我想知道是否有人有办法在 Windows 2003 R2 Server 上安装 Active Directory,无需任何技巧,并且在事件日志中没有错误/警告。
我传统上采用大约 15 步的“手动”过程来安装 AD,但我正在使用 Windows 2003 R2 来安装新服务器,并想尝试“服务器管理器”方式。因此,在我安装了一份全新的 Windows 2003 R2 副本并加载了 SP2 后,我单击了“管理您的服务器”窗口中的“添加角色”,然后运行了“配置您的服务器”向导。我选择了“第一台服务器的典型配置”。
重新启动后,我注意到事件日志中存在一些问题(有些很熟悉):
The DSRestore Filter failed to connect to local SAM server. Error returned is <id:997>.修复此问题需要从中删除“dsrestor”HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Notification Packages,然后重置目录服务还原模式管理员帐户Q322672并重新启动。MS DTC could not correctly process a DC Promotion/Demotion event. MS DTC will continue to function and will use the existing security settings.这与KB923977只需进入组件服务->我的电脑->属性->MSDTC->安全配置->单击确定,然后停止并重新启动 MSDTC。Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source.解决这个问题需要漫长的过程本文概述。
我没有看到通常会看到的 DNS 错误,该错误会使你将其设置HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations为 0,这很好,但是,仍然,按照“书上”的说明进行全新安装存在 3 个问题。
编辑:刚刚出现 DNS 错误(错误 6702 DNS server has updated its own host (A) records...),所以我必须实施上述修复。因此,这会产生四个问题。
所以我的想法是...Windows 2003 自 2003 年就已经存在了...所以六年多了。它有无数的补丁、两个服务包,甚至还有 R2 更新。不使用技巧真的不可能无错误地安装 Active Directory 吗?我错过了什么?
答案1
我已经在 W2K 和 W2K3 上安装了 Active Directory年没有您谈论的任何旋转。
第 1 项 - 这是来自源 DSrestor 的事件 ID 1005(根据http://www.eventid.net/display.asp?eventid=1005&eventno=4658&source=dsrestor&phase=1)。我的实验室里有一个 W2K3 R2 测试机,它是从集成的 W2K3 SP2 VL 介质安装的,安装后立即进行了 DCPROMO。我有完整的事件日志返回到操作系统加载,但此事件不在其中。我还检查了客户站点上第一个 W2K3 域控制器(2004 年使用 RTM W2K3 介质安装)的存档事件日志,我没有在任何地方发现此错误。我不知道您到底做了什么导致此错误发生,但我已经绝不在任何地方都见过它。
第 2 项 - Microsoft 从未修复过此问题。我倾向于忽略它。我的各种事件日志通知应用程序也已配置为忽略它。是的,如果您愿意,您可以解决它。它不会困扰我。
第 3 项 - 这根本不是错误!这是在告诉你做一点事。配置域外部的时间源。如果您不介意使用公共 NTP 服务器,这是一个命令行过程:“NET TIME /setsntp:pool.ntp.org”(指定您想要的任何 NTP 服务器)。我有不不知道为什么您提到的文章会对此大惊小怪。您需要一个外部森林时间源。(顺便说一句:这只发生在森林根域中的 PDC 模拟器 FSMO 角色持有者身上。森林中所有其他 DC 的所有后续 DCPROMO 都不会生成此消息……)
您提到“项目 4”是“DNS 错误”,但您实际上谈论的是事件 ID 1555,我认为来源是“NTDS 复制”。这也不是错误。本文描述了该功能的工作原理,它实际上在产品中用于实用目的。如果初始同步未在您的 FSMO 角色持有者 DC 上发生,您应该真正修复复制问题,而不仅仅是压制错误消息。我可以理解在测试环境或 DR 试运行中这样做,但在现实生活中,您应该修复 FSMO 角色持有者的初始同步问题。
总结:我不知道你做了什么来让第 1 项发生。我无法告诉你为什么微软没有修复第 2 项,但是我不必在意。第 3 项不是问题。第 4 项是一个问题,因为它告诉您需要修复损坏的初始同步。
答案2
NTP 似乎使一些人困惑,所以事情是这样的。 如果您在 Windows 安装过程中未加入域,Windows 将“有帮助地”将您的时间服务器设置为 time1.windows.com (或类似). 例如,如果您需要在安装后加载 NIC 驱动程序,则可能会发生这种情况。
干净安装 AD 的诀窍是完成所有准备工作前安装 AD。这包括正确设置您的 FQDN、确保机器可以通过您的 DNS 解析 IP 到名称和名称到 IP,以及正确设置您的时间源。 大多数 AD 安装错误都是因为以下一个或多个步骤被遗漏或错误执行所致,所以要正确地做这些事,并确保它们是正确的前安装 AD 是唯一明智的解决方案。
如果未来的 DC 不是新域中的第一个 DC,那么在安装 AD 之前将其作为标准成员服务器加入到域中也不会有任何坏处。
具体到时间,我尝试过并信任的方法最多涉及两个步骤,均在命令行上。
net time /setsntp:
所有域成员都需要这样做,并且只会清除可能存在的任何 NTP 服务器设置。无需进行任何注册表调整。这是域成员的正确配置,因为如果没有设置 NTP 服务器,它只会从域层次结构中获取时间。
net time /setsntp:whatever.wherever.whoever
这仅在您的 PDC 模拟器上是必需的,您应该绝不在任何其他域成员上明确设置 NTP 服务器,无论是否是 DC。如果您这样做,可能会发生奇怪而奇妙的事情。