ADPREP в Windows Server 2008
Прежде чем вы cможете поместить контроллеры домена на Windows Server 2008 в существующий домен Windows 2000 или Windows Server 2003, вы должны подготовить лес и домен с помощью утилиты ADPREP. Adprep.exe это инструмент командной строки, который расширяет схему Active Directory и обновляет разрешения, необходимые для подготовки леса и домена к работе с контроллерами домена на ОС Windows Server 2008.
Примечание: ADPREP также была доступна в Windows Server 2003 и Windows Server 2003 R2. В Windows Server 2008, ADPREP работает по той же логике и выполняет аналогичные задачи, которые она выполняла при подготовке обновления схемы до Windows Server 2003 или Windows Server 2003 R2.
Adprep.exe это инструмент командной строки, который доступен на дистрибутиве Windows Server 2008 на установочном диске в папке \sources\adprep.
ADPREP /forestprep необходимо запустить на хозяине схемы в лесу и с правами администратора схемы(Schema Admins) и администратора предприятия (Enterprise Admins).
ADPREP /domainprep должен быть запущен на хозяине инфраструктуры домена и с правами администратора домена.
Важно: Поскольку во время запуска ADPREP у Вас еще нет контроллера домена на Windows Server 2008, должно быть понятно, что эти команды нужно выполнить на работающем контроллере домена под управлением Windows 2000 или Windows Server 2003. Вот почему вы должны убедиться, что вы имеете 32-разрядный дистрибутив Windows Server 2008. Вы не сможете использовать 64-разрядную версию установочного диска для запуска ADPREP на 32-разрядных версиях Windows 2000/2003. Потому, так как установочный диск с Windows Server 2008 по умолчанию 64-разрядной, не забывайте взять 32-разрядную версию. В случае, если у вас нет 32-разрядной версии, вы также можете использовать ознакомительную 32-битную версию Windows Server 2008 для запуска ADPREP ), и использовать ее для запуска ADPREP на ваших 32-битных контроллерах Windows 2000/2003.
Что делает ADPREP?
Перед запуском ADPREP, все контроллеры домена в лесу под управлением Windows 2000 должены быть обновлены до Windows 2000 Service Pack 4 (SP4) или более поздней версии.
Команда ADPREP /forestprep расширяет схему некоторыми новыми классами и атрибутами. Эти новые объекты схемы необходимы для поддержки новых функций в Windows Server 2008. Вы можете увидеть на все расширения схемы, посмотрев на .ldf файлы в каталоге \sources\adprep на установовчном диске с Windows Server 2008 . Эти файлы содержат записи LDIF, которые добавят новые или изменят существующие классы и атрибуты.
ADPREP /domainprep создает новые контейнеры и объекты, модифицирует ACL на некоторые объекты, а также изменяет установки безопасности для группы «Everyone».
Перед тем как запустить run ADPREP /domainprep, вы должны быть уверены, что обновления команды /forestprep были реплицированы на все контроллеры домена в лесу.
Вы можете просмотреть подробный вывод команды ADPREP в лог-файлах в каталоге %Systemroot%\system32\debug\adprep\logs. Каждый раз, когда ADPREP запускается, создается новый файл, который содержит все действия, выполняемые в рамках текущего вызова. Лог-файлы именуются в зависимости от времени и даты запуска ADPREP.
После того как вы выполните обе команды /forestprep и /domainprep, и дадите время для репликации изменений на все контроллеры домена, вы можете начать модернизацию ваших контроллеров домена до Windows Server 2008.
Запуск ADPREP
Для того чтобы запустить ADPREP, вставьте DVD с дистрибутивом Windows Server 2008 в соответствующий контроллер домена Windows 2000/2003, который, как отмечалось выше, должны быть мастером схемы в лесу.
Перейдите в каталог \sources\adprep.
Откройте окно командной строки (меню Пуск> Выполнить> CMD> Enter) и перетащите файл adprep.exe в окно командной строки.
В командной строке введите следующую команду:
adprep /forestprep
В целях предотвращения случайного запуска команды необходимо нажать клавишу «С» на клавиатуре, а затем нажмите Enter. Команда начнет загрузку кучи LDIF-файлов, содержащих все необходимые изменения для внесения в текущую схему. Процесс займет несколько минут.
Когда команда закончится, она вернет вам пустую командную строку. Прежде чем перейти к следующему шагу, убедитесь, что изменения отреплицировались по всем существующим контроллерам домена.
Затем перейдите на хозяина инфраструктуры для каждого домена, который вы хотите обновить. В командной строке введите:
adprep /domainprep
В отличие от процедуры /forestprep, выполнение которой занимает некоторое время, /domainprep выполняется почти мгновенно.
Примечание: существующий домен Windows 2000/2003 должен работать в режиме Native, т.к. BDC (резервные контроллеры) Windows NT 4.0 не поддерживаются контроллерами домена Windows Server 2008. Поэтому, если это не так, то вы получите ошибку:
Adprep detected that the domain is not in native mode
[Status/Consequence]
Adprep has stopped without making changes.
[User Action
Configure the domain to run in native mode and re-run domainprep
Переключите ваш домен в режим Native, и повторите операцию.
Прежде чем перейти к следующему шагу, опять же, убедитесь, что вы все изменения были реплицированы на все контроллеры домена.
Повторите /domainprep для каждого домена в лесу, который требует новых Windows Server 2008 контроллеры домена.
Перейдите на хозяина инфраструктуры в каждом домене, который вы хотите обновить. Выполните следующую команду:
adprep /domainprep /gpprep
Эта команда выполняет те же обновления, что и domainprep, и дополнительно она обновляет функционал Resultant Set of Policy (RSOP).
Заметка: Домен Windows 2003 и RODC
В Windows Server 2008, доступна новая опция установки контроллера домена, называемая » Read Only domain Controller. Я не буду вдаваться в подробности RODC, просто учтите, что для того, чтобы установить первый RODC в существующем лесу Windows Server 2003, в который Вы уже добавили как минимум 1 контроллер на Windows Server 2008 C, Вы должны выполнить следующую команду:
adprep /rodcprep
Эта команда обновляет разрешения на разделы каталога приложения, с целью разрешить репликацию разделов RODC. Эта операция выполняется удаленно, путем соединения с хозяевами инфраструктуры в каждом домене, чтобы обновить разрешения. Вам необходимо запустить эту команду один раз для всего леса. Вы можете запустить эту команду на любом компьютере в лесу с правами администратора предприятия (Enterprise Admins).