Обновление контроллеров домена до Windows Server 2012 R2 и Windows Server 2012

Сценарий Рекомендуемые конфигурации
Под управлением WSUS

— Устанавливать обновления один раз в неделю
— Скорость перезагрузки — Пятница на 11 вечера

Настройте на компьютерах автоматическую установку, запретите автоматическую перезагрузку до указанного времени

Политика. Настройка автоматического обновления (включена)

Настройка автоматического обновления: 4 — автоматически скачивать и запланировать установку

Политика: без автоматического перезапуска для пользователей, вошедших в систему (отключено)

Предельные сроки WSUS: по пятницам в 23:00

Под управлением WSUS

— Установка по ширине в разные часы и дни

Настройте целевые группы компьютеров, которые должны обновляться вместе

Используйте инструкции для предыдущего сценария

Настройте различные предельные сроки для отдельных целевых групп

Не управляется службой WSUS — крайние сроки не поддерживаются

— Установка по ширине в разное время

Политика. Настройка автоматического обновления (включена)

Настройка автоматического обновления: 4 — автоматически скачивать и запланировать установку

Раздел реестра: Включить раздел реестра, описанный в статье базы знаний Майкрософт 2835627

Политика: случайная задержка автоматического обслуживания (включена)

Задайте для параметра Случайная задержка регулярного обслуживания значение PT6H, чтобы задать 6-часовую случайную задержку с указанным ниже поведением.

— Обновления будут устанавливаться в настроенное время обслуживания плюс случайная задержка.

-Restart для каждого компьютера будет выполняться в течение 3 дней позже

Кроме того, можно настроить для каждой группы компьютеров разное время обслуживания.

дополнительные сведения о том, почему группа разработчиков Windows реализовала эти изменения, см. в разделе как уменьшить вероятность появления запроса на перезагрузку компьютера.

Изменения в установке роли сервера доменных служб Active Directory

В ОС начиная с Windows Server 2003 до Windows Server 2008 R2 необходимо было запускать программу командной строки Adprep.exe версии x86 или x64 перед выполнением мастера установки Active Directory, Dcpromo.exe. Программа Dcpromo.exe предусматривала дополнительные варианты установки с носителя или автоматической установки.

Начиная с Windows Server 2012, установка с помощью командной строки выполняется путем использования модуля ADDSDeployment в Windows PowerShell. Повышения роли на основе графического интерфейса пользователя выполняются в диспетчере серверов при помощи абсолютно нового мастера настройки доменных служб Active Directory. Для упрощения установки средство ADPREP было интегрировано в установку доменных служб Active Directory и при необходимости запускается автоматически. мастер настройки AD DS на основе Windows PowerShell автоматически ориентирует роли хозяина схемы и инфраструктуры в доменах, где добавляются контроллеры домена, а затем удаленный запуск необходимых команд ADPREP на соответствующих контроллерах доменов.

Проверка необходимых компонентов в мастере установки доменных служб Active Directory позволяет выявить потенциальные ошибки до начала установки. Возможность исправления ошибок исключает проблемы в случае неполного обновления. Мастер также экспортирует сценарий Windows PowerShell, содержащий все параметры, указанные во время графической установки.

В совокупности изменения процесса установки доменных служб Active Directory упрощают установку ролей контроллеров домена и снижают вероятность административных ошибок, особенно при развертывании нескольких контроллеров в различных регионах и доменах. Более подробные сведения об установке на основе графического интерфейса пользователя и Windows PowerShell, включая синтаксис командной строки и пошаговые инструкции мастера, см. в разделе Установка доменных служб Active Directory. Администраторы, желающие управлять изменениями схемы в лесу Active Directory независимо от установки контроллеров домена Windows Server 2012 в существующем лесу, могут выполнять команды Adprep.exe в командной строке с повышенными привилегиями.

Нерекомендуемые компоненты и изменения в поведении, связанные с доменными службами Active Directory в Windows Server 2012

Был внесен ряд изменений, связанных с доменными службами Active Directory.

  • Не рекомендуется к использованию программа Adprep32.exe
    • Есть только одна версия программы Adprep.exe, и при необходимости ее можно запускать на 64-разрядных серверах с ОС Windows Server 2008 или более новых версий. Программу можно и нужно запускать удаленно, если целевая роль хозяина операций размещается в 32-разрядной операционной системе или в Windows Server 2003.
  • Не рекомендуется к использованию программа Dcpromo.exe
    • Dcpromo является устаревшим, хотя в Windows Server 2012 его все равно можно запустить с помощью файла ответов или параметров командной строки, чтобы предоставить организациям время на переход к новым параметрам установки Windows PowerShell.
  • Хэш LM отключен для учетных записей пользователей

начиная с Windows server 2008, контроллеры домена также имеют следующие параметры безопасности по умолчанию, по сравнению с контроллерами домена, на которых выполняется Windows Server 2003 или Windows 2000:

Тип или политика шифрования Состояние по умолчанию в Windows Server 2008 Состояние по умолчанию в Windows Server 2012 и Windows Server 2008 R2 Комментировать
AllowNT4Crypto Выключено Выключено Сторонние клиенты SMB могут быть несовместимы с параметрами безопасности по умолчанию на контроллерах домена. В любом случае эти параметры можно настроить, чтобы разрешить взаимодействие, но только за счет ухудшения безопасности. Дополнительные сведения см. в статье 942564 базы знаний Майкрософт ( ).
DES Активировано Отключен Статья 977321 в базе знаний Майкрософт ( )
CBT/расширенная защита для встроенной проверки подлинности Н/Д Включено См. рекомендации Майкрософт по безопасности (937811) ( ) и статью 976918 в базе знаний Майкрософт ( ).

При необходимости проверьте и установите исправление в статье 977073 ( ) в базе знаний Майкрософт.

LMv2 Активировано Отключен Статья 976918 в базе знаний Майкрософт ( )

Требования к операционной системе

минимальные требования к системе для Windows Server 2012 перечислены в следующей таблице. Более подробные сведения о требованиях к системе и необходимых действиях перед началом установки см. в разделе Установка Windows Server 2012. Для установки нового леса Active Directory нет дополнительных требований к системе, но следует добавить достаточный объем памяти для кэширования содержимого базы данных Active Directory, чтобы улучшить производительность контроллеров домена, запросов LDAP-клиентов и приложений с поддержкой Active Directory. При обновлении существующего или добавлении нового контроллера домена в существующий лес прочтите следующий раздел, чтобы проверить, соответствует ли сервер требованиям к дисковому пространству.

Требование Применение
Процессор 64-разрядный процессор с тактовой частотой 1,4 ГГц
ОЗУ 512 Мб
Требования к месту на диске 32 ГБ
Разрешение экрана 800 x 600 или выше
Прочее DVD-дисковод, клавиатура, доступ к Интернету

Требования к дисковому пространству для обновления контроллеров домена

в этом разделе описаны требования к дисковому пространству только для обновления контроллеров домена с Windows server 2008 или Windows server 2008 R2. Дополнительные сведения о требованиях к дисковому пространству для обновления контроллеров домена до более ранних версий Windows Server см. в разделе Требования к дисковому пространству для обновления до Windows Server 2008 или Требования к дисковому пространству для обновления до Windows Server 2008 R2.

Определите параметры диска, где размещаются база данных Active Directory и файлы журнала. Диск должен вмещать пользовательские и управляемые приложениями расширения схемы; индексы, инициированные приложениями и администратором; а также предусматривать место для объектов и атрибутов, которые вы будете добавлять в каталог в течение срока службы контроллера домена (обычно он составляет от 5 до 8 лет). Экономически эффективнее вложить средства в правильное определение параметров на этапе развертывания, чем впоследствии тратить средства на увеличение дискового пространства. Дополнительные сведения см. в разделе Планирование мощности для доменных служб Active Directory.

Перед началом обновления операционной системы убедитесь в том, что на контроллерах домена, которые планируется обновить, имеется хотя бы 20 % свободного места на диске, на котором расположена база данных Active Directory (NTDS.DIT). Если на диске недостаточно свободного места в томе, может произойти сбой обновления и отчет о совместимости обновления вернет сообщение об ошибке с указанием, что свободного места на диске недостаточно:

В этом случае можно попытаться выполнить автономную дефрагментацию базы данных Active Directory, чтобы освободить дополнительное пространство, а затем повторить обновление. Дополнительные сведения см. в разделе Дефрагментация файла базы данных каталога (автономная дефрагментация).

Доступные номера SKU

Существует 4 выпуска Windows Server: Foundation, Essentials, Standard и Datacenter. Два выпуска поддерживают роль доменных служб Active Directory — Standard и Datacenter.

Выпуски предыдущих версий Windows Server различались уровнем поддержки ролей сервера, количеством процессоров и поддержкой большого объема памяти. выпуски standard и datacenter для Windows Server поддерживают все функции и базовое оборудование, но различные права на их виртуализацию — два виртуальных экземпляра разрешены для выпуска Standard и неограниченные виртуальные экземпляры, разрешенные для выпуска datacenter.

Клиентские и серверные ОС Windows, для которых поддерживается присоединение к доменам Windows Server

На компьютерах — членах домена с контроллерами домена под управлением Windows Server 2012 или более поздней версии поддерживаются следующие клиентские и серверные ОС Windows.

  • Серверные операционные системы: Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2, Windows Server 2003

Поддерживаемые варианты обновления на месте

контроллеры домена, на которых работают 64-разрядные версии Windows server 2008 или Windows server 2008 R2, можно обновить до Windows Server 2012. Обновление контроллеров домена под управлением Windows Server 2003 или 32-разрядных версий Windows Server 2008 невозможно. Чтобы их заменить, установите в домене контроллеры домена с более поздней версией Windows Server, а затем удалите контроллеры домена с Windows Server 2003.

Используемый выпуск Доступно обновление до следующих выпусков
Windows Server 2008 Standard с пакетом обновления 2 (SP2)

OR

Windows Server 2008 Enterprise с пакетом обновления 2 (SP2)

Windows Server 2012 Standard

OR

Windows Server 2012 Datacenter

Windows Server 2008 Datacenter с пакетом обновления 2 (SP2) Windows Server 2012 Datacenter
Windows Web Server 2008 Windows Server 2012 Standard
Windows Server 2008 R2 Standard с пакетом обновления 1 (SP1)

OR

Windows Server 2008 R2 Enterprise с пакетом обновления 1 (SP1)

Windows Server 2012 Standard

OR

Windows Server 2012 Datacenter

Windows Server 2008 R2 Datacenter с пакетом обновления 1 (SP1) Windows Server 2012 Datacenter
Windows Web Server 2008 R2 Windows Server 2012 Standard

Дополнительные сведения о поддерживаемых способах обновления см. в разделе Ознакомительные версии и варианты обновления для Windows Server 2012. Обратите внимание: контроллер домена под управлением ознакомительной версии Windows Server 2012 нельзя преобразовать непосредственно в розничную версию. Вместо этого установите дополнительный контроллер домена на сервере с установленной розничной версией и удалите доменные службы Active Directory с контроллера домена, работающего под управлением ознакомительной версии.

из-за известной проблемы невозможно обновить контроллер домена, на котором установлена установка server core Windows server 2008 R2, в установку server core Windows Server 2012. Обновление зависнет с черным экраном на позднем этапе. При перезагрузке контроллеров домена в файле boot.ini появляется возможность отката к предыдущей версии операционной системы. При дополнительной перезагрузке происходит автоматический откат к предыдущей версии операционной системы. пока решение не будет доступно, рекомендуется установить новый контроллер домена, на котором выполняется установка server core Windows Server 2012 вместо обновления на месте существующего контроллера домена, на котором выполняется установка server core Windows Server 2008 R2. Дополнительные сведения см. в статье базы знаний 2734222.

Возможности режимов работы и требования

для Windows Server 2012 требуется функциональный уровень леса Windows Server 2003. это значит, что перед добавлением контроллера домена, выполняющего Windows Server 2012 к существующему Active Directory лесу, режим работы леса должен быть Windows Server 2003 или более поздней версии. Следовательно, контроллеры домена под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 могут работать в одном и том же лесу, но контроллеры домена под управлением Windows 2000 Server не поддерживаются и будут препятствовать установке контроллеров домена под управлением Windows Server 2012. Если в лесу есть контроллеры домена под управлением Windows Server 2003 или новее, но режим работы леса соответствует Windows 2000, то установка также блокируется.

Контроллеры домена под управлением Windows 2000 необходимо удалить, прежде чем добавлять в лес контроллеры домена под управлением Windows Server 2012. В этом случае порядок действий будет следующим.

  1. Установите контроллеры домена под управлением Windows Server 2003 или более поздней версии. Эти контроллеры домена можно развертывать в ознакомительной версии Windows Server. Для этого шага нужно также запустить программу adprep.exe для соответствующей операционной системы.
  2. Удалите контроллеры домена под управлением Windows 2000. В частности, надлежащим образом понизьте уровень контроллеров домена под управлением Windows Server 2000 или принудительно удалите их из домена и при помощи компонента "Пользователи и компьютеры Active Directory" удалите учетные записи для всех удаленных контроллеров домена.
  3. Повысьте режим работы леса до Windows Server 2003 или выше.
  4. Установите контроллеры домен с Windows Server 2012.
  5. Удалите контроллеры домена под управлением более ранних версий Windows Server.

новый функциональный уровень Windows Server 2012 домена включает в себя одну новую функцию: поддержка kdc для утверждений, составной проверки подлинности и защищенного шаблона центра распространения ключей Kerberos с помощью административных шаблонов KDC имеет два параметра (всегда предоставляют утверждения и незащищенные запросы проверки подлинности), требующие Windows Server 2012 функционального уровня домена.

функциональный уровень Windows Server 2012 леса не предоставляет новых функций, но гарантирует, что любой новый домен, созданный в лесу, будет автоматически работать на Windows Server 2012 режиме работы домена. Windows Server 2012 функциональный уровень домена не предоставляет другие новые возможности помимо поддержки KDC для утверждений, составной проверки подлинности и защиты Kerberos. Но это гарантирует, что любой контроллер домена в домене будет выполняться Windows Server 2012. Дополнительные сведения о других возможностях, доступных при разных режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).

после настройки функционального уровня леса на определенное значение невозможно выполнить откат или понижение режима работы леса, за исключением следующих: после повышения функционального уровня леса для Windows Server 2012 можно уменьшить его до Windows Server 2008 R2. если Active Directory корзина не включена, можно также понизить режим работы леса с Windows Server 2012 до Windows server 2008 R2 или Windows server 2008 или Windows server 2008 r2 обратно в Windows server 2008. если для режима работы леса задано значение Windows Server 2008 R2, откат не может быть выполнен, например, для Windows Server 2003.

после настройки режима работы домена на определенное значение невозможно выполнить откат или понижение режима работы домена, за исключением следующих исключений: при повышении режима работы домена до Windows server 2008 R2 или Windows Server 2012 и если режим работы леса Windows сервер 2008 или более низкий, можно вернуть режим работы домена к Windows server 2008 или Windows server 2008 R2. режим работы домена можно уменьшить только от Windows Server 2012 до Windows server 2008 r2 или Windows server 2008 или Windows server 2008 R2 до Windows server 2008. если для функционального уровня домена задано значение Windows Server 2008 R2, откат не может быть выполнен, например, для Windows Server 2003.

Дополнительные сведения о возможностях, доступных при более низких режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS).

помимо функциональных уровней, контроллер домена, выполняющий Windows Server 2012, предоставляет дополнительные функции, недоступные на контроллере домена под управлением более ранней версии Windows Server. например, контроллер домена, выполняющий Windows Server 2012, можно использовать для клонирования виртуального контроллера домена, в то время как контроллер домена, работающий под управлением более ранней версии сервера Windows, не может. однако для клонирования виртуального контроллера домена и защиты виртуального контроллера домена в Windows Server 2012 не предъявляются требования к функциональному уровню.

Примечание

В Microsoft Exchange Server 2013 требуется режим работы леса Windows Server 2003 или выше.

Взаимодействие доменных служб Active Directory с другими ролями сервера и операционными системами Windows

Доменные службы Active Directory не поддерживаются в следующих операционных системах Windows:

  • Windows MultiPoint Server
  • Windows Server 2012 Essentials

Доменные службы Active Directory нельзя установить на сервере, на котором выполняются следующие роли или службы ролей:

  • Сервер Hyper-V
  • Посредник подключений к удаленному рабочему столу

Роли хозяина операций

некоторые новые функции в Windows Server 2012 влияют на роли хозяина операций:

  • эмулятор PDC должен работать Windows Server 2012 для поддержки клонирования виртуальных контроллеров домена. Существуют дополнительные требования для клонирования контроллеров домена. Дополнительные сведения см. в разделе Виртуализация доменных служб Active Directory (AD DS).
  • Новые субъекты безопасности создаются при запуске эмулятора PDC Windows Server 2012.
  • Хозяин RID имеет новую выдачу RID и функции наблюдения. Усовершенствования включают в себя улучшенный журнал событий, более подходящие ограничения и способность в экстренных случаях увеличивать общее распределение относительного идентификатора RID в пуле на один бит. Дополнительные сведения см. в статье Управление выдачей RID.

Примечание

Несмотря на то что они не являются ролями хозяина операций, другое изменение в AD DS установки заключается в том, что роль DNS-сервера и глобальный каталог устанавливаются по умолчанию на всех контроллерах домена, на которых выполняется Windows Server 2012.

Виртуализация контроллеров домена

улучшения AD DS, начиная с Windows Server 2012, обеспечивают безопасную виртуализацию контроллеров домена и возможность клонировать контроллеры домена. Клонирование контроллеров домена, в свою очередь, обеспечивает быстрое развертывание дополнительных контроллеров домена в новом домене и другие преимущества. Дополнительные сведения см. в разделе Знакомство с виртуализацией доменных служб Active Directory (уровень 100).

Администрирование серверов Windows Server 2012

используйте средства удаленного администрирования сервера для Windows 8 управления контроллерами домена и другими серверами, на которых выполняется Windows Server 2012. Windows Server 2012 средства удаленного администрирования сервера можно запустить на компьютере, на котором выполняется Windows 8.

Совместимость приложений

В следующей таблице приведены типовые приложения Майкрософт с интеграцией Active Directory. В таблице перечислены версии Windows Server, в которых можно установить эти приложения, и указано, влияет ли установка контроллеров домена под управлением Windows Server 2012 на совместимость приложений.

Продукт Примечания
Microsoft SharePoint 2010 Для установки и использования SharePoint 2010 на серверах Windows Server 2012
необходимо установить SharePoint 2010 с пакетом обновления 2.

Для установки и использования SharePoint 2010 Foundation на серверах Windows Server 2012 необходимо установить SharePoint 2010 Foundation с пакетом обновления 2.

Процесс установки SharePoint Server 2010 (без пакетов обновления) на серверах Windows Server 2012 завершается ошибкой

сбой установщика необходимых компонентов SharePoint Server 2010 (PrerequisiteInstaller.exe) с ошибкой "эта программа имеет проблемы совместимости". при выборе пункта "запустить программу без получения справки" отображается сообщение об ошибке "проверка возможности установки SharePoint | SharePoint Server 2010 (без пакетов обновления) нельзя установить на Windows Server 2012 ".

Microsoft SharePoint 2013 Минимальные требования для сервера базы данных в ферме

Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter

Минимальные требования для единственного сервера со встроенной базой данных:

Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter

Минимальные требования для интерфейсных веб-серверов и серверов приложений в ферме:

Windows Server 2008 R2 с пакетом обновления 1 (SP1) в 64-разрядных выпусках Standard, Enterprise или Datacenter либо Windows Server 2012 в 64-разрядных выпусках Standard или Datacenter.

Configuration Manager 2012 Configuration Manager 2012 с пакетом обновления 1 (SP1):

После выпуска пакета обновления 1 Майкрософт добавит следующие операционные системы в матрицу поддержки клиентов:

— Windows 8 Профессиональная
— Windows 8 Корпоративная
— Windows Server 2012 Standard
— Windows Server 2012 Datacenter

Все роли серверов сайта, включая серверы сайта, поставщиков SMS и точки управления, можно развертывать на серверах со следующими выпусками операционных систем:

— Windows Server 2012 Standard
— Windows Server 2012 Datacenter

Microsoft Endpoint Configuration Manager (текущая ветвь) Поддерживаемые операционные системы для Configuration Manager серверов системы сайта.
Microsoft Lync Server 2013 Lync Server 2013 требуется с платформами Windows Server 2008 R2 или Windows Server 2012. Это программное обеспечение нельзя запустить на сервере с установленными основными серверными компонентами. Его можно запускать на виртуальных серверах.
Lync Server 2010 Lync Server 2010 можно установить на новой (необновленной) платформе Windows Server 2012, если установлены накопительные пакеты обновления для Lync Server за октябрь 2012 года . Обновление операционной системы до Windows Server 2012 для существующей установки Lync Server 2010 не поддерживается. Сервер группового чата Microsoft Lync Server 2010 также не поддерживается на платформе Windows Server 2012.
System Center 2012 Endpoint Protection После выпуска System Center 2012 Endpoint Protection с пакетом обновления 1 в матрицу поддержки клиентов будут добавлены следующие операционные системы:

— Windows 8 Профессиональная
— Windows 8 Корпоративная
— Windows Server 2012 Standard
— Windows Server 2012 Datacenter

System Center 2012 Forefront Endpoint Protection После выпуска FEP 2010 с накопительным пакетом обновления 1 в матрицу поддержки клиентов будут добавлены следующие операционные системы:

— Windows 8 Профессиональная
— Windows 8 Корпоративная
— Windows Server 2012 Standard
— Windows Server 2012 Datacenter

Forefront Threat Management Gateway (TMG) TMG поддерживается только в Windows Server 2008 и Windows Server 2008 R2. Подробнее см. в разделе Требования к системе для Forefront TMG.
Службы Windows Server Update Services Этот выпуск служб WSUS уже поддерживает компьютеры под управлением Windows 8 и компьютеры под управлением Windows Server 2012 в качестве клиентов.
Службы Windows Server Update Services 3.0 обновление статьи базы знаний 2734608 позволяет серверам под управлением Windows Server Update Services (WSUS) 3,0 с пакетом обновления 2 (SP2) предоставлять обновления для компьютеров под управлением Windows 8 или Windows Server 2012: примечание. клиенты с автономными средами wsus 3,0 с пакетом обновления 2 (sp2) или Configuration Manager 2007. в среде wsus 3,0 sp2 для правильного управления компьютерами на основе Windows 8 или на Windows Server 2012 компьютерах в качестве клиентов требуется 2734608 .
Exchange 2013 Windows Server 2012 Standard и Datacenter поддерживаются для следующих ролей: хозяин схемы, сервер глобального каталога, контроллер домена, почтовый ящик и роль сервера клиентского доступа

Режим работы леса: Windows Server 2003 или выше

Источник: требования к системе для Exchange 2013

Exchange 2010 Источник: Exchange 2010 с пакетом обновления 3

Exchange 2010 с пакетом обновления 3 можно установить на рядовых серверах Windows Server 2012.

В разделеТребования к системе для Exchange 2010 указаны последние поддерживаемые роли хозяина схемы, глобального каталога и контроллера домена для Windows Server 2008 R2.

Режим работы леса: Windows Server 2003 или выше

SQL Server 2012 Источник: статья базы знаний 2681562

SQL Server 2012 RTM поддерживается в Windows Server 2012.

SQL Server 2008 R2 Источник: статья базы знаний 2681562

Для установки на сервере Windows Server 2012 требуется SQL Server 2008 R2 с пакетом обновления 1 или новее.

SQL Server 2008 Источник: статья базы знаний 2681562

Для установки на сервере Windows Server 2012 требуется SQL Server 2008 с пакетом обновления 3 или новее.

SQL Server 2005 Источник: статья базы знаний 2681562

Установка на сервере Windows Server 2012 не поддерживается.

Известные проблемы

В следующей таблице перечислены известные проблемы, связанные с установкой AD DS.

Номер и название статьи базы знаний Затрагиваемая технологическая область Описание проблемы
2830145: Идентификаторы SID S-1-18-1 и SID S-1-18-2 нельзя сопоставить на компьютерах с ОС Windows 7 или Windows Server 2008 R2 в среде домена Управление AD DS, совместимость приложений Приложения, сопоставленные с идентификаторами безопасности SID S-1-18-1 и SID S-1-18-2, которые появились в Windows Server 2012, могут давать сбои, так как эти идентификаторы SID невозможно разрешить на компьютерах с ОС Windows 7 или Windows Server 2008 R2. Чтобы устранить эту проблему, установите исправление на компьютерах с ОС Windows 7 и Windows Server 2008 R2 в домене.
2737129: Подготовка групповой политики не выполняется при автоматической подготовке существующего домена для Windows Server 2012 Установка доменных служб Active Directory Программа Adprep /domainprep /gpprep не запускается автоматически в рамках установки первого контроллера домена под управлением Windows Server 2012 в домене. Если программа ранее не запускалась в домене, ее необходимо запустить вручную.
2737416: При развертывании контроллера домена с использованием Windows PowerShell выводятся многократные предупреждения Установка доменных служб Active Directory Предупреждения могут появляться в ходе проверки необходимых компонентов и затем снова возникать в процессе установки.
2737424: Возникает ошибка "Неверный формат имени домена" при попытке удалить доменные службы Active Directory с контроллера домена Установка доменных служб Active Directory Эта ошибка возникает при удалении последнего контроллера домена в домене, где существуют ранее созданные учетные записи контроллеров домена только для чтения. Эта ошибка затрагивает Windows Server 2012, Windows Server 2008 R2 и Windows Server 2008.
2737463: Контроллер домена не запускается, появляется ошибка c00002e2 или сообщение "Выберите параметр" Установка доменных служб Active Directory Контроллер домена не запускается потому, что администратор использовал средства Dism.exe, Pkgmgr.exe или Ocsetup.exe для удаления роли DirectoryServices-DomainController.
2737516: Ограничения проверки IFM в диспетчере серверов Windows Server 2012 Установка доменных служб Active Directory Проверка IFM может иметь ограничения, которые объясняются в статье базы знаний.
2737535: Командлет Install-AddsDomainController возвращает ошибку настройки параметра для контроллера домена только для чтения Установка доменных служб Active Directory Ошибка может возникнуть при попытке связать сервер с учетной записью контроллера домена только для чтения, если вы указываете аргументы, уже заданные в ранее созданной учетной записи этого контроллера.
2737560: Возникает ошибка "Не удалось выполнить проверку конфликтов схемы Exchange", и происходит сбой проверки предварительных требований Установка доменных служб Active Directory Сбой проверки предварительных требований возникает при настройке первого контроллера домена под управлением Windows Server 2012 в существующем домене, поскольку на контроллерах домена отсутствует параметр SeServiceLogonRight для сетевой службы либо поскольку заблокированы инструментарий WMI или протоколы DCOM.
2737797: Модуль AddsDeployment с аргументом -Whatif показывает неправильные результаты для DNS Установка доменных служб Active Directory Параметр-WhatIf показывает, что DNS-сервер не будет установлен, но будет иметь значение.
2737807: Кнопка "Далее" недоступна на странице "Параметры контроллера домена" Установка доменных служб Active Directory Кнопка "Далее" не работает на странице "Параметры контроллера домена" потому, что IP-адрес целевого контроллера домена не сопоставлен с существующей подсетью или сайтом, либо потому, что пароль DSRM не был надлежащим образом введен и подтвержден.
2737935: Установка Active Directory зависает на этапе "Создание объекта параметров NTDS" Установка доменных служб Active Directory Установка зависает потому, что пароль локального администратора совпадает с паролем администратора домена, или потому, что сетевые неполадки мешают критически важной репликации.
2738060: Появляется сообщение "Отказано в доступе" при удаленном создании дочернего домена с помощью командлета Install-AddsDomain Установка доменных служб Active Directory Это сообщение об ошибке появляется при запуске командлета Install-ADDSDomain с параметром Invoke-Command, если DNSDelegationCredential имеет неверный пароль.
2738697: Возникает ошибка настройки контроллера домена "Сервер неработоспособен" при настройке сервера с помощью диспетчера сервера Установка доменных служб Active Directory Это сообщение об ошибке появляется при попытке установить доменные службы Active Directory на компьютере рабочей группы, потому что отключена проверка подлинности NTLM.
2738746: Возникают ошибки "Отказано в доступе" после входа в систему с учетной записью локального администратора домена Установка доменных служб Active Directory Когда вы входите с учетной записью локального администратора, а не со встроенной учетной записью администратора и затем создаете новый домен, учетная запись не добавляется в группу администраторов домена.
2743345: Возникает ошибка Adprep /gpprep "Не удается найти указанный файл", или происходит аварийный сбой программы Установка доменных служб Active Directory Это сообщение об ошибке появляется при запуске программы adprep /gpprep, поскольку хозяин инфраструктуры реализует несвязанное пространство имен.
2743367: Возникает ошибка Adprep "Недействительное приложение Win32" в 64-разрядной версии Windows Server 2003 Установка доменных служб Active Directory Это сообщение об ошибке появляется потому, что программу Adprep для Windows Server 2012 нельзя запускать в Windows Server 2003.
2753560: Возникают ошибки установки ADMT 3.2 и PES 3.1 в Windows Server 2012 ADMT ADMT 3.2 изначально нельзя установить в Windows Server 2012.
2750857: Диагностические отчеты по репликации DFS некорректно отображаются в Internet Explorer 10 Репликация DFS Диагностический отчет по репликации DFS некорректно отображается из-за изменений в Internet Explorer 10.
2741537: Пользователи могут просматривать обновления в удаленной групповой политике Групповая политика Это связано с тем, что назначенные задания выполняются в контексте каждого пользователя, выполнившего вход в систему. Для планировщика заданий Windows в этом случае требуется интерактивное приглашение.
2741591: Файлы ADM отсутствуют в SYSVOL в параметре "Состояние инфраструктуры консоли управления групповыми политиками" Групповая политика Репликация GP может сообщить о состоянии "выполняется репликация", так как состояние инфраструктуры GPMC не соответствует настроенным правилам фильтрации.
2737880: Возникает ошибка "Запуск службы невозможен" во время настройки доменных служб Active Directory Клонирование виртуального контроллера домена Это сообщение об ошибке появляется во время установки или удаления доменных служб Active Directory либо во время клонирования, потому что отключена служба сервера с ролью DS.
2742836: При использовании функции клонирования виртуального контроллера домена создаются две аренды DHCP для каждого контроллера домена Клонирование виртуального контроллера домена Это связано с тем, что клонированный контроллер домена получил аренду до клонирования и повторно после завершения клонирования.
2742844: Клонирование контроллера домена завершается сбоем, и сервер перезагружается в режиме DSRM в Windows Server 2012 Клонирование виртуального контроллера домена Клонированный контроллер домена запускается в режиме DSRM, потому что клонирование завершилось сбоем по разным причинам, указанным в статье базы знаний.
2742874: При клонировании контроллера домена создаются заново не все имена субъектов-служб Клонирование виртуального контроллера домена Некоторые сторонние имена субъектов-служб не создаются заново на клонированном контроллере домена из-за ограничения процесса переименования домена.
2742908: После клонирования контроллера домена возникает ошибка "Нет доступных серверов входа" Клонирование виртуального контроллера домена Это сообщение об ошибке появляется при попытке войти в систему после клонирования виртуального контроллера домена потому, что клонирование завершилось сбоем и контроллер домена запускается в режиме DSRM. Для устранения сбоя клонирования войдите в систему с правами администратора (.\administrator).
2742916: Клонирование контроллера домена завершается сбоем — в файле dcpromo.log указана ошибка 8610 Клонирование виртуального контроллера домена Клонирование завершается сбоем потому, что эмулятор основного контроллера домена не выполнил входящую репликацию раздела домена — возможно, из-за переноса роли.
2742927: Командлет New-AdDcCloneConfig завершается ошибкой "Индекс вне диапазона" Клонирование виртуального контроллера домена Это сообщение об ошибке появляется после запуска командлета New-ADDCCloneConfigFile во время клонирования виртуальных контроллеров домена, либо потому что командлет не был выполнен из командной строки с повышенными привилегиями, либо потому что маркер доступа не содержит группу "Администраторы".
2742959: Клонирование контроллера домена завершается ошибкой 8437 — "Для этой операции репликации указан недопустимый параметр" Клонирование виртуального контроллера домена Клонирование завершилось ошибкой потому, что было указано недопустимое имя клона или повторяющееся NetBIOS-имя.
2742970: Клонирование контроллера домена завершается сбоем без DSRM, дублирования источника и компьютера клона Клонирование виртуального контроллера домена Клонированный виртуальный контроллер домена загружается в режиме восстановления служб каталогов (DSRM), используя то же имя, что и у исходного контроллера домена, потому что файл DCCloneConfig.xml не был создан в надлежащем расположении или потому что исходный контроллер домена был перезагружен перед клонированием.
2743278: Возникает ошибка клонирования контроллера домена 0x80041005 Клонирование виртуального контроллера домена Клонированный контроллер домена загружается в режиме DSRM потому, что был указан только один WINS-сервер. Если указан какой-либо WINS-сервер, необходимо указать и предпочитаемый, и альтернативный WINS-серверы.
2745013: При выполнении командлета New-AdDcCloneConfigFile в Windows Server 2012 возникает сообщение об ошибке "Сервер неработоспособен" Клонирование виртуального контроллера домена Это сообщение об ошибке появляется после запуска командлета New-ADDCCloneConfigFile потому, что сервер не может связаться с сервером глобального каталога.
2747974: Событие клонирования контроллера домена с кодом 2224 предоставляет некорректные рекомендации Клонирование виртуального контроллера домена Событие с кодом 2224 неправильно предписывает удаление управляемых учетных записей служб перед клонированием. Автономные управляемые учетные записи служб нужно удалить, но групповые управляемые учетные записи служб не препятствуют клонированию.
2748266: Не удается разблокировать диск, зашифрованный BitLocker, после обновления до Windows 8 BitLocker при попытке разблокировать диск на компьютере, который был обновлен с Windows 7, появляется сообщение об ошибке "приложение не найдено".

См. также:

Windows Server 2012 Windows Server 2012 ознакомительные материалыпоустановке и развертыванию Windows Server 2012

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

в этом разделе содержатся общие сведения о домен Active Directory службах в Windows Server 2012 R2 и Windows Server 2012 и объясняется процесс обновления контроллеров домена с Windows server 2008 или Windows server 2008 R2.

Порядок обновления контроллеров домена

Рекомендуемым способом обновления домена является повышение уровня контроллеров домена, на которых выполняются более новые версии Windows Server, и понижение уровня старых контроллеров домена при необходимости. Этот метод является предпочтительным для обновления операционной системы существующего контроллера домена. в этом списке описаны общие шаги, которые необходимо выполнить перед повышением уровня контроллера домена, на котором работает более новая версия Windows Server.

  1. Убедитесь, что целевой сервер отвечает требованиям к системе.

  2. Проверьте совместимость приложений.

  3. Проверьте параметры безопасности. дополнительные сведения см. в разделе устаревшие функции и изменения в работе, связанные с AD DS в Windows Server 2012 и безопасные параметры по умолчанию в Windows server 2008 и Windows Server 2008 R2.

  4. Проверьте подключение к целевому серверу с компьютера, где планируется установка.

  5. Проверьте доступность необходимых ролей хозяина операций.

    • чтобы установить первый контроллер домена, работающий Windows Server 2012 в существующем домене и лесу, на компьютере, где выполняется установка, необходимо подключиться к хозяину схемы, чтобы запустить adprep/forestprep и хозяин инфраструктуры для запуска adprep/домаинпреп.
    • Для установки первого контроллера домена в домене, где схема леса уже расширена, требуется только подключение к хозяину инфраструктуры.
    • Для установки или удаления домена в существующем лесу требуется подключение к хозяину именования доменов.
    • Для любой установки контроллера домена также нужно подключение к хозяину RID.
    • В случае установки первого контроллера домена только для чтения в существующем лесу требуется подключение к хозяину инфраструктуры для каждого раздела каталога приложений (недоменный контекст именования, или NDNC).
  6. Не забудьте предоставить необходимые учетные данные для установки доменных служб Active Directory.

    Действие установки Требования к учетным данным
    Установка нового леса Локальный администратор на целевом сервере
    Установка нового домена в существующем лесу Администраторы предприятия
    Установка дополнительного контроллера домена в существующем домене Администраторы домена
    Выполнение команды adprep /forestprep Администраторы схемы, администраторы предприятия и администраторы домена
    Выполнение команды adprep /domainprep Администраторы домена
    Выполнение команды adprep /domainprep /gpprep Администраторы домена
    Выполнение команды adprep /rodcprep Администраторы предприятия

    Вы можете делегировать разрешения на установку доменных служб Active Directory. Дополнительные сведения см. в разделе Задачи управления установкой.

Пошаговые инструкции по повышению роли контроллеров домена (как новых, так и реплик) в Windows Server 2012 с помощью командлетов Windows PowerShell и диспетчера серверов см. в следующих разделах:

рекомендации по Центр обновления Windows

До выпуска Windows 8 Центр обновления Windows имел собственное внутреннее расписание проверки, загрузки и установки обновлений. При этом агент обновления Windows постоянно выполнялся в фоновом режиме, потребляя память и другие системные ресурсы.

В Windows 8 и Windows Server 2012 появился новый компонент, который называется Автоматическое обслуживание. Автоматическое обслуживание объединяет в себе множество разных функций, каждая из которых ранее имела собственное расписание и логику выполнения. Такое объединение позволяет всем этим компонентам потреблять гораздо меньше системных ресурсов, работать согласованно, поддерживать новый режим ожидания с подключением для новых типов устройств и экономить заряд батареи на переносных устройствах.

Так как Центр обновления Windows является частью автоматического обслуживания в Windows 8 и Windows Server 2012, его внутреннее расписание установки обновлений больше не действует. Чтобы обеспечить согласованный и предсказуемый способ перезапуска всех устройств и компьютеров в организации, в том числе с ОС Windows 8 и Windows Server 2012, обратитесь к статье базы знаний Майкрософт 2885694 (или к описанию накопительного пакета обновления за октябрь 2013 г. в статье 2883201, а затем настройте параметры политики, описанные в записи блога WSUS Обеспечение более предсказуемого поведения Центра обновления Windows в Windows 8 и Windows Server 2012 (статья базы знаний 2885694).

новые возможности AD DS в Windows Server 2012 R2

В следующей таблице представлены новые возможности доменных служб Active Directory в Windows Server 2012 R2 и ссылки на более подробные сведения (если таковые доступны). Подробные пояснения к некоторым компонентам, включая их требования, см. в разделе Новые возможности Active Directory в Windows Server 2012 R2.

Функция Описание
Присоединение к рабочей области Позволяет информационным работникам подключаться к сети компании с личных устройств для доступа к корпоративным ресурсам и службам.
Прокси веб-приложения Предоставляет доступ к веб-приложению с помощью новой службы роли удаленного доступа.
Active Directory Federation Services (Службы федерации Active Directory) Развертывание служб федерации Active Directory упростилось. В них также реализован ряд улучшений, позволяющих пользователям получать доступ к ресурсам с личных устройств и помогающих ИТ-отделам контролировать доступ.
Уникальность имен субъектов-служб и участников-пользователей Контроллеры домена с ОС Windows Server 2012 R2 блокируют создание повторяющихся имен субъектов-служб и имен участников-пользователей.
Автоматический вход при перезапуске с помощью Winlogon (ARSO) Обеспечивает перезапуск и доступность приложений экрана блокировки на устройствах Windows 8.1.
Аттестация ключей доверенного платформенного модуля (TPM Key) Attestation Позволяет ЦС включать в выдаваемый сертификат криптографическое подтверждение того, что закрытый ключ устройства, запросившего сертификат, защищен с помощью доверенного платформенного модуля (TPM).
Защита учетных данных и управление ими Новые элементы управления защитой учетных данных и аутентификацией доменов, снижающие риск кражи учетных данных.
Не рекомендуется к использованию служба репликации файлов (FRS) Режим работы домена Windows Server 2003 также не рекомендуется к использованию, так как в этом режиме для репликации тома SYSVOL применяется служба репликации файлов. Это означает, что при создании домена на сервере с ОС Windows Server 2012 R2 режим работы домена должен быть Windows Server 2008 или выше. вы по-прежнему можете добавить контроллер домена, работающий Windows Server 2012 R2, к существующему домену, имеющему режим работы домена Windows Server 2003. вы не можете создать новый домен на этом уровне.
Новые режимы работы домена и леса В Windows Server 2012 R2 появились новые режимы работы. Новые компоненты доступны в режиме работы леса Windows Server 2012 R2.
Изменения в оптимизаторе запросов LDAP Повышение производительности поиска LDAP и сокращение времени поиска для сложных запросов LDAP.
Улучшения, связанные с событием 1644 Чтобы упростить устранение неполадок, статистика по результатам поиска LDAP была добавлена в событие с кодом 1644.
Повышение пропускной способности репликации Active Directory Максимальная пропускная способность репликации Active Directory повысилась с 40 Мбит/с до приблизительно 600 Мбит/с.

Что нового в AD DS в Windows Server 2012?

В следующей таблице представлены новые возможности доменных служб Active Directory в Windows Server 2012 и ссылки на более подробные сведения (если таковые доступны). Более подробное описание некоторых функций, включая их требования, см. в статье новые возможности домен Active Directory Services (AD DS).

Функция Описание
Активация с помощью Active Directory; см. раздел Обзор активации корпоративных лицензий Упрощает настройку распространения корпоративных лицензий на программное обеспечение и управления ими.
Службы федерации Active Directory (AD FS) Обеспечивают установку ролей при помощи диспетчера серверов, упрощенную настройку доверия, автоматическое управление доверием, поддержку протокола SAML и др.
События утерянной очистки страниц Active Directory Запись в журнал события NTDS ISAM 530 с ошибкой Jet -1119 позволяет обнаруживать события утерянной очистки страниц в базах данных Active Directory.
Пользовательский интерфейс корзины Active Directory Центр администрирования Active Directory предоставляет управление корзиной при помощи графического интерфейса пользователя — возможность, изначально появившуюся в Windows Server 2008 R2.
Командлеты Windows PowerShell для репликации и топологии Active Directory Поддерживают создание сайтов Active Directory, ссылок на сайты, объектов соединения и других компонентов и управление ими при помощи Windows PowerShell.
Динамический контроль доступа Новая платформа авторизации на основе утверждений, расширяющая традиционную модель управления доступом.
Пользовательский интерфейс детальной политики паролей Центр администрирования Active Directory предоставляет дополнительный графический интерфейс пользователя для создания, изменения и назначения объектов параметров паролей, изначально добавленных в Windows Server 2008.
Групповые управляемые учетные записи служб (gMSA) Введение нового типа субъекта безопасности — групповых управляемых учетных записей служб. Службы, работающие на нескольких узлах, могут использовать одну и ту же групповую управляемую учетную запись службы.
Автономное присоединение к домену DirectAccess Автономное присоединение к домену расширено путем включения требований для DirectAccess.
Быстрое развертывание посредством клонирования виртуального контроллера домена Виртуальные контроллеры домена можно быстро развертывать путем клонирования существующих виртуальных контроллеров домена при помощи командлетов Windows PowerShell.
Изменения пула относительных идентификаторов (RID) Добавлены новые события мониторинга и квоты для защиты от избыточного использования глобального пула RID. При необходимости размер глобального пула RID удваивается, если первоначальный пул исчерпан.
Безопасная служба времени Повышает уровень безопасности W32tm, удаляя секретные данные из проводной сети, удаляя хэш-функции MD5 и требуя от сервера проводить проверку подлинности клиентов службы времени Windows 8
Защита от отката USN для виртуализованных контроллеров домена Случайное восстановление резервных копий виртуализованных контроллеров домена больше не приводит к откату USN.
Средство просмотра журнала Windows PowerShell Администраторы могут просматривать команды Windows PowerShell, выполненные при использовании центра администрирования Active Directory.

Автоматическое обслуживание и изменения в способе перезапуска после применения обновлений Центром обновления Windows

До выпуска Windows 8 Центр обновления Windows имел собственное внутреннее расписание проверки, загрузки и установки обновлений. При этом агент обновления Windows постоянно выполнялся в фоновом режиме, потребляя память и другие системные ресурсы.

В Windows 8 и Windows Server 2012 появился новый компонент, который называется Автоматическое обслуживание. Автоматическое обслуживание объединяет в себе множество разных функций, каждая из которых ранее имела собственное расписание и логику выполнения. Такое объединение позволяет всем этим компонентам потреблять гораздо меньше системных ресурсов, работать согласованно, поддерживать новый режим ожидания с подключением для новых типов устройств и экономить заряд батареи на переносных устройствах.

Так как Центр обновления Windows является частью автоматического обслуживания в Windows 8 и Windows Server 2012, его внутреннее расписание установки обновлений больше не действует. Чтобы обеспечить согласованный и предсказуемый способ перезапуска всех устройств и компьютеров в организации, в том числе с ОС Windows 8 и Windows Server 2012, можно настроить следующие параметры групповой политики:

  • Конфигурация компьютера|Политики|Административные шаблоны|Компоненты Windows|Центр обновления Windows|Настройка автоматического обновления
  • Конфигурация компьютера|Политики|Административные шаблоны|Компоненты Windows|Центр обновления Windows|Не выполнять автоматическую перезагрузку, если в системе работают пользователи
  • Конфигурация компьютера|Политики|Административные шаблоны|Компоненты Windows|Планировщик заданий обслуживания|Случайная задержка обслуживания

В таблице ниже приведены некоторые примеры настройки этих параметров для обеспечения необходимого способа перезапуска.