安装和删除ADDS的已知问题

安装和删除ADDS的已知问题
安装和删除 AD DS 的已知问题
更新时间: 2009年9⽉
应⽤到: Windows Server 2008, Windows Server 2008 R2
安装 Active Directory 域服务 (AD DS) 之前，请查看下列已知问题：
Adprep.exe 问题
Active Directory 域服务安装向导 (Dcpromo.exe) 问题
RODC 安装问题
磁盘空间和组件位置问题
其他 AD DS 服务器⾓⾊问题
对性能计数器的更改
Adprep.exe 问题
Adprep.exe 在 Windows Server 2008 和 Windows Server 2008 R2 中的位置不同。

必须运⾏Adprep.exe 才能将运⾏ Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到现有 Windows 2000 Server 或 Windows Server 2003 Active Directory 环境。

在 Windows Server 2008 中，Adprep.exe 位于操作系统安装磁盘的 /Sources/adprep ⽂件夹中。

在Windows Server 2008 R2 中，Adprep.exe 位于 /Support/adprep ⽂件夹中。

Windows Server 2008 R2 包括 32 位和 64 位版本的 Adprep.exe。

在默认情况下运⾏ 64 位版本。

如果希望在 32位计算机上运⾏ Adprep.exe 命令之⼀，则必须使⽤ Adprep.exe 的 32 位版本。

如果在运⾏adprep /rodcprep命令时应⽤程序⽬录分区的基础结构操作主机不可⽤，则该命令会记录⼀个错误。

该错误指⽰其基础结构操作主机⾓⾊不可⽤的应⽤程序⽬录分区的名称。

有关如何修复此问题的详细信息，请参阅 Microsoft 知识库中的⽂章 949257
(/fwlink/?LinkId=114419)（可能为英⽂⽹页）。

此问题会影响 Windows Server 2008 和 Windows Server 2008 R2 中的adprep /rodcprep命令。

不过，如果已经为Windows Server 2008 运⾏了adprep /rodcprep命令，则不需要为 Windows Server 2008 R2再运⾏该命令。

如果尚未运⾏adprep /rodcprep命令，则在运⾏ NCSecDesc 测试时 Dcdiag.exe 将返回错误。

该测试检查命名上下⽂标题上的安全描述符是否具有相应的复制权限。

该错误指⽰企业域控制器组对 DNS 应⽤程序⽬录分区不具有“复制筛选集中的⽬录更改”访问权限。

如果不计划向林中添加 RODC，则可以忽略此错误。

如果计划向林中添加 RODC，则必须运⾏adprep
/rodcprep。

对于adprep /rodcprep，可以运⾏ Windows Server 2008 或 Windows Server 2008 R2 中显⽰的 Adprep.exe 版本，因为该参数在每个版本中都执⾏⼀组相同的操作。

有关运⾏adprep /rodcprep的详细信息，请参阅为只读域控制器准备林。

在为 Windows Server 2008 R2 运⾏adprep /forestprep时，配置为全局编录服务器的Windows 2000 域控制器将执⾏其部分域副本的完全同步。

这种情况是因为/forestprep操作修改了全局编录的部分属性集 (PAS)。

在重建过程中，可能会降低 Windows 2000 域控制器的性能。

这只是 Windows 2000 域控制器的预期⾏为；更⾼版本的 Windows Server 逐渐添加了其他属性。

为避免完全同步，请将 Windows 2000 域控制器升级到 Windows Server 2003。

还可以降级 Windows 2000 域控制器，但这种做法需要进⾏充分规划，以确保不会出现服务中断。

如果在⾮英⽂版的 Windows 上运⾏ Adprep.exe 或 Adprep32.exe，则不会出现状态和进度信
息。

Active Directory 域服务安装向导 (Dcpromo.exe) 问题
选择安装 DNS 服务器的选项时，可能会收到⼀条消息，指⽰⽆法在⽗区域中为 DNS 服务器创建 DNS 委派，并指⽰应⼿动为 DNS 服务器创建 DNS 委派以确保可靠的名称解析，如下图所⽰。

如果是在林根域或树根域中安装其他域控制器，则不需要创建 DNS 委派。

在这种情况下，请单击“是”并忽略该消息。

如果取消 Active Directory 域服务安装向导，则该向导将关闭，但不会删除 AD DS ⼆进制⽂件。

如果希望卸载⼆进制⽂件，请使⽤服务器管理器卸载 AD DS ⾓⾊或者在命令⾏运⾏dcpromo /uninstallBinaries，然后重新启动计算机。

这适⽤于 Windows Server 2008 或 Windows Server 2008 R2。

RODC 安装问题
如果主域控制器⾓⾊从未由运⾏ Windows Server 2008 或 Windows Server 2008 R2 的域控制器托管并且您从未执⾏只读域控制器 (RODC) 的完全（⾮分步）安装，则使⽤ Active Directory ⽤户和计算机管理单元预先创建 RODC 帐户将失败。

为了避免这个问题，请执⾏下列操作之⼀：
预创建 RODC 帐户之前，将主域控制器 (PDC) 模拟器主机操作（也称为灵活单主机操作或FSMO）⾓⾊传输给运⾏ Windows Server 2008 的服务器之⼀，并且允许密码复制策略 (PRP)组复制。

在命令提⽰符下，使⽤以下命令预创建 RODC 帐户：
dcpromo.exe /createDCaccount /replicaDomainDNSname:<domain_name>
备注
不要使⽤/replicationSourceDC选项。

执⾏ RODC 的完整（⾮分步）安装，然后预创建任何其他 RODC 帐户。

磁盘空间和组件位置问题
从 Windows Server 2003 到 Windows Server 2008 的升级过程要求为新的操作系统映像、安装过程，以及所有已安装的服务器⾓⾊提供可⽤磁盘空间。

当域控制器⾓⾊检测到磁盘空间不⾜以执⾏升级时，将记录错误。

其他磁盘空间信息将显⽰在安装程序显⽰的兼容性报告中。

对于域控制器⾓⾊，承载下列资源的⼀个或多个卷也需要满⾜下列特定的可⽤磁盘空间要求：
应⽤程序数据 (%AppData%)
程序⽂件 (%ProgramFiles%)
⽤户数据 (%SystemDrive%\Documents and Settings)
Windows ⽬录 (%WinDir%)
%WinDir% 卷上的可⽤磁盘空间必须等于或⼤于上⾯列出的资源及其从属⽂件夹（如果位于
%WinDir% 卷上）的当前⼤⼩。

默认情况下，Dcpromo.exe 将 Active Directory 数据库和⽇志⽂件放置在 %Windir% 下，在这种情况下，%Windir% ⽂件夹的可⽤磁盘空间要求还应包含这两个资源的⼤⼩。

例如，假设 %WinDir% 卷上承载了以下资源，其⼤⼩如下表所⽰。

资源⼤⼩
应⽤程序数据 (%AppData%)100 MB
程序⽂件 (%ProgramFiles%)100 MB
⽤户数据 (%SystemDrive%\Documents and Settings)50 MB
Windows ⽬录 (%WinDir%) 1 GB
总⼤⼩ 1.25 GB
在本⽰例中，%WinDir% 卷上的可⽤空间必须等于或⼤于 1.25 千兆字节 (GB)。

然⽽，如果 Active Directory 数据库位于上述任何⽂件夹之外，则承载该数据库的卷必须只包含⾄少等于当前数据库⼤⼩的 10% 或 250 千兆字节 (MB)（取其较⼤者）的额外可⽤磁盘空间。

最后，⽤于承载⽇志⽂件的卷上的可⽤空间必须⾄少为 50 MB。

在默认情况下，在 Windows Server 2003 中安装 Active Directory 时，会将 Active Directory 数据库和⽇志⽂件安装在 %WinDir%\NTDS 下。

在此配置下，系统会将 Ntds.dit 数据库⽂件和所有⽇志⽂件临时复制到隔离位置，然后复制回其原始位置；这就是为什么这些资源要求额外可⽤空间的原因。

虽然 SYSVOL ⽬录也位于 %WinDir% 下（即 %WinDir%\SYSVOL），但系统只移动⽽不复制该⽬录。

因此，该⽬录不要求任何额外可⽤空间。

升级后，为复制的资源保留的空间将返回到⽂件系统。

Windows Server 2008 R2 域控制器上的 Active Directory 数据库 NTDS.dit 可能⽐ Windows 以前版本中的⼤，原因如下：
Windows Server 2008 R2 域控制器上禁⽤了“部分合并”功能。

Windows Server 2008 R2 域控制器在⼤型链接表中添加了两个新索引。

Windows Server 2008 R2 回收站在回收对象⽣存时间内保留已删除对象上的属性。

对于回收站，数据库⼤⼩会在以下时刻增加：
在完成 Windows Server 2008 R2 adprep /forestprep并安装第⼀个 Windows Server 2008 R2域控制器后，有⼀个新索引属性isRecycled，其值是为所有已删除对象设置的。

在启⽤回收站之后，保留了已删除对象上的所有属性。

删除的对象越多，所需的磁盘空间就越多。

在 Microsoft 的 Windows Server 2008 R2 ⽣产域中，使⽤deletedObjectLifetime和recycledObjectLifetime的默认值 180 天，回收站功能将 AD DS 数据库⼤⼩额外增加了原始数据库⼤⼩的 15-20%。

附加空间需求取决于回收对象的⼤⼩和计数。

将域控制器就地升级到 Windows Server 2008 R2 需要⾜够的磁盘空间，以便升级进程复制以下⽂件夹：
%SystemRoot%
%ProgramFiles%
%SystemDrive%\Program Files
%ProgramFiles(x86)%
%SystemDrive%\build
%SystemDrive%\InstalledRepository
%ProfilesFolder%
%ProgramData%
%SystemDrive%\Documents and Settings
下表显⽰了将域控制器从 Windows Server 2008 升级到 Windows Server 2008 R2 的测试结果。

在此表中：
<i> = 15 GB（Windows 硬盘驱动器上 Windows 安装程序要求的最⼩可⽤空间量）
Ntds.dit 的原始⼤⼩为 5 GB。

Ntds.dit 的位
置系统
驱动
器上
的可
⽤空
间
(GB)
结果
Ntds.dit 与系统位于同⼀驱动
器上，但它不在 %windir%⽬录中。

1
在此⽅案中，虽然不需要将 Ntds.dit 从 Windows.old ⽂件夹复制到Windows ⽂件夹，但没有⾜够的空间复制 Windows 安装⽂件。

兼容性报告发现没有⾜够的空间复制 Windows ⽂件。

兼容性报告显⽰升级被阻⽌。

Ntds.dit 与系统
位于不同的驱动器上。

<i>
在此⽅案中，磁盘满⾜安装 Windows ⽂件的最低可⽤空间要求，不需要将 Ntds.dit 从 Windows.old ⽂件夹复制到 Windows ⽂件夹。

兼容性报告警告⽤户，可⽤空间量满⾜最低要求，升级过程会需要较长时间。

域控制器成功升级。

在此⽅案中，磁盘满⾜安装 Windows ⽂件的最低可⽤空间要求，这导致
Ntds.dit 位于以
下默认⽂件夹中：
%windir%\ntds\<i> +
1
在此⽅案中，磁盘满⾜安装 Windows ⽂件的最低可⽤空间要求，这导致绕过兼容性报告。

不过，Ntds.dit 位于 Windows ⽂件夹下，这会导致升级操作将其从 Windows.old ⽂件夹复制到 Windows ⽂件夹。

由于没有将数据库复制到新操作系统，磁盘上没有⾜够的空间满⾜ Ntds.dit 的需求，因此最后⼀步将失败。

在⾸次启动 Windows Server 2008 R2 时，它⽆法找到 Ntds.dit，这会导致错误并强制计算机回滚到以前的操作系统。

ERROR_CODE: (NTSTATUS) 0xc00002ec - 由于下列原因，⽬录服务⽆法启⽤：%hs 错误状态: 0x%x。

请单击“确定”关闭系统。

您可使⽤恢复控制台对系统进⾏进⼀步的诊断。

Err 0xc00002ec = STATUS_DS_INIT_FAILURE_CONSOLE
域控制器成功回滚到 Windows Server 2008。

Ntds.dit 与系统位于同⼀驱动
器上，但它不在 %windir%⽬录中。

<i>
在此⽅案中，磁盘满⾜安装 Windows ⽂件的最低可⽤空间要求，不需要将 Ntds.dit 从 Windows.old ⽂件夹复制到 Windows ⽂件夹。

兼容性报告警告⽤户，可⽤空间量满⾜最低要求，升级过程会需要较长时间。

域控制器成功升级。

在对 SYSVOL 使⽤分布式⽂件系统 (DFS) 复制的 RODC 上，应将 SYSVOL 共享⽂件夹放在与Windows ⽂件夹不同的单独卷上。

将 DFS 只读已复制⽂件夹存储在与 Windows 安装⽂件相同的卷上将导致该卷的性能降低，除⾮安装了其他微筛选器驱动程序，例如防病毒程序或备份程序。

您不能将 SYSVOL 放在驱动器的根⽬录中，如 C:\。

尽管 Active Directory 域服务安装向导允许您指定驱动器的根⽬录作为 SYSVOL 的位置，但 AD DS 的安装随后将失败。

如果将 Active Directory 数据库和⽇志⽂件放置在某个磁盘（不是包含 %systemroot% 的磁盘）的根⽬录中，则会发⽣“停⽌”错误。

如果将这些⽂件放置在不可作为启动设备的某个 iSCSI 驱动器上，也会收到停⽌错误。

这适⽤于 Windows Server 2008 或 Windows Server 2008 R2，并且适⽤新的 AD DS 安装和升级。

为了避免这个问题，请确保 Active Directory 数据库和⽇志⽂件所处的卷不是本地不可删除驱动器的根卷。

某些 iSCSI 设备错误地报告它们是本地驱动器（即使它们不是）。

如果发⽣这种情况，请与驱动器供应商联系以确定是否可以将该硬件配置为启动设备。

如果该硬件不能配置为启动设备，则执⾏以下过程。

移动 Active Directory 数据库和⽇志⽂件的步骤
1. 重新启动计算机，然后在计算机启动的过程中按 F8 进⼊⽬录服务还原模式 (DSRM)。

2. 将 Active Directory 数据库和⽇志⽂件移动到某个⼦⽬录，该⼦⽬录⾄少⽐本地驱动器根
⽬录低⼀个级别。

3. 使⽤ Regedit.exe 查找以下注册表
项：HKLM\System\CurrentControlSet\Services\NTDS\Parameters
4. 将DSA Database File的值更改为第 2 步中的新路径，例如，x:\ntds。

5. 将DSA Working Directory的值更改为第 2 步中的新路径，例如，x:\ntds\logs。

其他 AD DS 服务器⾓⾊问题
运⾏ Windows Server 2008 或 Windows Server 2008 R2 的服务器对计算机浏览器服务的默认启动类型进⾏了更改。

默认启动类型更改为“禁⽤”。

在以前版本的 Windows Server 中，默认启动类型为“⾃动”。

更改默认启动类型后将不再允许匿名访问，这有助于提⾼新服务器安装的默认安全性。

不过，可能会对依赖于计算机浏览器服务才能运⾏的应⽤程序和服务造成负⾯影响。

例如，远程桌⾯可能依赖于计算机浏览器服务才能找到远程计算机。

由于默认启动类型已更改，在撤消运⾏ Windows Server 2000 和 Windows Serer 2003 的域控制器和添加运⾏ Windows Server 2008 或 Windows Server 2008 R2 的域控制器时，可能会意外分解计算机浏览器服务基础架构。

如果需要计算机浏览器服务（例如，为了进⾏应⽤程序或服务⽀持），可以创建⼀个策略，将计算机浏览器的启动类型从“禁⽤”更改为“⾃动”。

运⾏ Windows Server 2008 并且安装了⽇语区域设置的其他域控制器在⼊站复制期间不接收对象某些属性的更新。

可以采取⼀些步骤防⽌发⽣此问题，还可以在已经发⽣此问题时采取⼀些步骤进⾏恢复。

有关详细信息，请参阅 Microsoft 知识库中的⽂章 949189
(/fwlink/?LinkId=114418)（可能为英⽂⽹页）。

此问题不会影响运⾏Windows Server 2008 R2 的域控制器。

将运⾏ Windows Server 2003 的域控制器升级到 Windows Server 2008 或 Windows Server 2008 R2 时，系统将记录有关 Netlogon 服务和 Windows 时间服务的某些错误事件消息，这是设计的结果，您可以安全地忽略这些消息。

因为在升级过程结束时会移动 SYSVOL ⽬录，所以在事件查看器的系统⽇志中，会记录Netlogon 服务的事件 ID 5706。

在升级期间，这可以避免复制。

针对 Windows 时间服务的事件ID 46 表⽰因为未启动 Netlogon 服务，所以启动 Windows 时间服务失败。

在最后⼀次重新启动升级过程之后，SYSVOL ⽬录已被移动，Netlogon 服务和 Windows 时间服务均成功启动。

仅⽀持数据加密标准 (DES) 的客户端将⽆法通过 Netlogon 在运⾏ Windows Server 2008 或Windows Server 2008 R2 的域控制器上建⽴⼀个安全通道。

因此，不安全的域加⼊操作将失败，包括由 Windows 部署服务和 Active Directory 迁移⼯具 (ADMT) 执⾏的操作。

此外，不⽀持 MD5 的⾮ Microsoft 服务器消息块 (SMB) 和⽹络附加存储 (NAS) 设备也将⽆法建⽴安全通道。

为了避免这个问题，请将所有客户端计算机和域控制器升级到 Windows 2000 或更⾼版本。

请与任何⾮ Microsoft SMB 和 NAS 设备的供应商联系以获得⽀持 MD5 的版本。

如果您必须⽀持 DES，则应能够⽀持 Windows NT 4.0 加密。

打开组策略管理管理单元，依次单击“计算机配置”、“管理模板”、“系统”，然后单击Netlogon。

右键单击“允许与Windows NT 4.0 兼容的加密算法”，依次单击“属性”、“已启⽤”，然后单击“确定”。

如果域命名主机操作主机⾓⾊位于运⾏ Windows 2000 Server 的域控制器上，则当新建Windows Server 2008 或 Windows Server 2008 R2 ⼦域或域树时，交叉引⽤对象上不会标记msDS-BehaviorVersion属性。

这可能会导致某些应⽤程序的兼容问题。

尤其是，可以使⽤Dcdiag.exe 执⾏的复制测试将失败。

若要避免此问题，请先将域命名主机⾓⾊传输给运⾏Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的域控制器，然后再新建⼦域或新建树根。

对性能计数器的更改
在 Windows 2000 和 Windows Server 2003 中，Active Directory 性能计数器为单⼀实例并且位于NTDS下。

此外，在 Windows Server 2003 中，Active Directory 应⽤程序模式 (ADAM) 性能计数器为多实例并且位于 ADAM 下。

在 Windows Server 2008 和 Windows Server 2008 R2中，AD DS 和 Active Directory 轻型⽬录服务 (AD LDS) 的性能计数器既位于上述相同位置下，⼜位于DirectoryServices下，即为多实例。

AD DS 性能计数器位于NTDS实例下，⽽ AD LDS 性能计数器位于与 AD LDS 服务名称相对应的实例下（与 Windows Server 2003 中的计数器相同）。

例如，在运⾏ Windows Server 2003 的计算机（安装了 Active Directory 且具有两个名为ADAM_instance1 和 ADAM_instance2 的 ADAM 服务）上，以下名称出现在性能监视器中
的“选定对象的实例”下（其中⽅括号表⽰显⽰的名称）：
NTDS
ADAM [ADAM_instance1]
ADAM [ADAM_instance2]
在运⾏ Windows Server 2008 或 Windows Server 2008 R2 的计算机上，出现以下名称：NTDS
DirectoryServices [NTDS]
DirectoryServices [ADAM_instance1]
DirectoryServices [ADAM_instance2]
在运⾏ Windows Server 2003 且只安装了 Active Directory 的计算机上，出现以下名称：NTDS
在运⾏ Windows Server 2008 或 Windows Server 2008 R2 且只安装了 AD DS 的计算机上，出现以下名称：
NTDS
DirectoryServices [NTDS]
在运⾏ Windows Server 2008 或 Windows Server 2008 R2 且仅安装了名为 ADAM_instance1和 ADAM_instance2 的 AD LDS 实例的计算机上，出现以下名称：
DirectoryServices [ADAM_instance1]
DirectoryServices [ADAM_instance2]
NTDS 块中的计数器是 DirectoryServices [NTDS] 块中计数器的精确副本。

将来，应⽤程序应开始使⽤ DirectoryServices [NTDS] 计数器。

NTDS 块仅⽀持向后兼容，在未来版本的Windows 中可能不复存在。