چه کاری امکان پذیر است؟

- یک دومین کنترولر 2008 R2 میتواند به عنوان دومین کنترولرادیشنال به یک دومین ویندوز سرور 2000 که ۳۲ بیتی است اضافه شود .

  -یک دومین کنترولر  2008 R2میتواند به عنوان دومین کنترولر ادیشنال به یک دومین ویندوز سرور 2003 یا     2003 R2اضافه شود. در این مجموعه دومین کنترولرهای موجود میتوانند ۳۲ بیتی یا ۶۴ بیتی و یا iA64 باشند .

 - یک دومین کنترولر 2008 R2 میتواند به عنوان دومین کنترولر ادیشنال به یک دومین ویندوز سرور 2008 اضافه شود. در این مجموعه دومین کنترولرهای موجود میتوانند ۳۲ بیتی یا ۶۴ بیتی و یا iA64 باشند .

 - یک دومین کنترولر ویندوز سرور 2003 با سرویس پک 2 یا ویندوز سرور  2003 R2 با سرویس پک 2 که ۶۴ بیتی میباشند را میتوان با in-place upgrade به ویندوز سرور 2008R2 ارتقاء داد .

 - یک دومین کنترولر ویندوز سرور2008 که ۶۴ بیتی میباشد را میتوان با in-place upgrade به ویندوز سرور2008R2  ارتقاء داد .

 - یک دومین کنترولر ویندوز سرور 2008 که ۶۴ بیتی میباشد و به صورت Core اینستال شده را میتوان با   in-place upgrade به ویندوز سرور  2008 R2 که به صورت Core اینستال میشود ارتقاء داد .

توجه :

  -درست است که میتوان دومین کنترولر ویندوز 2003 با سرویس پک 2 یا ویندوز سرور  2003 R2 با سرویس پک 2 که ۶۴ بیتی میباشند را به صورت in-place upgrade ارتقاء داد ولی با این حال قبل از هرگونه عملیات ارتقاء امتحان کنید که آیا آخرین Update و پچها patch روی آن اینستال شده یا خیر، اگر نشده اینستال کنید و سپس اقدام به ارتقاء کنید .

 - قبل از آنکه دومین کنترولر را به صورت in-place upgrade به ویندوز 2008 R2 ارتقاء دهیم، امتحان کنید که آیا برنامهایی که روی دومین کنترولر اینستال شده میتواند با ویندوز سرور  2008 R2کار کند و مشکلی ندارد. برای آن که اطمینان حاصل کنید با شرکت تولید کنننده آن برنامه تماس بگیرید یا به سایت آن شرکت مراجعه کنید .

Upgrade Domain Controllers: Microsoft Support Quick Start for Adding Windows Server 2008 or Windows Server 2008 R2 Domain Controllers to Existing Domains

 
چه کاری امکان ندارد؟

- عمل ارتقاء in-place upgrade از ویندوز NT4 به ویندوز  2008 R2امکان ندارد. اگر بخواهید این کار را بکنید، ابتدا باید NT-PDCs را به ویندوز    2003یا  2003 R2با سرویس پک 2 که x64 باشند ارتقاء دهید و در آخر آن را به ویندوز  2008 R2 ارتقاء دهید. راه دیگر این است که از ADMT استفاده کنید . فقط توضیح اضافی برای کسانی که هنوز از ویندوز NT4 استفاده میکنند

 - دومین کنترولرهایی که قدیمی تر از ویندوز 2003 سرویس پک 2 و x64 باشند را نمیتوان به صورت in-place upgrade به ویندوز 2008R2 ارتقاء داد .

 - ارتقاء in-place upgrade از ویندوز 2003 یا  2003 R2یا 2008 با سرویس پک 1 یا 2 که x64 باشند و به صورت Full اینستال شده به ویندوز  Core 2008 R2امکان پذیر نیست .

 - ارتقاء in-place upgrade از ویندوز 2008 Core که به صورت x64 اینستال شده به ویندوز  2008 R2به صورت Full امکان ندارد .

 - ارتقاء cross-update از یک سیستم iA64 به سیستم x64 امکان ندارد و همچنین از یک سیستم x86 به x64 , مفهوم این جمله این است که نمیتوان DVD ویندوز  2008 R2را در این دومین کنترولرها گذاشت و به صورتin-place upgrade ارتقاء داد .

 - ارتقاء cross-update از یک سیستم که به طور مثال زبان فرانسوی است به یک زبان انگلیسی امکان ندارد. مفهوم این جمله این است که نمیتوان DVD ویندوز2008R2 را در این دومین کنترولرها گذاشت و به صورت in-place upgrade ارتقاء داد .

 
چه شرایطی را باید در یک Forest آماده کرد تا اولین دومین کنترولر  2008 R2را بتوانیم وارد کرد؟


- باید Domain Functional در یکی از حالت Windows 2000 native یا Windows Server 2003 یا Windows Server 2008 باشد. در صورتی که در یکی از این حالت نباشد، فرمان Adprep اجازه اجرا شدن و تغییرات را نمیدهد. برای Forest فرقی نمیکند که در چه حالتی باشد .

- اگر که میخواهیم یک RODC ویندوز 2008 یا  2008 R2اضافه کنیم، باید Forest Functional ما در حالت Windows Server 2003 باشد، همچنین باید یک دومین کنترولر ویندوز 2008 یا  2008 R2وجود داشته باشد  .

 - همه دومین کنترولرهای موجود در Forest باید از ویندوز سرور 2000 با سرویس پک 4 به بالا باشند .

 

قدم به قدم مراحل کار چیست؟


در محیط هایی که بزرگ هستند (منظور تعداد زیادی سایت Site و دومین کنترولردارند)، قبل از اجرای فرمان 
Adprep /Forestprep کارهای زیر را میکنیم .دلیل این کارها این است که در اینگونه محیط ها برای اینکه در زمان Prepare کردن Schema ، دومین کنترولر صاحب رول Schema عملیات Replication را انجام ندهد و سبب ایراد در عملیات     Prepare کردن نشود، دومین کنترولر صاحب رول Schema را ایزوله میکنند تا احتمال ایراد و مشکل به صفر برسد و بعد از  Prepare کردن آن را از حالت ایزوله خارج میکنند .

 - قبل از اجرای دستور فوق، یکبار به طور سراسری عملیات Replication را به صورت Force اجرا میکنیم .

 - این فرمان repadmin /replsum * /bysrc /bydest /sort:delta را اجرا میکنید و تناقضات موجود را کنترل میکنید تا ایرادی وجود نداشته باشد .

 - این فرمان repadmin /options +DISABLE_OUTBOUND_REPL را اجرا میکنیم تا عملیات Replication را آفلاین کنیم .

 - بعد از اجرای فرمان Adprep /Forestprep و در صورتی که همه چیز با موفقیت انجام شده است .

 - در آخر دوبار عملیات Replication را با فرمان repadmin /options -DISABLE_OUTBOUND_REPL فعال میکنیم .

 

دستورالعمل قدم به قدم برای ورود اولین دومین کنترولر ویندوز 2008 R2

- اولین کار استفاده از ابزار Adprep - Active Directory preparation میباشد که در DVD ویندوز سرور 2008R2 در این دایرکتوری DVD drive >: \Support\Adprep میباشد. در ضمن در ویندوز سرور  2008 R2 دو Adprep در این دایرکتوری وجود دارد :

الف- Adprep32.exe که برای استفاده روی سیستمهای x86 میباشد .
ب- Adprep.exe که برای استفاده روی سیستمهای x64 میباشد .

در نوشتن فرمان Adprep که در این قسمتها توضیح میدهم فقط یکی را مینویسم ولی مکانیزم یکی است و شما یکی از آنها را بر اساس 32 بیتی یا 64 بیتی سیستم خودتان انتخاب میکنید .

 - اولین فرمانی که اجرا میکنیم Adprep /Forestperp  میباشد. اکانتی که این فرمان را اجرا میکند باید عضو گروه زیر باشد :

الف - Enterprise Admins
ب - Schema Admins
پ - Domain Admins

توجه: امکان دارد که در اجرای این فرمان مشکلی برای شما پیش بیاید (اگر از روی DVD اجرا میکنید)، بهترین کار این است که کل این دایرکتوری را روی هارد دومین کنترولر کپی کنید و از آنجا اجرا کنید .

An error occurs when you run the ADPREP/FORESTPREP command on a Windows Server 2003-based computer: "An attribute with the same link identifier already exists"

 

در زمان اجرای این فرمان، ما باید بر روی دومین کنترلری باشیم که صاحب رول Schema میباشد. برای دیدن صاحبان رولهای  FSMO میتوانید از فرمان استفاده کنید. 

Netdom query /Domain:<Domain> FSMO

 

بعد از انجام عملیات با موفقیت ورژن Schema به عدد 47 تغییر میکند. که میتوان با روشهای زیر آن را چک کرد .


Schema versions

- Schema-Version 13 = Windows 2000
- Schema-Version 30 = Windows Server 2003
- Schema-Version 31 = Windows Server 2003 R2
- Schema-Version 44 = Windows Server 2008
- Schema-Version 47 = Windows Server 2008 R2

Registery key

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\<SchemaVersion>

یا با فرمان زیر میشود دید

dsquery * CN=Schema,CN=Configuration,DC=Contoso,DC=Com -Scope Base -attr objectVersion

و همچنین میشود با ADSIEdit.msc یا LDP.exe دید .

بعد از اجرای این دستور یک Container در مسیر

 CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=<RootDomain>

در پارتیشن پیکربندی میشود. صفت Attribute Revision در Container CN=ActiveDirectoryUpdate مقدارش به 5 تغییر میکند. در آخر باید مطمئن شد که این روی تمام دومین کنترولرهای موجود در Forest تکرار Replicate میشود تا بتوان دومین فرمان را جرا کرد .

توجه: در صورتی که در Forest دومین کنترولر 2008 )چه با 2000 یا 2003 و چه تنها ( وجود داشته باشد این Attribute Revision وجود دارد و مقدارش 2 است، ولی بعد از اجرای فرمان Adprep /Forestperep به 5 تغییر میکند .

 سپس فرمان Adprep /Domainprep /gpprep را روی دومین کنترولری که صاحب رول Infrastructure Master میباشد اجرا میکنیم. پارامتر Adprep /domainprep سبب ایجاد Object های جدید و تغییر ACLs بر روی اشیاء پارتیشن دومین میشود. پارامتر Adprep /gpprep سبب میشود که مجوز Group Policy Objects در دایرکتوری SYSVOL تنظیم شوند. در ضمن اکانتی که این دستور را اجرا میکند باید جزو گروه Domain Admins باشد .

اگر هنوزSchema  در دومین کنترولرها به روز نشده باشد، این فرمان گفته شده عمل نمیکند و همین اتفاق اگر روی دومین کنترولری بجز صاحب Infrastructure Master رول انجام شود دوباره پیش میاید .

بعد از اجرای فرمانAttribute Revision  در مسیر زیر در پارتیشن دومین ایجاد میشود .

CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=<Domain>

توجه: در صورتی که در Domain دومین کنترولر 2008 )چه با 2000 یا 2003 و چه تنها) وجود داشته باشد این Attribute Revision وجود دارد و مقدارش 3 است، ولی بعد از اجرای فرمان به 5 تغییر میکند .

میتوان این فرمان را یکبار به صورت Adprep /domainprep و سپس به صورت Adprep /domainprep /gpprep اجرا کرد، ولی بهترین حالت اینگونه Adprep /domainprep /gpprep است .

در یک دومین که دومین کنترولر ویندوز 2008 در (چه با 2000 یا 2003 و چه تنها) آن است اجرای فرمان با پارامتر Adprep /gpprep لازم یا ضرروی نیست، ولی اجرا کردن آن ضرری ندارد، چون در نهایت پیغامی به شما نشان داده میشود که میگوید احتیاجی نیست .

 دستور Adprep /RODCprep برای وارد کردن RODC میباشد. در صورتی که قبلا یک دومین کنترولر 2008 یا  2008 R2وجود داشته باشد. البته در پست قبلی گفته شد که اگر این دستور اجرا نشود، چه خطایی و چگونه دیده خواهد شد .

 اگر ساب دومین جدید با ویندوز سرور  2008 R2میخواهید ایجاد کنید فقط لازم است که Schema به روز شود.

 با اجرای فرمان Adprep یک دایرکتوری در مسیر

 %Systemroot%\Debug\Adprep\Logs

ایجاد میشود که لاگ Adprep.log در آنجاست و اگر مشکلی پیش آمد میتوان به آن نگاه کرد و مشکل را دیده و برطرف کرد .

 بعد از همه این کارها، بهترین کار این است که DNS را اینستال کنیم و تمام رول های FSMO را به  2008 R2 منتقل کنیم .

 

اگر یک دومین کنترولر 2008 یا 2008R2 را به یک دومین ای که در آن دومین کنترولرهای 2000 و/یا 2003 است وارد کنیم و
دستور Adprep /Rodcprep اجرا نکرده باشیم، زمانی که با دستور DCDIAG دومین کنترولر 2008 یا  2008R2را تست کنیم، پیغام خطای زیر را مشاهده میکنیم .


Starting test: NCSecDesc
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=DomainDnsZones,DC=CONTOSO,DC=COM
Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have
Replicating Directory Changes In Filtered Set
access rights for the naming context:
DC=ForestDnsZones,DC=CONTOSO,DC=COM
......................... Contoso-DC1 failed test NCSecDesc


این خطا به این دلیل است که توصیف امنیتی دایرکتوری پارتیشن که در این پیغام خطا برای دو application دایرکتوری پارتیشن DomainDNSZones و ForestDNSZones میباشد چک میکند که اجازه Replication دارند یا خیر. این خطا نشان میدهد که گروه NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS اجازه دسترسی برای Replication و تغییر دو application دایرکتوری پارتیشن را ندارد .

اگر نمیخواهید از RODC چه در زمان حال یا آینده استفاده کنید، از این خطا میتوان چشم پوشی کرد و مشکلی نیست ولی اگر تصمیم به استفاده از RODC دارید و یا میخواهید این خطا هم نباشد با اجرا کردن دستور Adprep /Rodcprep مشکل برطرف میشود .

Dcdiag fails for NCSecDesc test on Windows 2008 Domain Controllers

*********************************************************************

دومین کنترولری که روی آن فرمان Adprep /Rodcprep را میخواهید اجرا کنید، باید صاحب کدام رول FSMO باشد؟

 

لازم نیست برای اجرای فرمان Adprep /Rodcprep دومین کنترولر صاحب یکی از رول مخصوص FSMO باشد. این فرمان را میتوان روی یکی از دومین کنترولرهای موجود اجرا کرد که به طور اتوماتیک و از راه دور با Infrastructure Master دومین یا دومین ها در یک Forest ارتباط برقرار میکند و مجوز دومین و دایرکتوری پارتیشنDomainDNSZones  و ForestDNSZones را به روز رسانی میکند .

فقط باید به دو چیز توجه کرد :
- برای اجرای این فرمان باید اینترپرایز ادمین Enterprise Admin  باشید .
 - از ارتباط دومین کنترولری که این فرمان را روی آن اجرا میکنید با صاحب رول Infrastructure Master در دومین .


اگر رول PDC Emulator را Transfering یا Seizing میکنیم، باید سورس زمان Time Source را ریست Reset کنیم .

روی دومین کنترولری که صاحب رول PDC Emulator است، فرمان زیر را اجرا میکنیم (آدرسir.pool.ntp.org برای زمان ایران است) :

w32tm /config /update /manualpeerlist:ir.pool.ntp.org /syncfromflags:MANUAL /reliable:YES

روی دومین کنترولری که صاحب رول PDC Emulator بود، فرمان زیر را اجرا میکنیم : 

w32tm /config /syncfromflags:domhier /update

بعد از اجرای این فرامین، فرمان های زیر را روی هر 2 دومین کنترولر انجام میدهیم : 

Net Stop w32time
 
Net Start w32time

یادتان باشد روی فایروالی که اینترنت را به داخل هدایت میکند،UDP پورت 123 را باز کنید .

Asia — asia.pool.ntp.org