2008 R2 域控制器在大型链接表中添加了两个新索引。
Windows Server 2008 R2 回收站在回收对象生存时间内保留已删除对象上的属性。

对于回收站，数据库大小会在以下时刻增加：
- 在完成 Windows Server 2008 R2 adprep /forestprep 并安装第一个 Windows Server 2008 R2 域控制器后，有一个新索引属性 isRecycled，其值是为所有已删除对象设置的。
- 在启用回收站之后，保留了已删除对象上的所有属性。删除的对象越多，所需的磁盘空间就越多。
在 Microsoft 的 Windows Server 2008 R2 生产域中，使用 deletedObjectLifetime 和 recycledObjectLifetime 的默认值 180 天，回收站功能将 AD DS 数据库大小额外增加了原始数据库大小的 15-20%。附加空间需求取决于回收对象的大小和计数。

将域控制器就地升级到 Windows Server 2008 R2 需要足够的磁盘空间，以便升级进程复制以下文件夹：

%SystemRoot%
%ProgramFiles%
%SystemDrive%\Program Files
%ProgramFiles(x86)%
%SystemDrive%\build
%SystemDrive%\InstalledRepository
%ProfilesFolder%
%ProgramData%
%SystemDrive%\Documents and Settings

下表显示了将域控制器从 Windows Server 2008 升级到 Windows Server 2008 R2 的测试结果。在此表中：

<i> = 15 GB（Windows 硬盘驱动器上 Windows 安装程序要求的最小可用空间量）
Ntds.dit 的原始大小为 5 GB。

Ntds.dit 的位置	系统驱动器上的可用空间 (GB)	结果
Ntds.dit 与系统位于同一驱动器上，但它不在 %windir% 目录中。	1	在此方案中，虽然不需要将 Ntds.dit 从 Windows.old 文件夹复制到 Windows 文件夹，但没有足够的空间复制 Windows 安装文件。兼容性报告发现没有足够的空间复制 Windows 文件。兼容性报告显示升级被阻止。
Ntds.dit 与系统位于不同的驱动器上。	<i>	在此方案中，磁盘满足安装 Windows 文件的最低可用空间要求，不需要将 Ntds.dit 从 Windows.old 文件夹复制到 Windows 文件夹。兼容性报告警告用户，可用空间量满足最低要求，升级过程会需要较长时间。域控制器成功升级。
Ntds.dit 位于以下默认文件夹中： %windir%\ntds\	<i> + 1	在此方案中，磁盘满足安装 Windows 文件的最低可用空间要求，这导致绕过兼容性报告。不过，Ntds.dit 位于 Windows 文件夹下，这会导致升级操作将其从 Windows.old 文件夹复制到 Windows 文件夹。由于没有将数据库复制到新操作系统，磁盘上没有足够的空间满足 Ntds.dit 的需求，因此最后一步将失败。在首次启动 Windows Server 2008 R2 时，它无法找到 Ntds.dit，这会导致错误并强制计算机回滚到以前的操作系统。 ERROR_CODE: (NTSTATUS) 0xc00002ec - 由于下列原因，目录服务无法启用：%hs 错误状态: 0x%x。请单击“确定”关闭系统。您可使用恢复控制台对系统进行进一步的诊断。 Err 0xc00002ec = STATUS_DS_INIT_FAILURE_CONSOLE 域控制器成功回滚到 Windows Server 2008。
Ntds.dit 与系统位于同一驱动器上，但它不在 %windir% 目录中。	<i>	在此方案中，磁盘满足安装 Windows 文件的最低可用空间要求，不需要将 Ntds.dit 从 Windows.old 文件夹复制到 Windows 文件夹。兼容性报告警告用户，可用空间量满足最低要求，升级过程会需要较长时间。域控制器成功升级。

在对 SYSVOL 使用分布式文件系统 (DFS) 复制的 RODC 上，应将 SYSVOL 共享文件夹放在与 Windows 文件夹不同的单独卷上。将 DFS 只读已复制文件夹存储在与 Windows 安装文件相同的卷上将导致该卷的性能降低，除非安装了其他微筛选器驱动程序，例如防病毒程序或备份程序。
您不能将 SYSVOL 放在驱动器的根目录中，如 C:\。尽管 Active Directory 域服务安装向导允许您指定驱动器的根目录作为 SYSVOL 的位置，但 AD DS 的安装随后将失败。
如果将 Active Directory 数据库和日志文件放置在某个磁盘（不是包含 %systemroot% 的磁盘）的根目录中，则会发生“停止”错误。如果将这些文件放置在不可作为启动设备的某个 iSCSI 驱动器上，也会收到停止错误。这适用于 Windows Server 2008 或 Windows Server 2008 R2，并且适用新的 AD DS 安装和升级。

为了避免这个问题，请确保 Active Directory 数据库和日志文件所处的卷不是本地不可删除驱动器的根卷。

某些 iSCSI 设备错误地报告它们是本地驱动器（即使它们不是）。如果发生这种情况，请与驱动器供应商联系以确定是否可以将该硬件配置为启动设备。如果该硬件不能配置为启动设备，则执行以下过程。

移动 Active Directory 数据库和日志文件的步骤
1. 重新启动计算机，然后在计算机启动的过程中按 F8 进入目录服务还原模式 (DSRM)。
2. 将 Active Directory 数据库和日志文件移动到某个子目录，该子目录至少比本地驱动器根目录低一个级别。
3. 使用 Regedit.exe 查找以下注册表项：HKLM\System\CurrentControlSet\Services\NTDS\Parameters
4. 将 DSA Database File 的值更改为第 2 步中的新路径，例如，x:\ntds。
5. 将 DSA Working Directory 的值更改为第 2 步中的新路径，例如，x:\ntds\logs。

其他 AD DS 服务器角色问题

运行 Windows Server 2008 或 Windows Server 2008 R2 的服务器对计算机浏览器服务的默认启动类型进行了更改。默认启动类型更改为“禁用”。在以前版本的 Windows Server 中，默认启动类型为“自动”。更改默认启动类型后将不再允许匿名访问，这有助于提高新服务器安装的默认安全性。

不过，可能会对依赖于计算机浏览器服务才能运行的应用程序和服务造成负面影响。例如，远程桌面可能依赖于计算机浏览器服务才能找到远程计算机。

由于默认启动类型已更改，在撤消运行 Windows Server 2000 和 Windows Serer 2003 的域控制器和添加运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器时，可能会意外分解计算机浏览器服务基础架构。

如果需要计算机浏览器服务（例如，为了进行应用程序或服务支持），可以创建一个策略，将计算机浏览器的启动类型从“禁用”更改为“自动”。
运行 Windows Server 2008 并且安装了日语区域设置的其他域控制器在入站复制期间不接收对象某些属性的更新。可以采取一些步骤防止发生此问题，还可以在已经发生此问题时采取一些步骤进行恢复。有关详细信息，请参阅 Microsoft 知识库中的文章 949189 (http://go.microsoft.com/fwlink/?LinkId=114418)（可能为英文网页）。此问题不会影响运行 Windows Server 2008 R2 的域控制器。
将运行 Windows Server 2003 的域控制器升级到 Windows Server 2008 或 Windows Server 2008 R2 时，系统将记录有关 Netlogon 服务和 Windows 时间服务的某些错误事件消息，这是设计的结果，您可以安全地忽略这些消息。

因为在升级过程结束时会移动 SYSVOL 目录，所以在事件查看器的系统日志中，会记录 Netlogon 服务的事件 ID 5706。在升级期间，这可以避免复制。针对 Windows 时间服务的事件 ID 46 表示因为未启动 Netlogon 服务，所以启动 Windows 时间服务失败。在最后一次重新启动升级过程之后，SYSVOL 目录已被移动，Netlogon 服务和 Windows 时间服务均成功启动。
仅支持数据加密标准 (DES) 的客户端将无法通过 Netlogon 在运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上建立一个安全通道。因此，不安全的域加入操作将失败，包括由 Windows 部署服务和 Active Directory 迁移工具 (ADMT) 执行的操作。此外，不支持 MD5 的非 Microsoft 服务器消息块 (SMB) 和网络附加存储 (NAS) 设备也将无法建立安全通道。

为了避免这个问题，请将所有客户端计算机和域控制器升级到 Windows 2000 或更高版本。请与任何非 Microsoft SMB 和 NAS 设备的供应商联系以获得支持 MD5 的版本。

如果您必须支持 DES，则应能够支持 Windows NT 4.0 加密。打开组策略管理管理单元，依次单击“计算机配置”、“管理模板”、“系统”，然后单击 Netlogon。右键单击“允许与 Windows NT 4.0 兼容的加密算法”，依次单击“属性”、“已启用”，然后单击“确定”。
如果域命名主机操作主机角色位于运行 Windows 2000 Server 的域控制器上，则当新建 Windows Server 2008 或 Windows Server 2008 R2 子域或域树时，交叉引用对象上不会标记 msDS-BehaviorVersion 属性。这可能会导致某些应用程序的兼容问题。尤其是，可以使用 Dcdiag.exe 执行的复制测试将失败。若要避免此问题，请先将域命名主机角色传输给运行 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的域控制器，然后再新建子域或新建树根。

对性能计数器的更改

在 Windows 2000 和 Windows Server 2003 中，Active Directory 性能计数器为单一实例并且位于 NTDS 下。此外，在 Windows Server 2003 中，Active Directory 应用程序模式 (ADAM) 性能计数器为多实例并且位于 ADAM 下。在 Windows Server 2008 和 Windows Server 2008 R2 中，AD DS 和 Active Directory 轻型目录服务 (AD LDS) 的性能计数器既位于上述相同位置下，又位于 DirectoryServices 下，即为多实例。AD DS 性能计数器位于 NTDS 实例下，而 AD LDS 性能计数器位于与 AD LDS 服务名称相对应的实例下（与 Windows Server 2003 中的计数器相同）。

例如，在运行 Windows Server 2003 的计算机（安装了 Active Directory 且具有两个名为 ADAM_instance1 和 ADAM_instance2 的 ADAM 服务）上，以下名称出现在性能监视器中的“选定对象的实例”下（其中方括号表示显示的名称）：