我想知道是否有人有办法在 Windows 2003 R2 服务器上安装 Active Directory,没有任何技巧,并且在事件日志中没有错误/警告。
我传统上使用大约 15 步的“手动”过程来安装 AD,但我正在使用 Windows 2003 R2 做一个新服务器,并认为我会尝试“服务器管理器”的方式。因此,在我安装了 Windows 2003 R2 的干净副本并加载了 SP2 后,我从“管理您的服务器”窗口单击了“添加角色”并运行了“配置您的服务器”向导。我为第一台服务器选择了典型配置。
重新启动后,我注意到事件日志中有一些问题(有些熟悉):
The DSRestore Filter failed to connect to local SAM server. Error returned is <id:997>.解决此问题涉及从 中删除“dsrestore” ,然后根据Q322672HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Notification Packages重置目录服务还原模式管理员帐户并重新启动。MS DTC could not correctly process a DC Promotion/Demotion event. MS DTC will continue to function and will use the existing security settings.这与KB923977相关,只需进入组件服务->我的计算机->属性->MSDTC->安全配置->单击确定,然后停止并重新启动 MSDTC。Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source.解决此问题涉及本文概述的漫长过程。
我没有看到我通常看到的将您设置HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations为 0 的 DNS 错误,这很好,但是,“按书本”进行全新安装仍然存在 3 个问题。
编辑: DNS 错误刚刚出现(错误 6702 DNS server has updated its own host (A) records...)所以我必须实施上述修复。所以这有四个问题。
所以我的想法是……Windows 2003 从那时起就已经存在了,嗯,2003 年……六年多以前了。它有无数的补丁、两个服务包,甚至还有一个 R2 更新。真的不可能在没有技巧的情况下安装无错误的 Active Directory 吗?我错过了什么?
多年来,我一直在 W2K 和 W2K3 上安装 Active Directory,没有出现您所说的任何问题。
第 1 项 - 这是来自源 DSrestor 的事件 ID 1005(根据http://www.eventid.net/display.asp?eventid=1005&eventno=4658&source=dsrestor&phase=1)。我的实验室里有一个 W2K3 R2 测试盒,它是从集成的 W2K3 SP2 VL 媒体安装的,并且在安装后立即进行 DCPROMO。我将完整的事件记录回操作系统负载,并且此事件不在其中任何一个中。我还检查了客户站点上第一个 W2K3 域控制器(2004 年与 RTM W2K3 媒体一起安装)的存档事件日志,我在任何地方都没有发现这个错误。我不确切知道您正在做什么以使此错误发生,但是我从未在任何地方看到过。
第 2 项 - Microsoft 从未修复此问题。我倾向于忽略它。我的各种事件日志通知应用程序也已配置为忽略它。是的,如果你愿意,你可以解决它。它不打扰我。
第 3 项 - 这根本不是错误!这是告诉你做某事。配置域外部的时间源。这是一个命令行程序,如果您不介意使用公共 NTP 服务器:“NET TIME /setsntp:pool.ntp.org”(指定您想要的任何 NTP 服务器)。我不知道为什么你提到的文章对此有如此大的影响。您需要一个外部到森林的时间源。(顺便说一句:这只发生在林根域中的 PDC 模拟器 FSMO 角色持有者上。林中所有其他 DC 的所有后续 DCPROMO 都不会生成此消息...)
您提到“第 4 项”是“DNS 错误”,但您实际上是在谈论事件 ID 1555,我认为是源“NTDS 复制”。这也不是错误。本文介绍了该功能的工作原理,并且它实际上是出于实用目的而存在于产品中的。如果初始同步没有在您的 FSMO 角色持有者 DC 上发生,您应该真正解决复制问题,而不是仅仅压制错误消息。我可以理解在测试环境或 DR 试运行中执行此操作,但在现实生活中,您应该解决与 FSMO 角色持有者的初始同步问题。
总结:我不知道你在做什么来实现第 1 项。我不能告诉你为什么微软没有修复第 2 项,但我不在乎。第 3 项不是问题。第 4 项是一个问题,因为它告诉您需要修复损坏的初始同步。
NTP 似乎会绊倒一些人,所以这就是交易。 如果您在 Windows 安装过程中未加入域,Windows 将“帮助”将您的时间服务器设置为 time1.windows.com (或类似)。例如,如果您需要在安装后加载 NIC 驱动程序,就会发生这种情况。
干净的 AD 安装的诀窍是在安装 AD之前完成所有准备工作。这包括正确设置您的 FQDN,确保机器可以通过您的 DNS 解析 IP-to-name 和 name-to-IP,以及正确设置您的时间源。 大多数 AD 安装错误的发生是因为这些步骤中的一个或多个步骤被遗漏或执行错误,因此在安装 AD之前正确执行并确保它们是正确的是唯一明智的解决方案。
如果预期的 DC 不是新域中的第一个,那么在安装 AD 之前将其作为标准成员服务器加入域也不会受到伤害。
特别是关于时间,对我来说尝试和信任的方式最多涉及两个步骤,都在命令行中。
这对所有域成员都是必需的,并且只是清除可能存在的任何 NTP 服务器设置。无需任何注册表摆弄。这是域成员的正确配置,因为没有设置 NTP 服务器,它只会从域层次结构中获取它的时间。
这仅在您的 PDC 模拟器上是必需的,您永远不应在任何其他域成员(无论是否为 DC)上显式设置 NTP 服务器。如果你这样做,可能会发生奇怪而美妙的事情。