Installieren eines Windows Server 2012-Domänencontrollerreplikats in einer vorhandenen Domäne (Stufe 200)

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dieser Artikel beschreibt die erforderlichen Schritte für die Aktualisierung bestehender Gesamtstrukturen oder Domänen auf Windows Server 2012, entweder via Server-Manager oder Windows PowerShell. Sie erfahren, wie Sie die Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, zu einer Domäne hinzufügen können.

Upgrade- und Replikat-Workflow

Das folgende Diagramm zeigt den Konfigurationsprozess für Active Directory-Domänendienste, wenn Sie die AD DS-Rolle zuvor installiert haben und den Konfigurations-Assistenten für die Active Directory-Domänendienste über den Server-Manager gestartet haben, um einen neuen Domänencontroller in einer existierenden Domäne zu erstellen.

Diagram that illustrates the Active Directory Domain Services configuration process when you previously installed the AD DS role.

Upgrade und Replikat mit Windows PowerShell

ADDSDeployment-Cmdlet Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ADPrepCredential

-ApplicationPartitionsToReplicate

-AllowDomainControllerReinstall

-Confirm

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-Force

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoDnsOnNetwork

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SiteName

-SystemKey

-SYSVOLPath

-UseExistingAccount

-Whatif

Hinweis

Das Argument -credential wird nur benötigt, wenn Sie nicht bereits als Mitglied der Gruppen Organisations-Admins und Schema-Admins (für Upgrades der Gesamtstruktur) oder der Gruppe Domänen-Admins (beim Hinzufügen eines neuen Domänencontrollers zu einer existierenden Domäne) angemeldet sind.

Bereitstellung

Bereitstellungskonfiguration

Screenshot that shows the Deployment Configuration page.

In Server-Manager beginnt jede Heraufstufung eines Domänencontrollers auf der Seite Bereitstellungskonfiguration. Die restlichen Optionen und erforderlichen Felder auf dieser Seite und den folgenden Seiten variieren in Abhängigkeit von dem von Ihnen ausgewählten Bereitstellungsvorgang.

Um eine existierende Gesamtstruktur zu aktualisieren oder einen beschreibbaren Domänencontroller zu einer existierenden Domäne hinzuzufügen, klicken Sie auf Domänencontroller vorhandener Domäne hinzufügen und auf Auswählen, um die Domäneninformationen für diese Domäne anzugeben. Server-Manager fordert Sie ggf. zur Eingabe gültiger Anmeldeinformationen auf.

Für das Upgrade einer Gesamtstruktur sind Anmeldeinformationen erforderlich, die Gruppenmitgliedschaften in den beiden Gruppen "Organisations-Admins" und "Schema-Admins" in Windows Server 2012 umfassen. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für die Active Directory-Domänendienste eine Eingabeaufforderung ausgegeben.

Der automatische Adprep-Prozess ist der einzige operative Unterschied zwischen dem Hinzufügen eines Domänencontrollers zu einer existierenden Windows Server 2012-Domäne oder zu einer Domäne, deren Controller unter einer früheren Windows Server-Version laufen.

ADDSDeployment-Cmdlet und Argumente für die Konfiguration der Bereitstellung sind:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Screenshot that shows where you supply the credentials for deployment operation.

Screenshot that shows where to select a domain in the forest where the new domain controller will reside.

Bestimmte Tests werden auf jeder Seite ausgeführt, von denen einige später als eigenständige Voraussetzungstests wiederholt werden. Falls die ausgewählte Domäne z. B. die Mindest-Funktionsebenen erfüllt, müssen Sie nicht den gesamten Weg von der Heraufstufung bis zum Voraussetzungstest durchlaufen, um dies zu erfahren:

Screenshot that highlights the message that states if the selected domain does not meet the minimal functional levels.

Domänencontrolleroptionen

Screenshot that shows the Domain Controller Options page.

Die Seite Domänencontrolleroptionen enthält die Domänencontrollerfunktionen für den neuen Domänencontroller. Die konfigurierbaren Domänencontrollerfunktionen lauten DNS-Server, Globaler Katalog und Schreibgeschützter Domänencontroller. Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. GC ist standardmäßig immer ausgewählt, und DNS-Server ist standardmäßig ausgewählt, wenn die aktuelle Domäne bereits DNS auf deren DCs auf Basis der Autoritätsursprungs-Abfrage hostet. Auf der Seite Domänencontrolleroptionen können Sie unter Standortname den entsprechenden logischen Standortnamen für Active Directory in der Gesamtstrukturkonfiguration auswählen. Standardmäßig ist der Standortname mit dem korrektesten Subnetz ausgewählt. Wenn nur ein Standort vorhanden ist, wird dieser automatisch ausgewählt.

Hinweis

Wenn der Server zu keinem Active Directory-Subnetz gehört und mehrere Active Directory-Standorte vorhanden sind, wird keine Auswahl getroffen, und die Schaltfläche Weiter ist erst wieder verfügbar, nachdem Sie in der Liste einen Standort ausgewählt haben.

Das angegebene Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus muss die Kennwortrichtlinie für den Server erfüllen. Wählen Sie stets ein sicheres, komplexes Kennwort oder bevorzugterweise eine Passphrase aus.

Die ADDSDeployment-Argumente für Domänencontrolleroptionen sind:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>

Wichtig

Der Standortname muss bei der Angabe als Argument für -sitename bereits vorhanden sein. Das install-AddsDomainController-Cmdlet erstellt keine Standorte. Mit dem Cmdlet new-adreplicationsite können Sie neue Standorte erstellen.

Das Argument SafeModeAdministratorPassword funktioniert etwas anders:

  • wenn als Argument nicht angegeben, fordert das Cmdlet Sie auf, ein maskiertes Kennwort einzugeben und zu bestätigen. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

    Um z. B. einen zusätzlichen Domänencontroller in der Domäne treyresearch.net zu erstellen und zur Eingabe eines maskierten Kennworts aufgefordert zu werden:

    Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)

  • wenn mit einem Wert angegeben, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warnung

Da mit der vorherigen Option das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: das Kennwort ist nicht sichtbar.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Zuletzt sollten Sie das verborgene Kennwort in einer Datei speichern und später wiederverwenden, ohne dass jemals das Klartextkennwort erscheint. Beispiel:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warnung

Das Bereitstellen oder Speichern eines Klartext- oder abgeblendeten Kennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen zusehen, kennen dann das DSRM-Kennwort dieses Domänencontrollers. Jede Person mit Zugriff auf die Datei kann das abgeblendete Kennwort extrahieren. Mit diesem Wissen können sie sich bei einem Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus anmelden, einen Identitätswechsel für den Domänencontroller selbst ausführen und ihre Rechte in einer Active Directory-Gesamtstruktur auf die höchste Stufe heraufstufen. Zusätzliche Schritte mit System.Security.Cryptography zur Verschlüsselung der Textdatei werden empfohlen, sind jedoch nicht Teil dieser Anleitung. Generell sollten Sie es vermeiden, Kennwörter zu speichern.

Das ADDSDeployment-Cmdlet bietet eine zusätzliche Option zum Überspringen der automatischen Konfiguration von DNS-Clienteinstellungen, Weiterleitungen und Stammhinweise. Sie können diese Konfiguration nicht überspringen, wenn Sie Server-Manager verwenden. Dieses Argument ist nur relevant, wenn Sie die DNS-Serverrolle vor der Konfiguration des Domänencontrollers installiert haben:

-SkipAutoConfigureDNS

Auf der Seite Domänencontrolleroptionen erhalten Sie eine Warnung, dass Sie keine schreibgeschützten Domänencontroller erstellen können, wenn Ihre existierenden Domänencontroller unter Windows Server 2003 laufen. Diese Warnung ist zu erwarten und kann verworfen werden.

Screenshot that highlights a warning that says that you can't create read only domain controllers if your existing domain controllers run Windows Server 2003.

DNS-Optionen und DNS-Delegierungs-Anmeldeinformationen

Screenshot that shows where you can specify the DNS delegation option.

Auf der Seite DNS-Optionen können Sie die DNS-Delegierung konfigurieren, wenn Sie die Option DNS-Server auf der Seite Domänencontrolleroptionen ausgewählt haben und auf eine Zone verweisen, in der DNS-Delegierungen erlaubt sind. Möglicherweise müssen Sie Anmeldeinformationen eines Benutzers angeben, der Mitglied der Gruppe DNS-Admins ist.

ADDSDeployment-Cmdlet und Argumente für die DNS-Optionen sind:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Screenshot that shows the Windows Security dialog box for supplying credentials for the deployment operation.

Weitere Informationen dazu, ob Sie die DNS-Delegierung aktualisieren müssen, finden Sie unter Grundlegendes zur Zonendelegierung.

Zusätzliche Optionen

Screenshot that shows where you can find the configuration option to name a domain controller as the replication source.

Die Seite Zusätzliche Optionen enthält eine Konfigurationsoption, mit der Sie einen Domänencontroller als Replikationsquelle angeben oder einen beliebigen Domänencontroller als Replikationsquelle verwenden können.

Sie können auch festlegen, dass der Domänencontroller mithilfe gesicherter Medien und der Option %%amp;quot;Installieren von Medium%%amp;quot; (Install from Media, IFM) installiert wird. Wenn Sie das Kontrollkästchen Installieren von Medium markieren, wird eine Option zum Durchsuchen angezeigt, und Sie müssen auf Überprüfen klicken, um sicherzustellen, dass sich am angegebenen Pfad ein gültiges Medium befindet. Von der IFM-Option verwendete Medien dürfen nur mit der Windows Server-Sicherung oder mit Ntdsutil.exe auf einem anderen vorhandenen Windows Server 2012-Computer erstellt werden. Die Verwendung von Windows Server 2008 R2 oder eines vorherigen Betriebssystems zum Erstellen von Medien für einen Windows Server 2012-Domänencontroller ist nicht möglich. Weitere Informationen zu Änderungen in IFM finden Sie unter Anhang für vereinfachte Verwaltung. Wenn die Medien mit einem Systemschlüssel (SYSKEY) geschützt sind, werden Sie während der Überprüfung von Server-Manager zur Eingabe des Kennworts für das Abbild aufgefordert.

Screenshot that shows a terminal window during the installation of a domain controller.

Die ADDSDeployment Windows PowerShell-Argumente für Zusätzliche Optionen sind:

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Paths

Screenshot that shows where you can override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share.

Auf der Seite Pfade können Sie die standardmäßigen Ordnerpfade der AD DS-Datenbank, der Datenbankprotokolle und der SYSVOL-Freigabe überschreiben. Die Standardspeicherorte befinden sich grundsätzlich in Unterverzeichnissen von %systemroot%.

ADDSDeployment-Cmdlet und Argumente für Active Directory-Pfade sind:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Vorbereitungsoptionen

Screenshot that shows the Preparation Options page that alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep).

Die Seite Vorbereitungsoptionen weist Sie darauf hin, dass die AD DS-Konfiguration eine Erweiterung des Schemas (forestprep) und eine Aktualisierung der Domäne umfasst (domainprep). Diese Seite wird nur angezeigt, wenn Gesamtstruktur und Domäne nicht durch eine vorherige Installation eines Windows Server 2012 Domänencontrollers oder durch manuelles Ausführen von Adprep.exe vorbereitet wurden. Der Konfigurations-Assistent für Active Directory-Domänendienste unterdrückt diese Seite beispielsweise, wenn Sie einen neuen Domänencontroller zu einer existierenden Windows Server 2012-Gesamtstruktur-Stammdomäne hinzufügen.

Erweiterung des Schemas und Aktualisierung der Domäne erfolgen noch nicht, wenn Sie auf Weiter klicken. Diese Schritte werden erst während der Installationsphase ausgeführt. Diese Seite weist Sie lediglich auf die Schritte hin, die später bei der Installation ausgeführt werden.

Die Seite prüft außerdem, ob die aktuellen Anmeldeinformationen Mitglieder der Gruppen Schema-Admins und Organisations-Admins sind. Sie müssen Mitglied dieser beiden Gruppen sein, um ein Schema zu erweitern oder eine Domäne vorzubereiten. Klicken Sie auf Ändern, um die entsprechenden Benutzeranmeldeinformationen einzugeben, falls Sie einen Hinweis erhalten, dass die aktuellen Daten keine ausreichenden Berechtigungen haben.

Screenshot that shows the Preparation Options page and highlights the Change button.

Das Argument für das Cmdlet "ADDSDeployment" für "Zusätzliche Optionen" ist:

-adprepcredential <pscredential>

Wichtig

Wie bei früheren Windows Server-Versionen wird GPPREP bei der automatischen Domänenvorbereitung für Domänencontroller unter Windows Server 2012 nicht ausgeführt. Führen Sie adprep.exe /gpprep manuell für alle Domänen aus, die nicht zuvor für Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 vorbereitet wurden. Sie sollten GPPrep nur einmal während der Lebensdauer einer Domäne ausführen, und nicht bei jedem Upgrade. Adprep.exe führe /gpprep nicht automatisch aus, da dieser Vorgang dazu führen kann, dass alle Dateien und Ordner im SYSVOL-Ordner erneut auf allen Domänencontrollern repliziert werden.

Der automatische RODCPrep-Vorgang wird ausgeführt, wenn Sie den ersten nicht gestaffelten RODC in einer Domäne heraufstufen. Der Vorgang wird nicht ausgeführt, wenn Sie den ersten beschreibbaren Windows Server 2012-Domänencontroller heraufstufen. Sie können adprep.exe /rodcprep dennoch manuell ausführen, wenn Sie schreibgeschützte Domänencontroller bereitstellen möchten.

Optionen prüfen und Skript anzeigen

Screenshot that shows the Review Options page which enables you to validate your settings and ensure that they meet your requirements before you start the installation.

Auf der Seite Optionen prüfen können Sie vor dem Starten der Installation Ihre Einstellungen validieren und sicherstellen, dass Ihre Anforderungen erfüllt werden. Dies ist jedoch nicht die letzte Möglichkeit, um die Installation mit Server-Manager zu stoppen. Diese Seite ermöglicht Ihnen lediglich das Überprüfen und Bestätigen Ihrer Einstellungen, bevor Sie die Konfiguration fortsetzen.

Die Seite Optionen prüfen im Server-Manager bietet zudem die optionale Schaltfläche Skript anzeigen zum Erstellen einer Unicode-Textdatei, die die aktuelle ADDSDeployment-Konfiguration als einzelnes Windows PowerShell-Skript enthält. Dies ermöglicht Ihnen die Verwendung der grafischen Oberfläche von Server-Manager als Windows PowerShell-Bereitstellungsstudio. Mithilfe des Konfigurations-Assistenten für die Active Directory-Domänendienste können Sie Optionen konfigurieren, die Konfiguration exportieren und den Assistenten abbrechen. Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt.

Zum Beispiel:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Hinweis

Server-Manager füllt bei der Heraufstufung normalerweise alle Argumente mit Werten aus und verlässt sich nicht auf Standardwerte (da sich diese in zukünftigen Windows-Versionen oder Service Packs ändern können). Die einzige Ausnahme hierbei ist das Argument -safemodeadministratorpassword. Lassen Sie dieses Argument bei der interaktiven Ausführung des Cmdlets aus, um eine Bestätigungsaufforderung zu erzwingen

Verwenden Sie das optionale Whatif-Argument für das Install-ADDSDomainController-Cmdlet, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die impliziten und expliziten Argumentwerte für ein Cmdlet anzeigen.

Screenshot of a terminal window that shows using the optional Whatif argument with the Install-ADDSDomainController cmdlet.

Prüfung der erforderlichen Komponenten

Screenshot that shows the Prerequisites Check page which is a new feature in AD DS domain configuration.

Die Voraussetzungsüberprüfung ist ein neues Feature in der AD DS-Domänenkonfiguration. Diese neue Phase prüft, ob Domäne und Gesamtstruktur in der Lage sind, einen neuen Windows Server 2012-Domänencontroller zu unterstützen.

Bei der Installation eines neuen Domänencontrollers führt der Konfigurations-Assistent des Server-Managers für Active Directory-Domänendienste eine Reihe serialisierter modularer Tests durch. Diese Tests geben anschließend Empfehlungen für Reparaturoptionen aus. Sie können die Tests beliebig oft ausführen. Der Prozess für den Domänencontroller kann erst fortgesetzt werden, wenn alle Voraussetzungstests positiv abgeschlossen wurden.

Bei der Voraussetzungsüberprüfung werden außerdem relevante Informationen wie z. B. Sicherheitsänderungen angezeigt, die ältere Betriebssysteme betreffen.

Weitere Informationen zu den Voraussetzungsprüfungen finden Sie unter Voraussetzungsüberprüfung.

Bei Verwendung des Server-Managers können Sie die Voraussetzungsüberprüfung nicht überspringen. Sie können diese jedoch mit dem folgenden Argument überspringen, wenn Sie das Cmdlet "ADDSDeployment" verwenden:

-skipprechecks

Warnung

Microsoft rät davon ab, die Voraussetzungsüberprüfung zu überspringen, da dies zu einer teilweisen Heraufstufung des Domänencontrollers oder zu einer beschädigten AD DS-Gesamtstruktur führen kann.

Klicken Sie auf Installieren, um mit der Domänencontroller-Heraufstufung zu beginnen. Dies ist die letzte Gelegenheit, um die Installation abzubrechen. Der Heraufstufungsprozess kann während der Ausführung nicht unterbrochen werden. Der Computer wird nach dem Ende der Heraufstufung unabhängig von deren Ergebnis neu gestartet. Die Seite Voraussetzungsüberprüfung zeigt alle beim Prozess aufgetretenen Probleme an und enthält Hinweise zu deren Lösung.

Installation

Screenshot that shows the Installation page.

Wenn die Seite Installation angezeigt wird, beginnt die Konfiguration des Domänencontrollers und kann nicht angehalten oder abgebrochen werden. Detaillierte Informationen werden auf dieser Seite angezeigt und in die Protokolle geschrieben:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (falls der Server zu einer Arbeitsgruppe gehört)

Verwenden Sie das folgende Cmdlet, um eine neue Active Directory-Gesamtstruktur mithilfe des ADDSDeployment-Moduls zu installieren:

Install-addsdomaincontroller

Unter Upgrade und Replikat mit Windows PowerShell finden Sie eine Liste optionaler und benötigter Argumente.

Das Install-AddsDomainController-Cmdlet besteht nur aus zwei Phasen (Voraussetzungsüberprüfung und Installation). Die beiden folgenden Abbildungen zeigen die Installationsphase mit den benötigten Mindestargumenten -domainname und -credential. Beachten Sie, dass der Adprep-Vorgang automatisch beim Hinzufügen des ersten Windows Server 2012-Domänencontrollers zu einer existierenden Windows Server 2003-Gesamtstruktur erfolgt:

Screenshot of a terminal window that shows the installation phase with the minimum required arguments of -domainname and -credential.

Ebenso wie beim Server-Manager werden Sie von Install-ADDSDomainController darauf hingewiesen, dass der Server beim Heraufstufen automatisch neu gestartet wird. Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion-Argument, um den automatischen Neustart am Ende der Heraufstufung zu verhindern.

Warnung

Es wird davon abgeraten, den Neustart zu verhindern. Der Domänencontroller muss neu gestartet werden, um korrekt zu funktionieren.

Screenshot of a terminal window that shows the domain controller reboot process.

Screenshot of a terminal window that shows the successful completion of the domain controller reboot process.

Um einen Domänencontroller remote über Windows PowerShell zu konfigurieren, kapseln Sie das Cmdlet install-addsdomaincontrollerinnerhalb des Cmdlets invoke-command. Verwenden Sie dazu geschweifte Klammern.

invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>

Beispiel:

Install a replica

Hinweis

Weitere Informationen zur Installation und zum Adprep-Prozess finden Sie unter Problembehandlung der Domänencontrollerbereitstellung.

Ergebnisse

Screenshot of the Results page that includes the the success or failure message for the promotion and any important administrative information.

Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Im Erfolgsfall wird der Domänencontroller nach 10 Sekunden automatisch neu gestartet.

Wie bei früheren Windows Server-Versionen wird GPPREP bei der automatischen Domänenvorbereitung für Domänencontroller unter Windows Server 2012 nicht ausgeführt. Führen Sie adprep.exe /gpprep manuell für alle Domänen aus, die nicht zuvor für Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 vorbereitet wurden. Sie sollten GPPrep nur einmal während der Lebensdauer einer Domäne ausführen, und nicht bei jedem Upgrade. Adprep.exe führe /gpprep nicht automatisch aus, da dieser Vorgang dazu führen kann, dass alle Dateien und Ordner im SYSVOL-Ordner erneut auf allen Domänencontrollern repliziert werden.