This policy setting controls whether the Net Logon service will allow the use of older cryptography algorithms that are used in Windows NT 4.0. The cryptography algorithms used in Windows NT 4.0 and earlier are not as secure as newer algorithms used in Windows 2000 or later including this version of Windows.By default Net Logon will not allow the older cryptography algorithms to be used and will not include them in the negotiation of cryptography algorithms. Therefore computers running Windows NT 4.0 will not be able to establish a connection to this domain controller. If you enable this policy setting Net Logon will allow the negotiation and use of older cryptography algorithms compatible with Windows NT 4.0. However using the older algorithms represents a potential security risk.If you disable this policy setting Net Logon will not allow the negotiation and use of older cryptography algorithms. If you do not configure this policy setting Net Logon will not allow the negotiation and use of older cryptography algorithms.
Policy path:
Scope:
Supported on:
Registry settings:
HKLM\Software\Policies\Microsoft\Netlogon\Parameters!AllowNT4Crypto
Filename:
Related content
Не удалось запросить журнал событий DFS Replication на сервере
SDC.DOMAIN.Local, ошибка 0x6ba «Сервер RPC недоступен.»
……………………. SDC — не пройдена проверка DFSREvent
Не удалось запросить журнал событий Directory Service на сервере
SDC.DOMAIN.Local, ошибка 0x6ba «Сервер RPC недоступен.»
……………………. SDC — не пройдена проверка KccEvent
Не удалось запросить журнал событий System на сервере SDC.DOMAIN.Local,
ошибка 0x6ba «Сервер RPC недоступен.»
……………………. SDC — не пройдена проверка SystemLog
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
……………………. MSK-DC16 — не пройдена проверка DFSREvent
Не удалось запросить журнал событий DFS Replication на сервере
PDC.DOMAIN.Local, ошибка 0x6ba «Сервер RPC недоступен.»
……………………. PDC — не пройдена проверка DFSREvent
Не удалось запросить журнал событий Directory Service на сервере
PDC.DOMAIN.Local, ошибка 0x6ba «Сервер RPC недоступен.»
……………………. PDC — не пройдена проверка KccEvent
Не удалось запросить журнал событий System на сервере PDC.DOMAIN.Local,
ошибка 0x6ba «Сервер RPC недоступен.»
……………………. PDC — не пройдена проверка SystemLog
← Вернуться в раздел «В помощь системному администратору»
Кто-нибудь знает как завести клиентов Windows 98/ME в домен под Windows 2008 Standard Server?
это установил, тут, тут, и тут, прочитал, сделал как описано, не помогло, там про Windows 2003. А про Windows 2008 нигде ничего.
Ткните носом кто-нибудь кто уже это прошёл.
Автор: MORB_id
Дата сообщения: 31.03.2009 11:24
v1kth0r
Я так думаю, что никак не получится такое сделать, к сожелению.
Автор: llanowar
Дата сообщения: 31.03.2009 13:11
Домен в 2008 установлен в режим совместимость с предыдущими версиями?
Автор: v1kth0r
Дата сообщения: 31.03.2009 13:30
Да, при установке AD в первом окне мастера, где спросил, было выбрано Windows 2000 (я счас не помню что конкретно там спрашивал), в последующем Windows 2000 Native
Автор: v1kth0r
Дата сообщения: 18.05.2009 08:14
Вообщем вроде бы помогает ввести 2008 server как дополнительный домен контроллер, а потом сделать его основным. Как проверю, напишу.
Автор: alexsht
Дата сообщения: 06.07.2009 11:50
Уважаемые!
Горящий вопрос.
Домен на Windows Server 2003, в нем новый файловый сервер на Windows Server 2008 вместо старого на Server 2003 в сети несколько машин с Windows98. Я скопировал шары со старого сервера на новый. С машин с Windows98 люди заходят, но не могут работать с теми файлами что я скопировал. Я с машины с Windows98 на шарах нового сервера могу создать файл или каталог, но не могу скопировать с шары на старом сервере на новый папки с файлами. Почему? Что делать?
Автор: IFkO
Дата сообщения: 07.07.2009 18:15
alexsht
Цитата:
Я с машины с Windows98 на шарах нового сервера могу создать файл
а потом с этим файлом работать можешь? Может, там что с правами владельца?
Автор: alexsht
Дата сообщения: 07.07.2009 22:49
Цитата:
Я с машины с Windows98 на шарах нового сервера могу создать файл
а потом с этим файлом работать можешь? Может, там что с правами владельца?
По порядку.
Юзер авторизирутся тем именем что он зашел в винду98, оно есть и в актив директори.
Далее. Владельцем созданного файла есть именно этот юзер доменный. Права правильные. Далее. Только что созднный например текстовый файл, можна открыть нотепадом и что-то написать в нем, сохранить закрыть нотпадом. На сервере сохранилось то что написал. Дальше юзер на вин98 открывает опять этот же файл нотпадом,- файл пустой, опять чего-то пишем, сохраняем, на сервере сохранилось а на вин98 файл откроется пустым. Скопировать этот файл с сервера на вин98 нельзя,- «ошибка при копировании устройство или папка неготово».
ЗЫЖ при попытке в win98 посмотреть свойства этого файла эксплорер вылетает с ошибкой — «программа explorer вызвала ошибку 0000006H в модуле crypt32.dll по адресу 0167:5cf38617»
Автор: alexsht
Дата сообщения: 15.08.2009 15:09
Привет. Хоть мне это уже не актуально тк машины проапгрейжены до WXP, но может комуто это пригодится. Вот такая месадж вылезла при поднятии роли доменных служб АД на WS2008:
«Контроллеры домена Windows Server 2008 имеют новое значение по
умолчанию для параметра безопасности «Разрешать алгоритмы шифрования,
совместимые с Windows NT 4.0″ Этот параметр запрещает Microsoft Windows
и сторонним клиентам SMB использование более слабых алгоритмов
шифрования NT 4.0 при установке связи по защищенному каналу с
контроллерами домена Windows Server 2008. Поэтому операции или
приложения которым требуются защищенный канал, обслуживаемый
контроллерами домена Windows Server 2008, могут не выполняться.
Это изменение затрагивает платформы, которые не поддерживают более
сильные алгоритмы шифрования, такие как Windows NT 4.0, сторонние
клиенты SMB, NAS-устройства. Затронуты также некоторые операции,
выполняемые на клиентских компютерах, работающих под управлением
более ранних версий Windows, чем пакет обновления 1 для WindowsVista,
включая операции подключения к домену с помощью средства миграции
AD или служб развертывания Windows.
Подробности находятся в статье базы знаний 942564″
Статья там http://support.microsoft.com/?id=942564
ЗЫЖ Проверил,- после изменения соответствующего параметра и перегрузки сервера, W98 клиенты заходят на шары WS2008. Правда у меня еще какие-то политики остались измененными. Ну а вообще вредная для безопасности фича, переключу обратно.
Страницы: 1
Предыдущая тема: Доступ к папке,системная ошибка 71
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.
Сайт системного администратора
Апрель 2020
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
| « Окт | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
Установка и первоначальная настройка Active Directory на Windows Server 2012
Итак, начнем с теории. Active Directory (далее AD) — служба каталогов корпорации Microsoft для ОС семейства WindowsNT. AD позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать ПО на множестве компьютеров через групповые политики посредством System Center Configuration Manager, устанавливать и обновлять ОС. AD хранит данные и настройки среды в централизованной базе данных. Сети AD могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Приступим.
2. Подготовка
Что бы установить роль AD нам необходимо:
1) Задать адекватное имя компьютеру
Открываем Пуск -> Панель управления -> Система, слева жмем на «Изменить параметры«. В «Свойствах системы» на вкладке «Имя компьютера» нажимаем кнопку «Изменить» и в поле «Имя компьютера» вводим имя (я ввел ADserver) и жмем «ОК«. Появится предупреждение о необходимости перезагрузки системы, что бы изменения вступили в силу, соглашаемся нажав «ОК«. В «Свойствах системы» жмем «Закрыть» и соглашаемся на перезагрузку.
2) Задать настройки сети
Открываем Пуск -> Панель управления -> Центр управления сетями и общим доступом -> Изменить параметры адаптера. После нажатия правой кнопкой на подключении выбираем пункт «Свойства» из контекстного меню. На вкладке «Сеть» выделяем «Протокол интернета версии 4 (TCP/IPv4)» и жмем «Свойства«.
Я задал:
IP-адрес: 192.168.10.252
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.10.1
Предпочтительный DNS-сервер: 127.0.0.1 (так как тут будет располагаться локальный DNS-сервер)
Альтернативный DNS-сервер: 192.168.10.1
После чего жмем «ОК» и «Закрыть«.
Подготовка закончилась, теперь преступим к установке роли.
3. Установки роли
Для установки роли AD на компьютер откроем Пуск -> Диспетчер сервера. Выберем «Добавить роли и компоненты«.
После чего запустится «Мастер добавления ролей и компонентов«.
3.1 На первом этапе мастер напоминает, что нужно сделать перед началом добавления роли на компьютер, просто нажимаем «Далее«.
3.2 Теперь выбираем «Установка ролей и компонентов» и жмем «Далее«.
3.3 Выберем компьютер, на котором хотим установить роль AD и опять «Далее«.
3.4 Теперь нужно выбрать какую роль мы хотим установить, выбираем «Доменные службы Active Directory» и нам предложат установить необходимые компоненты и службы ролей для роли AD соглашаемся нажав «Добавить компоненты» и опять «Далее«.
3.5 Тут предложат установить компоненты, но нам они пока не нужны, так что просто жмем «Далее«.
3.6 Теперь нам выведут описание роли «Доменных служб Active Directory«. Прочитаем внимательно и жмем «Далее«.
3.7 Мы увидим, что же именно мы будем ставить на сервер, если все хорошо, то жмем «Установить«.
3.8 После установки просто жмем «Закрыть«.
4. Настройка доменных служб Active Directory
Теперь настроим доменную службу запустив «Мастер настройки доменных служб Active Directory» (жмем на иконку «Уведомления» (флажок) в «Диспетчере сервера» и после этого выбираем «Повысить роль этого сервера до уровня контроллера домена«).
4.1 Выбираем «Добавить новый лес» и вписываем наш домен в поле «Имя корневого домена» (я решил взять стандартный домен для таких случаев test.local) и жмем «Далее«.
4.2 В данном меню можно задать совместимость режима работы леса и корневого домена. Так как у меня все с нуля я оставлю по умолчанию (в режиме работы «Windows Server 2012«). А еще можно отключить DNS-сервер, но я решил оставить это, так как хочу иметь свой локальный DNS-сервер. И еще необходимо задать пароль DSRM(Directory Service Restore Mode — режим восстановления службы каталога), задаем пароль и тыкаем «Далее«.
4.3 На данном этапе мастер настройки предупреждает нас, что домен test.local нам не делегирован, ну это и логично, нам ни кто его не давал, он будет существовать только в нашей сети, так, что жмем просто «Далее«.
4.4 Можно изменить NetBIOS имя, которое было автоматически присвоено, я не буду этого делать, так, что жмем «Далее«.
4.5 Тут можем изменить пути к каталогам базы данных AD DS (Active Directory Domain Services — доменная служба AD), файлам журнала, а так же каталогу SYSVOL. Не вижу смысла в изменении, так что просто жмем «Далее«.
4.6 Теперь мы видим небольшой итог, какие настройки мы выбрали.
Тут же, нажав на кнопку «Просмотреть сценарий» мы можем увидеть PowerShell сценарий для развертывания AD DS выглядит он примерно так:
4.7 Мастер проверит соблюдены ли предварительные требования, видим несколько замечаний, но они для нас не критичны, так что жмем кнопку «Установить«.
4.8 После завершения установки, компьютер перезагрузится.
5. Добавление нового пользователя
5.1 Запустим Пуск -> Панель управления -> Администрирование -> Пользователи и компьютеры Active Directory. Или через панель управления сервером:
5.2 Выделяем название домена (test.local), нажимаем правой кнопкой и выбираем «Создать» -> «Подразделение«.
После чего вводим имя подразделения, а так же можем снять защиту контейнера от случайного удаления. Нажимаем «ОК«.
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
5.3 Теперь создадим пользователя в подразделении «Пользователи«. Правой кнопкой на подразделение и выбираем в нем «Создать» -> «Пользователь«. И заполняем основные данные: Имя, Фамилия, логин.
Подразделения служат для того, что бы удобно управлять группами компьютеров, пользователей и т.д. Например: можно разбить пользователей по группам с именами подразделений соответствующих именам отделов компаний, в которой они работают (Бухгалтерия, ИТ, отдел кадров, менеджеры и т.д.)
Жмем «Далее«.
Теперь зададим пароль, для пользователя. Так же тут можно задать такие вещи как:
— Требовать смены пароля пользователя при следующем входе в систему — при входе пользователя в наш домен, ему будет предложено сменить пароль.
— Запретить смену пароля пользователем — отключает возможность смены пароля пользователем.
— Срок действия пароля не ограничен — пароль можно не менять сколько угодно.
— Отключить учетную запись — делает учетную запись пользователя не активной.
Жмем «Далее«.
5.4 Выделим созданного пользователя и в контекстном меню выберем «Свойства«. На вкладке «Учетная запись» ставим галочку напротив «Разблокировать учетную запись«, после чего нажимаем «Применить«, затем «ОК«.
источник
Описание страниц мастера установки и удаления доменных служб Active Directory AD DS Installation and Removal Wizard Page Descriptions
Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе приводится описание элементов управления для установки и удаления роли сервера доменных служб Active Directory в диспетчере серверов, расположенных на следующих страницах мастера. This topic provides descriptions for the controls on the following wizard pages that comprise the AD DS server role installation and removal in Server Manager.
Конфигурация развертывания Deployment Configuration
Диспетчер серверов начинает установку всех контроллеров домена со страницы Конфигурация развертывания. Server Manager begins every domain controller installation with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select. Например, при создании нового леса страница « Параметры подготовки » не отображается, но при установке первого контроллера домена под управлением Windows Server 2012 в существующем лесу или домене. For example, if you create a new forest, the Preparation Options page does not appear, but it does if you install the first domain controller that runs Windows Server 2012 in an existing forest or domain.
На этой странице выполняются проверочные тесты, а затем часть проверок предварительных требований. Some validations tests are performed on this page, and again later as part of prerequisite checks. Например, при попытке установить первый контроллер домена Windows Server 2012 в лесу с функциональным уровнем Windows 2000 на этой странице появится ошибка. For example, if you try to install the first Windows Server 2012 domain controller in a forest that has Windows 2000 functional level, an error appears on this page.
При создании нового леса отображаются следующие параметры. The following options appear when you create a new forest.
При создании нового леса требуется указать имя корневого домена леса. When you create a new forest, you must specify a name for the forest root domain. Имя корневого домена леса не может быть одной меткой (например, должно быть «contoso.com» вместо «contoso»). The forest root domain name cannot be single-labeled (for example, it must be «contoso.com» instead of «contoso»). Оно должно использовать разрешенные контексты именования домена DNS. It must use allowed DNS domain naming conventions. Можно указать международное доменное имя (IDN). You can specify an Internationalized Domain Name (IDN). Дополнительные сведения о соглашениях об именовании доменов DNS см. в статье KB 909264. For more information about DNS domain naming conventions, see KB 909264.
Имена лесов Active Directory не должны совпадать с внешними именами DNS. Do not create new Active Directory forests with the same name as your external DNS name. Например, если URL-адрес DNS имеет значение http://contoso.com, необходимо выбрать другое имя для внутреннего леса, чтобы избежать будущих проблем совместимости. For example, if your Internet DNS URL is http://contoso.com, you must choose a different name for your internal forest to avoid future compatibility issues. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com. That name should be unique and unlikely for web traffic, such as corp.contoso.com.
Вы должны входить в группу администраторов сервера, на котором нужно создать новый лес. You must be a member of Administrators group on the server where you want to create a new forest.
При создании нового домена отображаются следующие параметры. The following options appear when you create a new domain.
При создании нового домена дерева вместо имени родительского домена необходимо указать имя корневого домена леса, причем остальные страницы и параметры мастера остаются без изменений. If you create a new tree domain, you need to specify the name of the forest root domain instead of the parent domain, but the remaining wizard pages and options are the same.
Чтобы перейти к родительскому домену или дереву Active Directory, необходимо нажать кнопку Выбрать или ввести имя допустимого родительского домена или дерева. Click Select to browse to the parent domain or Active Directory tree, or type a valid parent domain or tree name. Затем следует ввести имя нового домена в поле Новое имя домена. Then type the name of the new domain in New domain name.
Домен дерева: необходимо допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям DNS-имени домена. Tree domain: provide a valid, fully qualified root domain name; the name cannot be single-labeled and must use DNS domain name requirements.
Дочерний домен: необходимо допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям DNS-имени домена. Child domain: provide a valid, single-label child domain name; the name must use DNS domain name requirements.
Мастер настройки доменных служб Active Directory запрашивает учетные данные домена, если текущие учетные данные не для этого домена. The Active Directory Domain Services Configuration Wizard prompts you for domain credentials if your current credentials are not from the domain. Для предоставления учетных данных необходимо нажать кнопку Изменить. Click Change to provide domain credentials.
При добавлении нового контроллера домена к существующему домену отображаются следующие параметры. The following options appear when you add a new domain controller to an existing domain.
Чтобы перейти к домену, необходимо нажать кнопку Выбрать или указать допустимое имя домена. Click Select to browse to the domain, or type a valid domain name.
При необходимости диспетчер серверов запрашивает действующие учетные данные. Server Manager prompts you for valid credentials if needed. Для установления дополнительного контроллера домена требуется членство в группе администраторов домена. Installing an additional domain controller requires membership in the Domain Admins group.
Кроме того, для установки первого контроллера домена под управлением Windows Server 2012 в лесу требуются учетные данные, которые включают членство в группах в группах «Администраторы предприятия» и «Администраторы схемы». In addition, installing the first domain controller that runs Windows Server 2012 in a forest requires credentials that include group memberships in both the Enterprise Admins and Schema Admins groups. Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы. The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.
Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе Установка реплики контроллера домена Windows Server 2012 на существующем уровне домена (200). For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).
Параметры контроллера домена Domain Controller Options
При создании нового леса на странице параметров контроллера домена отображаются следующие параметры: If you are creating a new forest, the Domain Controller Options page has these options:
По умолчанию для леса и режима работы домена задано значение Windows Server 2012. The forest and domain functional levels are set to Windows Server 2012 by default.
На функциональном уровне домена Windows Server 2012 доступна одна новая функция: поддержка динамического контроля доступа и защиты Kerberos с помощью административных шаблонов KDC имеет два параметра (всегда предоставляют утверждения и незащищенную проверку подлинности запросы), требующие функционального уровня домена Windows Server 2012. There is one new feature available at the Windows Server 2012 domain functional level: the Support for Dynamic Access Control and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. Дополнительные сведения см. в подразделе «Поддержка утверждений, комплексной проверки подлинности и защиты Kerberos» статьи новые возможности проверки подлинности Kerberos. For more information, see «Support for claims, compound authentication and Kerberos armoring» in What’s new in Kerberos Authentication.
Функциональный уровень леса Windows Server 2012 не предоставляет новых возможностей, но гарантирует, что любой новый домен, созданный в лесу, будет автоматически работать на функциональном уровне домена Windows Server 2012. The Windows Server 2012 forest functional level does not provide any new features, but it ensures that any new domain created in the forest will automatically operate at the Windows Server 2012 domain functional level. Режим работы домена Windows Server 2012 не предоставляет новые возможности, помимо поддержки динамического контроля доступа и защиты Kerberos, но гарантирует, что любой контроллер домена в домене будет работать под управлением Windows Server 2012. The Windows Server 2012 domain functional level does not provide any new other features beside support for Dynamic Access Control and Kerberos armoring, but it ensures that any domain controller in the domain runs Windows Server 2012 . Дополнительные сведения о других возможностях, доступных при разных режимах работы, см. в разделе Общее представление о режимах работы доменных служб Active Directory (AD DS). For more information about other features that are available at different functional levels, see Understanding Active Directory Domain Services (AD DS) Functional Levels.
Помимо функциональных уровней, контроллер домена под управлением Windows Server 2012 предоставляет дополнительные функции, недоступные на контроллере домена под управлением более ранней версии Windows Server. Beyond functional levels, a domain controller that runs Windows Server 2012 provides additional features that are not available on a domain controller that runs an earlier version of Windows Server. Например, контроллер домена под управлением Windows Server 2012 можно использовать для клонирования виртуальных контроллеров домена, в то время как контроллер домена, работающий под управлением более ранней версии Windows Server, не может. For example, a domain controller that runs Windows Server 2012 can be used for virtual domain controller cloning, whereas a domain controller that runs an earlier version of Windows Server cannot.
При создании нового леса DNS-сервер выбирается по умолчанию. DNS server is selected by default when you create a new forest. Первый контроллер домена в лесу должен быть сервером глобального каталога (GC), при этом он не может быть контроллером домена только для чтения (RODC). The first domain controller in the forest must be a global catalog (GC) server, and it cannot be a read only domain controller (RODC).
Пароль режима восстановления служб каталога (DSRM) необходим для входа в контроллер домена, на котором не запущены AD DS. The Directory Services Restore Mode (DSRM) password is needed in order to log on to a domain controller where AD DS is not running. Назначаемый пароль должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. The password you specify must adhere to the password policy applied to the server, which by default does not require a strong password; only a non-blank password. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Always choose a strong, complex password or preferably, a passphrase. Сведения о том, как синхронизировать пароль DSRM с паролем учетной записи пользователя домена, см. в статье KB 961320. For information about how to synchronize the DSRM password with the password of a domain user account, see KB 961320.
При создании дочернего домена на странице параметров контроллера домена отображаются следующие параметры: If you are creating a child domain, the Domain Controller Options page has these options:
По умолчанию для режима работы домена задано значение Windows Server 2012. The domain functional level is set to Windows Server 2012 by default. Можно указать любое другое значение, большее или равное значению режима работы леса. You can specify any other value that is at least the value of the forest functional level or higher.
Настраиваемые параметры контроллера домена включают в себя DNS-сервер и Глобальный каталог, причем нельзя назначить контроллер домена только для чтения первым контроллером нового домена. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.
Майкрософт рекомендует, чтобы все контроллеры домена предоставляли высокий уровень доступности служб DNS и глобального каталога в распределенных средах. Именно поэтому при создании нового домена эти параметры включены в мастере по умолчанию. Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default when creating a new domain.
Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. По умолчанию выбирается сайт с наиболее подходящей подсетью. By default, it selects the site with the most correct subnet. Если существует только один сайт, он выбирается автоматически. If there is only one site, it selects that site automatically.
Если сервер не входит в подсеть Active Directory и имеется несколько сайтов, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка. If the server does not belong to an Active Directory subnet and there is more than one site, nothing is selected and the Next button is unavailable until you choose a site from the list.
При добавлении контроллера в домен на странице параметров контроллера домена отображаются следующие параметры: If you are adding a domain controller to a domain, the Domain Controller Options page has these options:
Настраиваемые параметры контроллера домена включают в себя DNS-сервер, Глобальный каталог и контроллер домена только для чтения. The configurable domain controller options include DNS server and Global Catalog, and Read-only domain controller.
Майкрософт рекомендует, чтобы все контроллеры домена предоставляли высокий уровень доступности служб DNS и глобального каталога в распределенных средах. Именно поэтому эти параметры включены в мастере по умолчанию. Microsoft recommends that all domain controllers provide DNS and global catalog services for high availability in distributed environments, which is why the wizard enables these options by default. Дополнительные сведения о развертывании RODC см. в статье Планирование и развертывание контроллера домена только для чтения. For more information about deploying RODCs, see Read-Only Domain Controller Planning and Deployment Guide.
Дополнительные сведения о добавлении контроллера домена в существующий домен см. в разделе Установка реплики контроллера домена Windows Server 2012 на существующем уровне домена (200). For more information about how to add a domain controller to an existing domain, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).
Параметры DNS DNS Options
При установке DNS-сервера отображается следующая страница Параметров DNS: If you install DNS server, the following DNS Options page appears:
При установке DNS-сервера записи делегирования, которые указывают на DNS-сервер в качестве разрешенного для зоны, должны создаваться в зоне службы доменных имен родительского домена. When you install DNS server, delegation records that point to the DNS server as authoritative for the zone should be created in the parent Domain Name System (DNS) zone. Записи делегирования передают орган разрешения имен и обеспечивают правильные ссылки на другие DNS-серверы и на клиентов новых серверов, которые были сделаны полномочными для новой зоны. Delegation records transfer name resolution authority and provide correct referral to other DNS servers and clients of the new servers that are being made authoritative for the new zone. Эти записи ресурсов содержат следующие сведения: These resource records include the following:
Запись ресурса сервера имен (NS) для реализации делегирования. A name server (NS) resource record to effect the delegation. Эта запись ресурса сообщает, что сервер с именем ns1.na.example.microsoft.com является полномочным сервером для делегированного субдомена. This resource record advertises that the server named ns1.na.example.microsoft.com is an authoritative server for the delegated subdomain.
Для разрешения имени сервера, указанного в записи ресурса сервера имен (NS), в его IP-адрес требуется запись ресурса узла (A или AAAA), также называемая связывающей записью. A host (A or AAAA) resource record also known as a glue record must be present to resolve the name of the server that is specified in the name server (NS) resource record to its IP address. Процесс разрешения имени узла в этой записи ресурса в делегированный DNS-сервер в записи ресурса сервера имен (NS) иногда называется «связывающим преследованием». The process of resolving the host name in this resource record to the delegated DNS server in the name server (NS) resource record is sometimes referred to as «glue chasing.»
Мастер настройки доменных служб Active Directory может создавать эти записи автоматически. You can have the Active Directory Domain Services Configuration Wizard create them automatically. После нажатия кнопки Далее на странице Параметры контроллера домена Мастер проверяет наличие соответствующих записей в родительской зоне DNS. The wizard verifies that the appropriate records exist in the parent DNS zone after you click Next on the Domain Controller Options page. Если мастер не может проверить, существуют ли эти записи в родительском домене, программа предоставляет возможность создать новое делегирование DNS для нового домена (или обновить существующее делегирование) автоматически и продолжить установку нового контроллера домена. If the wizard cannot verify that the records exist in the parent domain, the wizard provides you with the option to create a new DNS delegation for a new domain (or update the existing delegation) automatically and continue with the new domain controller installation.
Можно также создать эти записи нового делегирования перед установкой DNS-сервера. Alternatively, you can create these DNS delegation records before you install DNS server. Чтобы создать делегирование зоны, откройте Диспетчер DNS, щелкните правой кнопкой мыши родительский домен, а затем выберите Новое делегирование. To create a zone delegation, open DNS Manager, right-click the parent domain, and then click New Delegation. Для создания делегирования выполните последовательность действий, предлагаемую мастером создания делегирования. Follow the steps in the New Delegation Wizard to create the delegation.
Процесс установки пытается создать делегирование, чтобы компьютеры, входящие в другие домены, могли разрешать DNS-запросы для узлов в субдомене DNS, включая контроллеры домена и компьютеры-члены домена. The installation process tries to create the delegation to ensure that computers in other domains can resolve DNS queries for hosts, including domain controllers and member computers, in the DNS subdomain. Обратите внимание, что записи делегирования могут создаваться автоматически только на DNS-серверах Майкрософт. Note that the delegation records can be automatically created only on Microsoft DNS servers. Если зона родительского DNS-домена расположена на DNS-серверах стороннего производителя, например BIND, на странице проверки предварительных требований отображается предупреждение о неудачной попытке создания записей DNS-делегирования. If the parent DNS domain zone resides on third party DNS servers such as BIND, a warning about the failure to create DNS delegation records appears on the Prerequisites check page. Дополнительные сведения об этом предупреждении см. в статье Известные проблемы при установке AD DS. For more information about the warning, see Known issues for installing AD DS.
Делегирование между родительским доменом и субдоменом, уровень которого нужно повысить, можно создать и проверить как до, так и после установки. Delegations between the parent domain and the subdomain being promoted can be created and validated before or after the installation. Не следует откладывать установку нового контроллера домена из-за того, что невозможно создать или обновить делегирование DNS. There is no reason to delay the installation of a new domain controller because you cannot create or update the DNS delegation.
Дополнительные сведения о делегировании см. в разделе Основные сведения о делегировании зоны (https://go.microsoft.com/fwlink/?LinkId=164773). For more information about delegation, see Understanding Zone Delegation (https://go.microsoft.com/fwlink/?LinkId=164773). Если делегирование зоны не представляется возможным, можно рассмотреть другие способы обеспечения разрешения имен узлов в вашем домене из других доменов. If zone delegation is not possible in your situation, you might consider other methods for providing name resolution from other domains to the hosts in your domain. Например, администратор DNS другого домена может настроить условную пересылку, зоны заглушки или дополнительные зоны для разрешения имен узлов в вашем домене. For example, the DNS administrator of another domain could configure conditional forwarding, stub-zones, or secondary zones in order to resolve names in your domain. Дополнительные сведения см. в следующих разделах: For more information, see the following topics:
Параметры RODC RODC Options
При установке контроллера домена только для чтения (RODC) отображаются следующие параметры. The following options appear when you install a read-only domain controller (RODC).
Делегированные учетные записи администратора получают локальные права администратора для RODC. Delegated administrator accounts gain local administrative permissions to the RODC. Эти пользователи могут действовать с привилегиями, эквивалентными группе администраторов локального компьютера. These users can operate with privileges equivalent to the local computer’s Administrators group. Они не являются членами групп администраторов домена или встроенных учетных записей администраторов домена. They are not members of the Domain Admins or the domain built-in Administrators groups. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. This option is useful for delegating branch office administration without giving out domain administrative permissions. Настройка делегирования прав администратора не требуется. Configuring delegation of administration is not required. Дополнительные сведения см. в разделе разделение ролей администратора. For more information, see Administrator Role Separation.
Политика репликации паролей действует как список управления доступом (ACL). The Password Replication Policy acts as an access control list (ACL). Она определяет, разрешается ли RODC кэширование пароля. It determines if an RODC should be permitted to cache a password. После того как RODC получает запрос на вход прошедшего проверку пользователя или компьютера, он обращается к политике репликации паролей, чтобы определить, нужно ли кэшировать пароль учетной записи. After the RODC receives an authenticated user or computer logon request, it refers to the Password Replication Policy to determine if the password for the account should be cached. После этого следующие входы под данной учетной записью станут более эффективными. The same account can then perform subsequent logons more efficiently.
Политика репликации паролей перечисляет те учетные записи, пароли от которых разрешено кэшировать, и те, пароли от которых кэшировать явным образом запрещено. The Password Replication Policy (PRP) lists the accounts whose passwords are allowed to be cached, and accounts whose passwords are explicitly denied from being cached. Перечисление учетных записей пользователей и компьютеров, которые разрешено кэшировать, не означает, что RODC обязательно кэширует пароли этих учетных записей. The list of user and computer accounts that are permitted to be cached does not imply that the RODC has necessarily cached the passwords for those accounts. Администратор, например, может заранее указать учетные записи, которые RODC будет кэшировать. An administrator can, for example, specify in advance any accounts that an RODC will cache. Таким образом, RODC может проверить подлинность этих учетных записей, даже если ссылка глобальной сети на узловой сайт неактивна. This way, the RODC can authenticate those accounts, even if the WAN link to the hub site is offline.
Если пользователям или компьютерам не разрешено (в том числе неявно) или отказано в кэшировании пароля, кэширование не производится. Any users or computers who are not allowed (including implicit) or denied do not cache their password. Если вышеупомянутые пользователи или компьютеры не имеют доступа к доступному для записи контроллеру домена, они не могут получить доступ к ресурсам и функциональным возможностям AD DS. If those users or computers do not have access to a writable domain controller, they cannot access AD DS-provided resources or functionality. Дополнительные сведения о репликации паролей см. в разделе Политика репликации паролей. For more information about the PRP, see Password Replication Policy. Дополнительные сведения об управлении политиками репликации паролей см. в разделе администрирование политика репликации паролей. For more information about managing the PRP, see Administering the Password Replication Policy.
Дополнительные параметры Additional Options
При создании нового домена на странице Дополнительные параметры отображается следующий параметр: The following option appears on the Additional Options page if you are creating a new domain:
При установке дополнительного контроллера домена в существующий домен на странице Дополнительные параметры отображаются следующие параметры: The following options appear on the Additional Options page if you install an additional domain controller in an existing domain:
Можно указать контроллер домена в качестве источника репликации или разрешить мастеру выбрать любой контроллер домена в качестве источника репликации. You can either specify a domain controller as the replication source, or allow the wizard to choose any domain controller as the replication source.
Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. Если установочный носитель хранится локально, параметр Установка с носителя. Путь: позволяет перейти к расположению файла. If the installation media is stored locally, the Install from media Path option allows you to browse to the file location. При удаленной установке параметр перехода недоступен. The browse option is not available for a remote installation. Чтобы убедиться, что предоставленный путь является действительным носителем, можно нажать кнопку Проверить. You can click Verify to ensure the provided path is valid media. Носитель, используемый параметром IFM, должен быть создан с cистема архивации данных Windows Server или Ntdsutil. exe только с другого существующего компьютера Windows Server 2012. для создания носителя для контроллера домена Windows Server 2012 нельзя использовать операционную систему Windows Server 2008 R2 или более ранней версии. Media used by the IFM option must be created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server 2012 computer only; you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время верификации. If the media is protected with a SYSKEY, Server Manager prompts for the image’s password during verification.
Задания Paths
На странице Пути отображаются следующие параметры. The following options appear on the Paths page.
- Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в папке %systemroot%. The default locations are always in %systemroot%.
Необходимо указать расположение базы данных AD DS (NTDS.DIT), файлов журнала и SYSVOL. Specify the location for the AD DS database (NTDS.DIT), log files, and SYSVOL. При локальной установке можно перейти к расположению, в которое вы хотите сохранить файлы. For a local installation, you can browse to the location where you want to store the files.
Параметры подготовки Preparation Options
Если вход с учетными данными, достаточными для запуска команд adprep.exe, не выполнен, а запуск adprep необходим для завершения установки, отображается приглашение ввести учетные данные для запуска adprep.exe. If you are not currently logged on with sufficient credentials to run adprep.exe commands and adprep is required to run in order to complete the AD DS installation, you are prompted to supply credentials to run adprep.exe. Для добавления первого контроллера домена под управлением Windows Server 2012 в существующий домен или лес требуется выполнение Adprep. Adprep is required to run in order to add the first domain controller that runs Windows Server 2012 to an existing domain or forest. Подробнее: More specifically:
Для добавления первого контроллера домена под управлением Windows Server 2012 в существующий лес необходимо запустить adprep/forestprep. Adprep /forestprep must be run to add the first domain controller that runs Windows Server 2012 to an existing forest. Для выполнения этой команды необходимо быть членом группы «Администраторы предприятия», группы «Администраторы схемы» и группы «Администраторы домена» для домена, в который входит хозяин схемы. This command must be run by a member of the Enterprise Admins group, the Schema Admins group, and the Domain Admins group of the domain that hosts the schema master. Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином схемы леса. For this command to complete successfully, there must be connectivity between the computer where you run the command and the schema master for the forest.
Для добавления первого контроллера домена под управлением Windows Server 2012 в существующий домен необходимо выполнить команду adprep/domainprep. Adprep /domainprep must be run to add the first domain controller that runs Windows Server 2012 to an existing domain. Эта команда должна выполняться членом группы «Администраторы домена» домена, в котором устанавливается контроллер домена, работающий под управлением Windows Server 2012. This command must be run by a member of the Domain Admins group of the domain where you are installing the domain controller that runs Windows Server 2012 . Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином инфраструктуры домена. For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for the domain.
Запуск adprep /rodcprep необходим, чтобы добавить первый RODC в существующий лес. Adprep /rodcprep must be run to add the first RODC to an existing forest. Для выполнения этой команды необходимо быть членом группы «Администраторы предприятия». This command must be run by a member of the Enterprise Admins group. Для успешного выполнения команды должно существовать соединение между компьютером, на котором выполняется команда, и хозяином инфраструктуры всех разделов каталога приложений леса. For this command to complete successfully, there must be connectivity between the computer where you run the command and the infrastructure master for each application directory partition in the forest.
Дополнительные сведения об Adprep. exe см. в разделе Интеграция с Adprep . exe и в разделе Выполнение Adprep. exe. For more information about Adprep.exe, see Adprep.exe integration and see Running Adprep.exe.
Параметры проверки Review Options
Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. This is not the last opportunity to stop the installation using Server Manager. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации. This page simply enables you to review and confirm your settings before continuing the configuration.
На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт , предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. This process creates a valid and syntactically correct sample for further modification or direct use.
Проверка предварительных требований Prerequisites Check
Ниже приведены некоторые предупреждения, которые могут отображаться на этой странице: Some of the warnings that appear on this page include:
Контроллеры домена под управлением Windows Server 2008 или более поздней версии имеют параметр по умолчанию «разрешить алгоритмы шифрования, совместимые с Windows NT 4», который предотвращает использование слабых алгоритмов шифрования при установке сеансов безопасного канала. Domain controllers that run Windows Server 2008 or later have a default setting for «Allow cryptography algorithms compatible with Windows NT 4» that prevents weaker cryptography algorithms when establishing secure channel sessions. Дополнительные сведения о потенциальном влиянии и обходном пути см. в статье базы знаний 942564. For more information about the potential impact and a workaround, see KB article 942564.
Делегирование DNS не может быть создано или обновлено. DNS delegation could not be created or updated. Дополнительные сведения см. в главе Параметры DNS. For more information, see DNS Options.
Проверка необходимых компонентов требует вызовов WMI. The prerequisite check requires WMI calls. Вызовы могут отклоняться правилами брандмауэра и возвращать ошибку о недоступности сервера RPC. They can fail if they are blocked firewall rules block, and return an RPC server unavailable error.
Дополнительные сведения о специальных проверках необходимых компонентов, которые выполняются для установки доменных служб Active Directory, см. в разделе Проверки необходимых компонентов. For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite Tests.
Результаты Results
На этой странице можно просмотреть результаты установки. On this page, you can review the results of the installation.
Здесь также можно перезагрузить целевой сервер после окончания работы мастера, однако в случае успешной установки сервер всегда будет перезагружаться независимо от того, выбран этот параметр или нет. You can also select to restart the target server after the wizard completes, but if the installation succeeds, the server will always restart regardless of whether you select that option. В некоторых случаях после завершения работы мастера на целевом сервере, не привязанном к домену перед установкой, состояние системы целевого сервера может не позволять подключиться к нему в сети или получить разрешение на управление удаленным сервером. In some cases after the wizard completes on a target server that was not joined to the domain before the installation, the system state of the target server can make the server unreachable on the network, or the system state can prevent you from having permissions to manage the remote server.
Если в таком случае целевой сервер не перезагружается автоматически, необходимо перезагрузить его вручную. If the target server fails to restart in this case, you must manually restart it. Перезагрузить сервер с помощью таких служебных программ, как shutdown.exe или Windows PowerShell, нельзя. Tools such as shutdown.exe or Windows PowerShell cannot restart it. Можно использовать службы удаленных рабочих столов для входа в систему и удаленного завершения работы целевого сервера. You can use Remote Desktop Services to log on and remotely shut down the target server.
Учетные данные для удаления роли Role Removal credentials
Параметры понижения уровня настраиваются на странице Учетные данные . You configure demotion options on the Credentials page. Учетные данные, необходимые для понижения уровня, представлены в следующем списке: Provide the credentials necessary to perform the demotion from the following list:
Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Demoting an additional domain controller requires Domain Admin credentials. Выбор принудительного удаления контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory. Selecting Force removal of the domain controller demotes the domain controller without removing the domain controller object’s metadata from Active Directory.
Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Do not select this option unless the domain controller cannot contact other domain controllers and there is no reasonable way to resolve that network issue. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Forced demotion leaves orphaned metadata in Active Directory on the remaining domain controllers in the forest. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. In addition, all un-replicated changes on that domain controller, such as passwords or new user accounts, are lost forever. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения. Orphaned metadata is the root cause in a significant percentage of Microsoft Customer Support cases for AD DS, Exchange, SQL, and other software. При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Этапы очистки см. в разделе Очистка метаданных сервера. For steps, review Clean Up Server Metadata.
Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Demoting the last domain controller in a domain requires Enterprise Admins group membership, as this removes the domain itself (if this is the last domain in the forest, this removes the forest). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Server Manager informs you if the current domain controller is the last domain controller in the domain. Для подтверждения того, что контроллер является последним в домене, необходимо выбрать Последний контроллер домена в домене. Select Last domain controller in the domain to confirm the domain controller is the last domain controller in the domain.
Параметры удаления и предупреждения AD DS AD DS Removal Options and Warnings
Чтобы получить справку об использовании страницы «Просмотрь параметры», см. главу «Просмотрь параметры» If you need help with the Review Options page, see Review Options
Если на контроллере домена размещены дополнительные роли, такие как роль DNS-сервера или сервера глобального каталога, появляется следующая страница с предупреждением: If the domain controller hosts additional roles, such as DNS server role or global catalog server, the following Warning page appears:
Чтобы подтвердить, что дополнительные роли более не будут доступны, сперва нужно нажать кнопку Продолжить удаление, а затем Далее. You must click Proceed with removal in order to acknowledge that the additional roles will no longer be available before you can click Next to continue.
При принудительном удалении контроллера домена все изменения объектов Active Directory, которые не были реплицированы на другие контроллеры в домене, будут утеряны. If you force the removal of a domain controller, any Active Directory object changes that have not replicated to other domain controllers in the domain will be lost. Помимо этого, если на контроллере домена размещены роли хозяина операций, глобального каталога или роль DNS-сервера, критические операции в домене и лесе могут быть изменены следующим образом. Additionally, if the domain controller hosts operation master roles, the global catalog, or DNS server role, critical operations in the domain and forest may be impacted as follows. Перед удалением контроллера домена, на котором размещена роль хозяина операций, необходимо попытаться переместить роль на другой контроллер домена. Before you remove a domain controller that hosts any operations master role, try to transfer the role to another domain controller. Если передать эту роль невозможно, сначала удалите AD DS с этого компьютера, а затем воспользуйтесь служебной программой Ntdsutil.exe для захвата роли. If it is not possible to transfer the role, first remove Active Directory Domain Services from this computer, and then use Ntdsutil.exe to seize the role. Используйте программу Ntdsutil на контроллере домена, для которого планируется захватить роль; по возможности используйте последний партнер репликации на том же сайте, что и данный контроллер домена. Use Ntdsutil on the domain controller that you plan to seize the role to; if possible, use a recent replication partner in the same site as this domain controller. Дополнительные сведения о передаче и присвоении ролей хозяина операций см. в статье 255504 базы знаний Майкрософт. For more information about transferring and seizing operations master roles, see article 255504 in the Microsoft Knowledge Base. Если мастер не может определить, размещена ли на контроллере домена роль хозяина операций, необходимо запустить команду run netdom.exe, чтобы проверить, выполняет ли данный контроллер домена роли хозяина операций. If the wizard cannot determine if the domain controller host an operations master role, run netdom.exe command to determine whether this domain controller performs any operations master roles.
Глобальный каталог: пользователи могут испытывать проблемы со входом в домены леса. Global catalog: Users might have trouble logging on to domains in the forest. Перед удалением сервера глобального каталога необходимо убедиться, что в этом лесу и на сайте достаточно серверов глобального каталога для обслуживания входа пользователей в систему. Before you remove a global catalog server, ensure that enough global catalog servers are in this forest and site to service user logons. При необходимости следует назначить другой сервер глобального каталога и обновить информацию клиентов и приложений. If necessary, designate another global catalog server and update clients and applications with the new information.
DNS-сервер: все данные DNS, хранящиеся в интегрированных зонах Active Directory, будут утеряны. DNS server: All of the DNS data that is stored in Active Directory-integrated zones will be lost. После удаления AD DS этот DNS-сервер не сможет выполнять разрешение имен для зон DNS, которые были интегрированы в Active Directory. After you remove AD DS, this DNS server will not be able to perform name resolution for the DNS zones that were Active Directory-integrated. Следовательно, рекомендуется обновить DNS-конфигурацию всех компьютеров, которые в настоящий момент обращаются к IP-адресу этого DNS-сервера для разрешения имен с IP-адресом нового DNS-сервера. Therefore, we recommend that you update the DNS configuration of all computers that currently refer to the IP address of this DNS server for name resolution with the IP address of a new DNS server.
Хозяин инфраструктуры: клиенты в домене могут испытывать трудности с определением местоположения объектов в других доменах. Infrastructure master: clients in the domain might have difficulty locating objects in other domains. Перед продолжением перенесите роль хозяина инфраструктуры на контроллер домена, не являющийся сервером глобального каталога. Before you continue, transfer the infrastructure master role to a domain controller that is not a global catalog server.
Хозяин RID: возможны проблемы при создании новых учетных записей пользователей, компьютеров и групп безопасности. RID master: you might have problems creating new user accounts, computer accounts, and security groups. Перед продолжением перенесите роль хозяина RID на другой контроллер домена в том же домене. Before you continue, transfer the RID master role to a domain controller in the same domain as this domain controller.
Эмулятор основного контроллера домена (PDC): операции эмулятора PDC, например обновление групповых политик и смена пароля для учетных записей, отличных от учетных записей AD DS, будут осуществляться неправильно. Primary domain controller (PDC) emulator: operations that are performed by the PDC emulator, such as Group Policy updates and password resets for non-AD DS accounts, will not function properly. Перед продолжением перенесите роль хозяина эмулятора PDC на другой контроллер домена в том же домене. Before you continue, transfer the PDC emulator master role to a domain controller that is in the same domain as this domain controller.
Хозяин схемы больше не сможет изменять схему этого леса. Schema master: you will no longer be able to modify the schema for this forest. Перед продолжением перенесите роль хозяина схемы на контроллер домена в корневом домене леса. Before you continue, transfer the schema master role to a domain controller in the root domain in the forest.
Хозяин именования доменов: добавлять или удалять домены в этом лесу будет уже невозможно. Domain naming master: you will no longer be able to add domains to or remove domains from this forest. Перед продолжением перенесите роль хозяина именования доменов на контроллер домена в корневом домене леса. Before you continue, transfer the domain naming master role to a domain controller in the root domain in the forest.
Все разделы каталога приложений на этом контроллере домена Active Directory будут удалены. All application directory partitions on this Active Directory domain controller will be removed. Если контроллер домена содержит последний репликат одного или нескольких разделов каталога приложений, по завершении операции удаления эти разделы перестанут существовать. If a domain controller holds the last replica of one or more application directory partitions, when the removal operation is complete, those partitions will no longer exist.
Обратите внимание, что домен прекратит существование после удаления доменных служб Active Directory с последнего контроллера домена в домене. Be aware that the domain will no longer exist after you uninstall Active Directory Domain Services from the last domain controller in the domain.
Если контроллер домена является DNS-сервером, которому делегированы права на размещение зоны DNS, на следующей странице можно будет удалить DNS-сервер из делегирования зоны DNS. If the domain controller is a DNS server that is delegated to host the DNS zone, the following page will provide the option to remove the DNS server from the DNS zone delegation.
Новый пароль администратора New Administrator Password
На странице новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения роли, когда компьютер станет рядовым сервером домена или рабочей группой. The New Administrator Password page requires you to provide a password for the built-in local computer’s Administrator account, once the demotion completes and the computer becomes a domain member server or workgroup computer.
Параметры проверки Review Options
На странице Просмотреть параметры можно экспортировать параметры конфигурации понижения уровня в сценарий Windows PowerShell для автоматизации дополнительных понижений. The Review Options page provides you the chance to export the configuration settings for demotion to a Windows PowerShell script so you can automate additional demotions. Чтобы удалить AD DS, нажмите кнопку Понизить. Click Demote to remove AD DS.
источник
KnowledgeBase Archive
An Archive of Early Microsoft KnowledgeBase Articles
View on GitHub
Article: Q158341
Product(s): Windows for Workgroups and Windows NT Networking Issues
Version(s): 2.0,4.0
Operating System(s):
Keyword(s): kbenv kbother kbsetup
Last Modified: 13-FEB-2002
-------------------------------------------------------------------------------
The information in this article applies to:
- Microsoft Windows NT Server version 4.0
- Microsoft Internet Information Server version 2.0
-------------------------------------------------------------------------------
SYMPTOMS
========
When you apply Service Pack 1 (or a later service pack) for Windows NT 4.0 to
Windows NT Server 4.0, the following dialog message will appear:
You have a domestic-version 128-bit PCT/SSL security provider installed on
your machine. This Update contains only an export grade version 40-bit
PCT/SSL security provider. Select Cancel to skip copying this file. Your
original 128-bit security provider will be left intact. Please see the
readme.txt for information on obtaining the updated 128-bit security
provider.
CAUSE
=====
The version of Windows NT Server 4.0 that is installed has Internet Information
Server 2.0 installed, and the Service Pack has an updated file used by Internet
Information Server that the service pack will replace if allowed to do so.
RESOLUTION
==========
This problem occurs only if
- the Windows NT Server 4.0 is running the Internet Information Server 2.0 Web
services
-and-
- it is using SSL (Secure Sockets Layer) that requires 128-bit encryption.
If 128-bit encryption is required and you are in the U.S. or Canada, follow
Resolution A. If 128-bit encryption is not required or you are not in the U.S.
or Canada, follow resolution B.
Resolution A
------------
1. Click the Cancel button to keep the existing file in place.
2. Restart the server after the Service Pack is applied.
Internet Information Server will run with the older version of the file, but
the security provider will eventually need to be replaced because of fixes
and enhancements.
The updated 128-bit security provider (the complete Service Pack, except with the
128-bit security provider) can be obtained by calling:
(800) 631-8906 in the US
(800) 933-4750 in Canada
NOTE: The domestic (128-bit) version of the Service Pack is intended for
distribution only in the United States and Canada. Export of the domestic
version of this service pack from the United States is regulated by the
International Traffic in Arms Regulations (ITAR, 22 CFR 120-130) of the U.S.
State Department, Office of Defense Trade Controls. A State Department license
is required to export the domestic version of the Service Pack outside the
United States or Canada.
NOTE: Another option, if you need the full line of 128-bit encryption, is to
order the Encryption Pack, which includes 128-bit encryption for RAS, Internet
Explorer 3.0, and SSL for Windows NT Workstation and Server 4.0. The Encryption
Pack can be ordered by calling:
(800) 360-7561 in the US
(800) 360-7561 in Canada
Resolution B
------------
1. Click OK to allow the Service Pack to overwrite the existing security
provider.
2. Restart the server after the Service Pack is applied.
Internet Information Server will run with the 40-bit version of the security
provider if SSL is used, otherwise it should not affect the operation of
Internet Information Server.
STATUS
======
The Readme.txt file included with all Service Packs for Windows NT 4.0 from SP2
and greater now include a section on how to obtain the 128-bit encryption
components described in this article. Please refer to the Readme.txt file for
the most current information.
Additional query words: prodnt IIS SSL Encryption
======================================================================
Keywords : kbenv kbother kbsetup
Technology : kbWinNTsearch kbWinNT400search kbWinNTSsearch kbWinNTS400search kbWinNTS400 kbiisSearch kbiis200
Version : :2.0,4.0
=============================================================================
THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
PROVIDED «AS IS» WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS
ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO
EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES. SOME STATES DO NOT ALLOW THE EXCLUSION
OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
SO THE FOREGOING LIMITATION MAY NOT APPLY.
Copyright Microsoft Corporation 1986-2002.