2008 AD 域服务部署配置 额外域控 adprep命令.docx

选择 Active Directory 域服务部署配置安装 Active Directory 域服务 (AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于 Active Directory 域服务安装向导的“欢迎使用 Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。创建新的林下列各部分将详细介绍上述的每个部署配置。向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。准备现有域向现有的 Active Directory 域添加运行 Windows Server 2008 R2 的域控制器之前，必须通过运行 Adprep.exe 来准备林和域。请务必运行 Windows Server 2008 R2 安装介质随附的 Adprep 版本。此版本的 Adprep 可以添加运行 Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。根据需要为环境运行以下 adprep 参数：添加运行 Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次 adprep /forestprep。若要运行此命令，您必须是包括架构主机的域的 Enterprise Admins 组、Schema Admins 组和 Domain Admins 组的成员。此外，请在每个计划将运行 Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次 adprep /domainprep /gpprep。若要运行此命令，您必须为 Domain Admins 组的成员。如果计划在林中的任何域中部署只读域控制器 (RODC)，还必须在林中运行一次 adprep /rodcprep。您可以在林中的任何计算机上运行此命令。若要运行此命令，您必须为 Enterprise Admins 组的成员。有关详细信息，请参阅“为只读域控制器准备林”(/fwlink/?LinkId=93244（可能为英文网页）)。从介质安装在现有域中安装新的域控制器时，可以选择从介质安装 (IFM)，从而从介质而不是通过网络复制域数据库。只有在选中“欢迎”页上的“使用高级模式安装”复选框时，才可以在 Active Directory 域服务安装向导中使用此选项。建议使用 ntdsutil ifm 子命令创建安装介质。有关使用 IFM 的详细信息，请参阅从介质安装。向林中添加新的域默认情况下，创建的新林将包含一个域，该域称为林根域。即使只有少量的网络带宽可用于 Active Directory 复制，此单个域也可以容纳数千个用户。因此，对于大多数小型组织和中等规模的组织而言，单个域通常就足够了。向林中添加更多域后，会大大提高对林的管理要求。但是，大型组织可以决定向林中添加子域，以便只在需要时复制域数据。子域可以与其父域共享连续的命名空间。例如， 是 的子域。子域将自动拥有与其父域的双向可传递信任。不与其父域共享连续命名空间的新域称为新域树。有关创建新域树的详细信息，请参阅本主题后面的创建新的域树。向林中添加域时，将对 AD DS 进行分区，从而可以仅在需要时复制数据。这样一来，单个 Active Directory 林即可全局缩放，以在具有有限带宽的网络上容纳几十万（甚至数百万）用户。创建新域的要求创建新子域时，您必须为父域的 Domain Admins 组或 Enterprise Admins 组的成员才能继续操作。创建新的域树时，您必须为 Enterprise Admins 组的成员。Active Directory 域服务安装向导允许 Active Directory 域名最多为 64 个字符或最多为 155 个字节。虽然到达 155 个字节的限制之前通常已到达 64 个字符的限制，但是如果名称包含占用三个字节的 Unicode 字符，则可能是相反的情况。这些限制不适用于计算机名称。安装期间，域名系统 (DNS) 区域委派是由 Dcpromo.exe 创建的。如果 DNS 区域委派创建失败或您选择不创建区域委派（不建议这样做），则必