none
請問如何將windows 2008 server加入原有的windows 2003 AD中成為2003 Domain的DC

    問題

  • 各位大大,於發問前已爬文過了,很多大大都供獻很多例如

    http://social.technet.microsoft.com/Forums/zh-TW/windowsserver2008zhcht/thread/7d84c037-1898-46d9-bfb4-3a809d714ac1

    但因為自身對DC的觀念沒有建立得很完整,所以有些疑問想請大大們幫幫忙,我的問題如下:

    我的環境是windows 2003 server標準版DCx2+exchange 2003 server(win2003) x1,因為越來越多win 7 & vista的end user's PC,

    如果我要利用GPO控管win 7 or vista得話,又不要動到太多的架構,我是不是可以如以下的做法

    1. 新安裝一部win 2008成為網域成員,命名為A server。
    2. 在原有的windows2003 server 五大角色的那台(五大角色均在同一部server),利用Windows Server 2008 R2 安裝 DVD 的 \Support\Adprep 資料夾執行以下命令
      a.執行 adprep /forestprep 命令
      b.執行 adprep /domainprep /gpprep 命令
    3. 在新安裝的那部A server按一下 [開始] ,按一下 [執行] ,輸入 dcpromo.exe , 然後按一下 [確定]

    請問如此是不是日後我在A server上去設定GPO即可將win 7 or vista納入管控?

    這此先感謝大大們的回答...

     

     

    2010年6月3日 上午 07:37

解答

  • 如果已確認A Server 已經加入現有網域且升級為DC,
    就可以在A Server上管控GPO,
    但就像你提到的,未來就要用那台已經裝了Server 2008 的A Server去管控。
    或者在Vista/Win7用戶端用管理工具連接A Server去管控GPO。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:36
    2010年6月3日 上午 08:34
    版主
  • 如果擔心那台A Server 意外掛點產生GPO設定問題,
    其實在Vista/Win7用戶端也是能管理及發佈GPO,
    詳情可以參考TechNet 技術文件庫:使用 Windows Vista 部署群組原則
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已提議為解答 Jerry0822_IT 2010年6月3日 上午 09:51
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:36
    2010年6月3日 上午 09:44
    版主
  • 之前提供的連結文件在「下載新的架構」一節有提到:
    「Windows Vista 支援可透過群組原則設定加以設定的增強功能,而這些設定也受執行 Windows Server 2008 的網域控制站支援。由執行 Windows Server 2003 或 Windows Server 2003 R2 的網域控制站所組成的 Active Directory 服務環境若要支援這些增強功能,Active Directory 架構必須進行延伸。

    所以是要做Adprep 的動作沒錯,
    不過要特別注意的是,因為你使用的是Server 2008 R2 的DVD光碟,
    所以在2003 DC上執行的程式會是「adprep32」,
    因為預設的「adprep.exe」是屬於64位元。

    不過小弟還是比較推薦你安裝Server 2008 R2 做管理比較輕鬆簡單,
    畢竟在用戶端電腦做管理GPO 還是比較麻煩。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:37
    2010年6月4日 上午 06:26
    版主
  • adprep 是做AD Schema 的擴充用的.

    你要讓2008加入到2003 AD中,第一件事就是應該要去做Schema的擴充,讓2003認得2008,否則您的2008在做dcpromo時應當會無法加入2003 AD.

    adprep /forestprep, 是擴充Forest中的schema,建議在forest中的Sshema Master中執行,並且等待抄寫(或是執行手動抄寫)

    adprep /domainprep 是擴充Domain中的schema,必須在每一個 domain都要執行(假如您有多個domain)並且等待抄寫(或是執行手動抄寫)

    adprep /domainprep /gpprep 是擴充2008的group Policy, 也是必須在每一個 domain都要執行

    另外補充,還有一個指令: adprep /domainprep /rodcrep 是擴充RODC (read only dc, 2008 新功能) 的功能讓2003 AD 認得.

    這些指令有順序性,一定要先把 forest的部分執行完,並且等待抄寫完成.再接下去執行domain的,否則指令將會提醒你前者未執行喔!

     

    希望有回覆到您所想知到的答案!!

    • 已標示為解答 Birdman168 2010年6月9日 上午 04:28
    2010年6月9日 上午 02:08

所有回覆

  • 這樣會有群組原則套用不完全的問題

    建議將系統都升級為同等級系統再去設定群組原則

     


    分享工作上的經驗,Windows歡迎提出討論,Jerry_IT資訊技術手札 - 無名小站http://www.wretch.cc/blog/jerry0822 10/26影音教學(有聲音)Jerry_IT資訊教學影片技術手札(http://kili92.myweb.hinet.net/index.htm)
    2010年6月3日 上午 07:52
  • 如果已確認A Server 已經加入現有網域且升級為DC,
    就可以在A Server上管控GPO,
    但就像你提到的,未來就要用那台已經裝了Server 2008 的A Server去管控。
    或者在Vista/Win7用戶端用管理工具連接A Server去管控GPO。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:36
    2010年6月3日 上午 08:34
    版主
  • 謝謝大大的回覆,我會去實作看看,非常感謝~~~
    2010年6月3日 上午 09:15
  • 謝謝大大的回覆,但大大所說的群組原則套用不完全的意思是....?不好意思小弟不太了解,可不可以提示一下,或是可以參考哪些網站...
    2010年6月3日 上午 09:18
  • 群組原則套用不完全是我個人認為,如果發生部分使用者沒有套用的話,那就比較不好

    AD的環境我盡量想將系統等級都是一樣,畢竟如果以後如果主要那台掛了

    備援的那台又是較低等級的系統,那你就要重新設定

     


    分享工作上的經驗,Windows歡迎提出討論,Jerry_IT資訊技術手札 - 無名小站http://www.wretch.cc/blog/jerry0822 10/26影音教學(有聲音)Jerry_IT資訊教學影片技術手札(http://kili92.myweb.hinet.net/index.htm)
    2010年6月3日 上午 09:28
  • 如果擔心那台A Server 意外掛點產生GPO設定問題,
    其實在Vista/Win7用戶端也是能管理及發佈GPO,
    詳情可以參考TechNet 技術文件庫:使用 Windows Vista 部署群組原則
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已提議為解答 Jerry0822_IT 2010年6月3日 上午 09:51
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:36
    2010年6月3日 上午 09:44
    版主
  • 如果擔心那台A Server 意外掛點產生GPO設定問題,
    其實在Vista/Win7用戶端也是能管理及發佈GPO,
    詳情可以參考TechNet 技術文件庫:使用 Windows Vista 部署群組原則
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    Hi 蘇老:我可以這樣稱您嗎?

    看了您指示的技術文件後發現~~~是不是我可以不用安裝A server (win2008)

    就可以利用用戶端的win7發佈及管理新的GPO了?如果可以得話,是不是有什麼文件可以說明比較具體的做法?

    那在原有的windows2003 server 五大角色的那台(五大角色均在同一部server),利用Windows Server 2008 R2 安裝 DVD 的 \Support\Adprep 資料夾執行以下命令
    a.執行 adprep /forestprep 命令
    b.執行 adprep /domainprep /gpprep 命令

    這個需要做嗎?

    謝謝您的回答~~~

     

    2010年6月4日 上午 01:40
  • 自我回答一下,剛剛爬到蘇老之前PO的文,我想應該不用裝A server就可以了,

    http://social.technet.microsoft.com/forums/zh-tw/winserverzhcht/thread/988F83D8-3CA1-4273-91CC-E7F653640C0B

    但還是要問一下:

    那在原有的windows2003 server 五大角色的那台(五大角色均在同一部server),利用Windows Server 2008 R2 安裝 DVD 的 \Support\Adprep 資料夾執行以下命令
    a.執行 adprep /forestprep 命令
    b.執行 adprep /domainprep /gpprep 命令

    這個需要做嗎?

    2010年6月4日 上午 02:20
  • 之前提供的連結文件在「下載新的架構」一節有提到:
    「Windows Vista 支援可透過群組原則設定加以設定的增強功能,而這些設定也受執行 Windows Server 2008 的網域控制站支援。由執行 Windows Server 2003 或 Windows Server 2003 R2 的網域控制站所組成的 Active Directory 服務環境若要支援這些增強功能,Active Directory 架構必須進行延伸。

    所以是要做Adprep 的動作沒錯,
    不過要特別注意的是,因為你使用的是Server 2008 R2 的DVD光碟,
    所以在2003 DC上執行的程式會是「adprep32」,
    因為預設的「adprep.exe」是屬於64位元。

    不過小弟還是比較推薦你安裝Server 2008 R2 做管理比較輕鬆簡單,
    畢竟在用戶端電腦做管理GPO 還是比較麻煩。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    • 已標示為解答 Birdman168 2010年6月4日 上午 08:37
    2010年6月4日 上午 06:26
    版主
  • 自我測試回報:

    我參考實做了使用 Windows Vista 部署群組原則 的文件後

    並沒有 在DC (A server)上做

    a.執行 adprep /forestprep 命令
    b.執行 adprep /domainprep /gpprep 命令

    而在我的Vista client使用GPMC,已經可以利用GPO控管Win 7 & Vista了,

    所以是不是有大大可以說明一下上述兩個指定的用意為何?

     

     

    2010年6月8日 上午 02:51
  • Adprep 主要是擴充AD 資料庫,
    參數及詳情可以參考TechNet 技術文件庫:Adprep


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    2010年6月8日 上午 03:10
    版主
  • adprep 是做AD Schema 的擴充用的.

    你要讓2008加入到2003 AD中,第一件事就是應該要去做Schema的擴充,讓2003認得2008,否則您的2008在做dcpromo時應當會無法加入2003 AD.

    adprep /forestprep, 是擴充Forest中的schema,建議在forest中的Sshema Master中執行,並且等待抄寫(或是執行手動抄寫)

    adprep /domainprep 是擴充Domain中的schema,必須在每一個 domain都要執行(假如您有多個domain)並且等待抄寫(或是執行手動抄寫)

    adprep /domainprep /gpprep 是擴充2008的group Policy, 也是必須在每一個 domain都要執行

    另外補充,還有一個指令: adprep /domainprep /rodcrep 是擴充RODC (read only dc, 2008 新功能) 的功能讓2003 AD 認得.

    這些指令有順序性,一定要先把 forest的部分執行完,並且等待抄寫完成.再接下去執行domain的,否則指令將會提醒你前者未執行喔!

     

    希望有回覆到您所想知到的答案!!

    • 已標示為解答 Birdman168 2010年6月9日 上午 04:28
    2010年6月9日 上午 02:08
  • 非常感謝這麼詳細的回答~~~

    2010年6月9日 上午 04:28