Freigeben über


Installieren eines schreibgeschützten Domänencontrollers (RODC) in Windows Server 2012 (Stufe 200)

In diesem Artikel erfahren Sie, wie Sie ein gestaffeltes RODC-Konto erstellen und anschließend bei der RODC-Installation einen Server an dieses Konto anfügen. Außerdem wird die Installation eines RODC ohne gestaffelte Installation beschrieben.

Workflow für die RODC-Staffelung

Eine gestaffelte Installation eines schreibgeschützten Domänencontrollers (RODC) funktioniert in zwei separaten Phasen:

  1. Vorbereiten eines nicht benutzten Computerkontos

  2. Anfügen eines RODC an dieses Konto bei der Heraufstufung

Das folgende Diagramm zeigt den Stagingprozess für den schreibgeschützten Domänencontroller für Active Directory-Domänendienste, wobei Sie über das Active Directory-Verwaltungscenter (Dsac.exe) ein leeres RODC-Computerkonto in der Domäne erstellen.

Diagramm, in dem der oben beschriebene Stagingprozess für den schreibgeschützten Active Directory Domain Services-Domänencontroller dargestellt ist.

Staffelung RODC Windows PowerShell

ADDSDeployment-Cmdlet Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.)
Add-addsreadonlydomaincontrolleraccount -SkipPreChecks

-DomainControllerAccountName

-DomainName

-SiteName

-AllowPasswordReplicationAccountName

-Credential

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-NoGlobalCatalog

-InstallDNS

-ReplicationSourceDC

Hinweis

Das Argument -credential ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Domänen-Admins angemeldet sind.

Anfügen des RODC-Workflows

Das folgende Diagramm zeigt den Konfigurationsprozess für die Active Directory-Domänendienste. Sie haben die AD DS-Rolle bereits installiert, das RODC-Konto vorbereitet und Server zu einem Domänencontroller heraufstufen über den Server-Manager gestartet, um einen neuen RODC in einer existierenden Domäne zu erstellen und an das vorbereitete Computerkonto anzufügen.

Diagramm, in dem der oben beschriebene Konfigurationsprozess für Active Directory Domain Services dargestellt ist.

Anfügen RODC Windows PowerShell

ADDSDeployment-Cmdlet Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.)
Install-AddsDomaincontroller -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-InstallationMediaPath

-LogPath

-Norebootoncompletion

-ReplicationSourceDC

-SystemKey

-SYSVOLPath

-UseExistingAccount

Hinweis

Das Argument -credential ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Domänen-Admins angemeldet sind.

Staging

Screenshot des Active Directory-Verwaltungscenters, in dem im Aufgabenbereich die Option „Konto für schreibgeschützten Domänencontroller vorab erstellen“ hervorgehoben ist.

Sie führen die Staffelung eines schreibgeschützten Domänencontrollers aus, indem Sie das Active Directory-Verwaltungscenter (Dsac.exe) öffnen. Wählen Sie im Navigationsbereich den Namen der Domäne aus. Doppelklicken Sie in der Liste Verwaltung auf Domänencontroller. Wählen Sie im Aufgabenbereich Konto für schreibgeschützten Domänencontroller vorab erstellen aus.

Weitere Informationen zum Active Directory-Verwaltungscenter finden Sie unter Erweiterte AD DS-Verwaltung mit dem Active Directory-Verwaltungscenter (Ebene 200) sowie unter Active Directory-Verwaltungscenter: Erste Schritte.

Falls Sie keine Erfahrung mit der Erstellung schreibgeschützter Domänencontroller haben, werden Sie feststellen, dass der Installations-Assistent dieselbe grafische Oberfläche wie das ältere Snap-In „Active Directory-Benutzer und -Computer“ unter Windows Server 2008 hat und denselben Code verwendet, einschließlich Export der Konfiguration im Dateiformat für die unbeaufsichtigte Installation über das veraltete dcpromo-Tool.

Windows Server 2012 enthält ein neues ADDSDeployment-Cmdlet zur Staffelung von RODC-Computerkonten, der Assistent verwendet dieses Cmdlet jedoch nicht. Hier sehen Sie das entsprechende Cmdlet inklusive Argumente zum besseren Verständnis der jeweiligen Informationen.

Der Link Konto für schreibgeschützten Domänencontroller vorab erstellen im Aufgabenbereich des Active Directory-Verwaltungscenters entspricht dem Windows PowerShell-Cmdlet „ADDSDeployment“:

Add-addsreadonlydomaincontrolleraccount

Willkommen

Screenshot der Willkommensseite des Assistenten zum Installieren von Active Directory Domain Services mit ausgewählter Option „Installation im erweiterten Modus verwenden“.

Der Dialog Willkommen enthält eine Option mit dem Namen Installation im erweiterten Modus verwenden. Wählen Sie diese Option und dann Weiter aus, um Optionen für die Kennwortreplikationsrichtlinien anzuzeigen. Löschen Sie diese Option, um die Standardwerte für die Kennwortreplikationsrichtlinie zu verwenden (dies wird später in diesem Abschnitt genauer besprochen).

Netzwerk-Anmeldeinformationen

Screenshot der Seite „Netzwerkanmeldeinformationen“ des Assistenten zum Installieren von Active Directory Domain Services.

Unter Domänenname im Dialog Sicherheitsinformationen für das Netzwerk wird die Standard-Zieldomäne für das Active Directory-Verwaltungscenter angezeigt. Standardmäßig werden Ihre aktuellen Anmeldeinformationen verwendet. Falls diese nicht Teil der Gruppe mit Domänenadministrator*innen ist, wählen Sie Alternative Anmeldeinformationen und Festlegen aus, um einen Benutzernamen und ein Kennwort einzugeben, die Teil der Gruppe mit Domänenadministrator*innen sind.

Das entsprechende ADDSDeployment Windows PowerShell-Argument ist:

-credential <pscredential>

Achtung: Das Staffelungssystem ist eine direkte Übernahme aus Windows Server 2008 R2 und bietet nicht die neue adprep-Funktion. Falls Sie gestaffelte RODC-Konten bereitstellen möchten, müssen Sie entweder zuerst einen ungestaffelten RODC in der Domäne bereitstellen, damit der automatische rodcprep-Vorgang ausgeführt wird, oder „adprep.exe /rodcprep“ zunächst manuell ausführen.

Andernfalls erhalten Sie eine Fehlermeldung. Sie können einen schreibgeschützten Domänencontrollers in dieser Domäne nicht installieren, da „adprep /rodcprep“ noch nicht ausgeführt wurde:

Screenshot der Warnmeldung des Assistenten zum Installieren von Active Directory Domain Services, die besagt, dass „adprep /rodcprep“ noch nicht ausgeführt wurde.

Namen des Computers angeben

Screenshot der Seite „Namen des Computers angeben“ des Assistenten zum Installieren von Active Directory Domain Services.

Im Dialogfeld Namen des Computers angeben müssen Sie den Computernamen mit einer einzelnen Bezeichnung eines noch nicht vorhandenen Domänencontrollers eingeben. Der Domänencontroller, den Sie konfigurieren und später an dieses Konto anfügen, muss denselben Namen haben. Andernfalls erkennt der Heraufstufungsvorgang das gestaffelte Konto nicht.

Das entsprechende ADDSDeployment Windows PowerShell-Argument ist:

-domaincontrolleraccountname <string>

Standort auswählen

Screenshot der Seite „Standort auswählen“ des Assistenten zum Installieren von Active Directory Domain Services.

Der Dialog Standort auswählen enthält eine Liste von Active Directory-Standorten für die Gesamtstruktur. Für die gestaffelte schreibgeschützte Domänencontroller-Operation müssen Sie einen einzelnen Standort aus der Liste auswählen. Der RODC verwendet diese Informationen zur Erstellung des NTDS-Einstellungsobjekts in der Konfigurationspartition und zum Anfügen an den korrekten Standort beim ersten Start nach der Bereitstellung.

Das entsprechende ADDSDeployment Windows PowerShell-Argument ist:

-sitename <string>

Weitere Domänencontrolleroptionen

Screenshot der Seite „Domänencontrolleroptionen angeben“ des Assistenten zum Installieren von Active Directory Domain Services.

Im Dialog Weitere Domänencontrolleroptionen können Sie angeben, dass ein Domänencontroller ebenfalls als DNS-Server und als Globaler Katalog fungieren soll. Schreibgeschützte Domänencontroller sollten nach Möglichkeit DNS- und GC-Dienste anbieten, daher werden beide standardmäßig installiert. Ein Ziel der RODC-Rolle sind Filialen, in denen das Fernnetz möglicherweise nicht verfügbar ist und deren Computer die AD DS-Ressourcen und -Funktionen ohne diese DNS- und GC-Dienste nicht nutzen können.

Die Option Schreibgeschützter Domänencontroller (RODC) ist vorausgewählt und kann nicht deaktiviert werden. Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

Hinweis

Der Wert für -NoGlobalCatalog ist standardmäßig „$false“, d. h. der Domänencontroller ist ein globaler Katalogserver, wenn das Argument nicht angegeben ist.

Kennwortreplikationsrichtlinie angeben

Screenshot der Seite „Kennwortreplikationsrichtlinie angeben“ des Assistenten zum Installieren von Active Directory Domain Services.

Im Dialog Kennwortreplikationsrichtlinie angeben können Sie die Standardliste der Konten bearbeiten, deren Kennwörter auf diesem schreibgeschützten Domänencontroller zwischengespeichert werden dürfen. Konten, die nicht in dieser Liste sind (implizit) oder die mit Verweigern konfiguriert sind, können ihre Kennwörter nicht zwischenspeichern. Konten, die ihre Kennwörter nicht im RODC zwischenspeichern und sich nicht mit einem beschreibbaren Domänencontroller verbinden und authentifizieren können, haben keinen Zugriff auf Ressourcen und Funktionen von Active Directory.

Wichtig

Der Assistent zeigt diesen Dialog nur an, wenn Sie im Willkommensbildschirm das Kontrollkästchen Installation im erweiterten Modus verwenden markiert haben. Wenn Sie dieses Kontrollkästchen nicht markieren, verwendet der Assistent die folgenden Standardgruppen und -Werte:

  • Administratoren - Verweigern
  • Server-Operatoren - Verweigern
  • Sicherungs-Operatoren - Verweigern
  • Konten-Operatoren - Verweigern
  • Abgelehnte RODC-Kennwortreplikationsgruppe - Verweigern
  • Zulässige RODC-Kennwortreplikationsgruppe - Erlauben

Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Screenshot des Dialogfelds „Gruppen, Benutzer und Computer hinzufügen“.

Delegierung der Installation und Verwaltung des RODC

Screenshot der Seite „Delegierung der Installation und Verwaltung des RODC“ des Assistenten zum Installieren von Active Directory Domain Services.

Im Dialog Delegierung der Installation und Verwaltung des RODC können Sie Benutzer oder Gruppen von Benutzern konfigurieren, die den Server an das RODC-Computerkonto anfügen dürfen. Wählen Sie Festlegen aus, um die Domäne nach Benutzer*innen oder Gruppen zu durchsuchen. Die in diesem Dialog ausgewählten Benutzer oder Gruppen erhalten lokale Administratorberechtigungen für den RODC. Der angegebene Benutzer bzw. die Mitglieder der angegebenen Gruppe kann/können Vorgänge auf dem RODC mit Berechtigungen ausführen, die denen der Gruppe „Administratoren“ des Computers entsprechen. Sie sind keine Mitglieder der Gruppe mit Domänenadministrator*innen oder der in die Domäne integrierten Gruppe „Administratoren“.

Verwenden Sie diese Option, um die Administration von Filialen zu delegieren, ohne den Filialen-Administrator in die Gruppe Domänen-Admins aufzunehmen. Das Delegieren der RODC-Verwaltung ist nicht erforderlich.

Das entsprechende ADDSDeployment Windows PowerShell-Argument ist:

-delegatedadministratoraccountname <string>

Zusammenfassung

Screenshot der Seite „Zusammenfassung“ des Assistenten zum Installieren von Active Directory Domain Services.

Im Dialog Zusammenfassung können Sie Ihre Einstellungen bestätigen. Dies ist die letzte Gelegenheit, die Installation abzubrechen, bevor das gestaffelte Konto erstellt wird. Wählen Sie Weiter aus, wenn Sie bereit für die Erstellung des gestaffelten RODC-Computerkontos sind. Wählen Sie Einstellungen exportieren aus, um eine Antwortdatei im veralteten dcpromo-Dateiformat für die unbeaufsichtigte Installation zu exportieren.

Erstellung

Screenshot der Statusseite des Assistenten zum Installieren von Active Directory Domain Services.

Der Assistent zum Installieren von Active Directory-Domänendiensten erstellt den gestaffelten schreibgeschützten Domänencontroller in Active Directory. Dieser Vorgang kann nach dem Start nicht mehr abgebrochen werden.

Screenshot der letzten Seite des Assistenten zum Installieren von Active Directory Domain Services.

Mit dem folgenden Cmdlet können Sie ein Computerkonto für einen schreibgeschützten Domänencontroller über das ADDSDeployment Windows PowerShell-Modul staffeln:

Add-addsreadonlydomaincontrolleraccount

Unter Staffelung RODC Windows PowerShell finden Sie eine Liste benötigter und optionaler Argumente.

Add-ADDSReadOnlyDomainControllerAccount umfasst nur eine Aktion mit zwei Phasen (Voraussetzungsüberprüfung und Installation), daher ist in den folgenden Screenshots die Installationsphase mit den erforderlichen Mindestargumenten dargestellt.

Screenshot des PowerShell-Fensters mit dem vollständigen Cmdlet „Add-ADDSReadOnlyDomainControllerAccount“.

Screenshot des PowerShell-Fensters mit dem Ergebnis des Cmdlets „Add-ADDSReadOnlyDomainControllerAccount“.

Bei der RODC-Staffelungsoperation wird das RODC-Computerkonto in Active Directory erstellt. Im Active Directory-Verwaltungscenter wird der Typ des Domänencontrollers als Nicht belegtes Domänencontrollerkonto angezeigt. Dieser Domänencontroller-Typ gibt an, dass ein gestaffeltes RODC-Konto existiert, an das sich ein Server als schreibgeschützter Domänencontroller anfügen kann.

Screenshot des Active Directory-Verwaltungscenters, in dem der Domänencontrollertyp „Nicht belegtes Domänencontrollerkonto“ hervorgehoben ist.

Wichtig

Das Active Directory-Verwaltungscenter wird zum Anfügen eines Servers an ein schreibgeschütztes Domänencontrollerkonto nicht mehr benötigt. Verwenden Sie den Server-Manager und den Konfigurations-Assistenten für Active Directory-Domänendienste oder das ADDSDeployment Windows PowerShell-Modul-Cmdlet Install-AddsDomainController, um einen neuen RODC an ein gestaffeltes Konto anzufügen. Dies funktioniert ähnlich wie das Hinzufügen eines neuen beschreibbaren Domänencontrollers zu einer existierenden Domäne, mit dem Unterschied, dass das gestaffelte RODC-Computerkonto Konfigurationsoptionen enthält, die Sie bei dessen Staffelung festgelegt haben.

anfügen?

Bereitstellungskonfiguration

Screenshot der Seite „Bereitstellungskonfiguration“ des Konfigurations-Assistenten für Active Directory Domain Services.

In Server-Manager beginnt jede Heraufstufung eines Domänencontrollers auf der Seite Bereitstellungskonfiguration. Die restlichen Optionen und erforderlichen Felder auf dieser Seite und den folgenden Seiten variieren in Abhängigkeit von dem von Ihnen ausgewählten Bereitstellungsvorgang.

Um einen schreibgeschützten Domänencontroller zu einer vorhandenen Domäne hinzuzufügen, wählen Sie Domänencontroller vorhandener Domäne hinzufügen aus. Wählen Sie dann die Schaltfläche Auswählen aus, um die Domäneninformationen für diese Domäne anzugeben. Server-Manager fordert Sie automatisch zur Eingabe gültiger Anmeldeinformationen auf. Wählen Sie alternativ Ändern aus.

Sie müssen Mitglied der Gruppe Domänen-Admins sein, um in Windows Server 2012 einen RODC anfügen zu können. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für Active Directory Domain Services eine Eingabeaufforderung ausgegeben.

Das ADDSDeployment Windows PowerShell-Cmdlet für die Bereitstellungskonfiguration und dessen Argumente sind wie folgt:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Domänencontrolleroptionen

Screenshot der Seite „Domänencontrolleroptionen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Die Seite Domänencontrolleroptionen enthält die Domänencontrolleroptionen für den neuen Domänencontroller. Beim Laden dieser Seite schickt der Konfigurations-Assistent für Active Directory-Domänendienste eine LDAP-Anfrage an einen existierenden Domänencontroller, um nach nicht verwendeten Konten zu suchen. Wenn die Abfrage ein nicht belegtes Domänencontroller-Computerkonto mit demselben Namen wie der aktuelle Computer findet, wird im Assistenten oben auf der Seite die folgende Informationsmeldung angezeigt: Das Verzeichnis enthält ein zuvor erstelltes RODC-Konto, das dem Namen des Zielservers entspricht. Wählen Sie aus, ob Sie das vorhandene RODC-Konto verwenden oder diesen Domänencontroller neu installieren möchten. Der Assistent verwendet Vorhandenes RODC-Konto verwenden als Standardkonfiguration.

Wichtig

Verwenden Sie die Option Diesen Domänencontroller neu installieren, wenn ein physisches Problem in einem Domänencontroller aufgetreten ist und dieser nicht mehr betriebsbereit ist. Dies spart Zeit bei der Konfiguration des Ersatz-Domänencontrollers, da das Domänencontroller-Computerkonto und die Objekt-Metadaten in Active Directory verbleiben. Installieren Sie den Computer mit dem gleichen Namen und stufen Sie ihn als Domänencontroller für die Domäne herauf. Die Option Diesen Domänencontroller neu installieren ist nicht verfügbar, wenn Sie die Metadaten des Domänencontrollerobjekts aus Active Directory entfernt haben (Metadatenbereinigung).

Beim Anfügen eines Servers an ein RODC-Computerkonto können Sie keine Domänencontrolleroptionen konfigurieren. Die Domänencontrolleroptionen werden bei der Erstellung des RODC-Computerkontos konfiguriert.

Das angegebene Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus muss die Kennwortrichtlinie für den Server erfüllen. Wählen Sie stets ein sicheres, komplexes Kennwort oder bevorzugterweise eine Passphrase aus.

Die entsprechenden ADDSDeployment Windows PowerShell-Argument für die Domänencontrolleroptionen sind:

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Wichtig

Der Standortname muss bei der Angabe als Argument für -sitename bereits vorhanden sein. Das Cmdlet install-AddsDomainController erstellt keine Standortnamen. Mit dem Cmdlet new-adreplicationsite können Sie neue Standorte erstellen.

Die Install-ADDSDomainController-Argumente verwenden dieselben Standardwerte wie Server-Manager, wenn diese nicht angegeben werden.

Das Argument SafeModeAdministratorPassword funktioniert etwas anders:

  • wenn als Argument nicht angegeben, fordert das Cmdlet Sie auf, ein maskiertes Kennwort einzugeben und zu bestätigen. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

    Um einen neuen RODC in corp.contoso.com zu erstellen und zur Eingabe und Bestätigung eines maskierten Kennworts aufgefordert zu werden:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • wenn mit einem Wert angegeben, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern:

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Warnung

Da mit der vorherigen Option das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: das Kennwort ist nicht sichtbar.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Zuletzt sollten Sie das verborgene Kennwort in einer Datei speichern und später wiederverwenden, ohne dass jemals das Klartextkennwort erscheint. Beispiel:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warnung

Das Bereitstellen oder Speichern eines Klartext- oder abgeblendeten Kennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen zusehen, kennen dann das DSRM-Kennwort dieses Domänencontrollers. Jede Person mit Zugriff auf die Datei kann das abgeblendete Kennwort extrahieren. Mit diesem Wissen können sich diese an einem Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus anmelden, einen Identitätswechsel für den Domänencontroller selbst ausführen und ihre Rechte in einer AD-Gesamtstruktur auf die höchste Stufe heraufstufen. Zusätzliche Schritte mit System.Security.Cryptography zur Verschlüsselung der Textdatei werden empfohlen, sind jedoch nicht Teil dieser Anleitung. Generell sollten Sie es vermeiden, Kennwörter zu speichern.

Zusätzliche Optionen

Screenshot der Seite „Weitere Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf der Seite Zusätzliche Optionen können entweder einen Domänencontroller als Replikationsquelle angeben oder einen beliebigen Domänencontroller als Replikationsquelle verwenden.

Sie können auch festlegen, dass der Domänencontroller mithilfe gesicherter Medien und der Option %%amp;quot;Installieren von Medium%%amp;quot; (Install from Media, IFM) installiert wird. Wenn Sie das Kontrollkästchen Installieren von Medium aktivieren, wird eine Option zum Durchsuchen angezeigt, und Sie müssen Überprüfen auswählen, um sicherzustellen, dass sich am angegebenen Pfad ein gültiges Medium befindet.

Richtlinien für die IFM-Quelle:

  • Die von der IFM-Option verwendeten Medien werden mittels Windows Server-Sicherung oder „Ntdsutil.exe“ nur von einem anderen vorhandenen Windows Server-Domänencontroller mit derselben Betriebssystemversion erstellt. Sie können beispielsweise nicht Windows Server 2008 R2 oder ein früheres Betriebssystem verwenden, um Medien für einen Windows Server 2012-Domänencontroller zu erstellen.
  • Die IFM-Quelldaten sollten von einem beschreibbaren Domänencontroller stammen. Während eine Quelle von einem RODC theoretisch zum Erstellen eines neuen RODC genutzt werden kann, gibt es falsch positive Replikationswarnungen, dass der IFM-Quell-RODC nicht repliziert wird.

Weitere Informationen zu Änderungen in IFM finden Sie unter Ntdsutil.exe installieren aus Medienänderungen. Wenn die Medien mit einem Systemschlüssel (SYSKEY) geschützt sind, werden Sie während der Überprüfung von Server-Manager zur Eingabe des Kennworts für das Abbild aufgefordert.

Screenshot des Eingabeaufforderungsfensters mit den Ergebnissen der Ausführung von „ntdsutil“.

Die ADDSDeployment Windows PowerShell-Argumente für Zusätzliche Optionen sind:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

Screenshot der Seite „Pfade“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf der Seite Pfade können Sie die standardmäßigen Ordnerpfade der AD DS-Datenbank, der Datenbankprotokolle und der SYSVOL-Freigabe überschreiben. Die Standardspeicherorte befinden sich grundsätzlich in Unterverzeichnissen von %systemroot%. Die ADDSDeployment Windows PowerShell-Argumente für Pfade sind:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Optionen prüfen und Skript anzeigen

Screenshot der Seite „Optionen prüfen“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf der Seite Optionen prüfen können Sie vor dem Starten der Installation Ihre Einstellungen validieren und sicherstellen, dass Ihre Anforderungen erfüllt werden. Dies ist jedoch nicht die letzte Möglichkeit, um die Installation mit Server-Manager zu stoppen. Diese Seite ermöglicht Ihnen lediglich das Überprüfen und Bestätigen Ihrer Einstellungen, bevor Sie die Konfiguration fortsetzen. Die Seite Optionen prüfen im Server-Manager bietet zudem die optionale Schaltfläche Skript anzeigen zum Erstellen einer Unicode-Textdatei, die die aktuelle ADDSDeployment-Konfiguration als einzelnes Windows PowerShell-Skript enthält. Dies ermöglicht Ihnen die Verwendung der grafischen Oberfläche von Server-Manager als Windows PowerShell-Bereitstellungsstudio. Mithilfe des Konfigurations-Assistenten für die Active Directory-Domänendienste können Sie Optionen konfigurieren, die Konfiguration exportieren und den Assistenten abbrechen. Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt. Beispiel:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

Hinweis

Server-Manager füllt bei der Heraufstufung normalerweise alle Argumente mit Werten aus und verlässt sich nicht auf Standardwerte (da sich diese in zukünftigen Windows-Versionen oder Service Packs ändern können). Die einzige Ausnahme hierbei ist das Argument -safemodeadministratorpassword. Lassen Sie dieses Argument bei der interaktiven Ausführung des Cmdlets aus, um eine Bestätigungsaufforderung zu erzwingen

Verwenden Sie das optionale Whatif-Argument für das Install-ADDSDomainController-Cmdlet, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die impliziten und expliziten Argumentwerte für ein Cmdlet anzeigen.

Screenshot des PowerShell-Fensters mit den Ergebnissen des Cmdlets „Install-ADDSDomainController“.

Voraussetzungsüberprüfung

Screenshot der Seite „Voraussetzungsüberprüfung“ des Konfigurations-Assistenten für Active Directory Domain Services.

Die Voraussetzungsüberprüfung ist ein neues Feature in der AD DS-Domänenkonfiguration. Diese neue Phase prüft, ob die Serverkonfiguration zur Unterstützung einer neuen AD DS-Gesamtstruktur geeignet ist.

Bei der Installation einer neuen Gesamtstruktur-Stammdomäne ruft der Konfigurations-Assistent für Active Directory-Domänendienste im Server-Manager eine Reihe serialisierter, modularer Tests auf. Diese Tests geben anschließend Empfehlungen für Reparaturoptionen aus. Sie können die Tests beliebig oft ausführen. Der Installationsprozess für den Domänencontroller kann erst fortgesetzt werden, wenn alle Voraussetzungstests erfolgreich abgeschlossen wurden.

Bei der Voraussetzungsüberprüfung werden außerdem relevante Informationen wie z. B. Sicherheitsänderungen angezeigt, die ältere Betriebssysteme betreffen. Weitere Informationen zur Voraussetzungsüberprüfung finden Sie unter Voraussetzungsüberprüfung.

Bei Verwendung des Server-Managers können Sie die Voraussetzungsüberprüfung nicht überspringen. Sie können diese jedoch mit dem folgenden Argument überspringen, wenn Sie das Cmdlet für die AD DS-Bereitstellung verwenden:

-skipprechecks

Warnung

Microsoft rät davon ab, die Voraussetzungsüberprüfung zu überspringen, da dies zu einer teilweisen Heraufstufung des Domänencontrollers oder zu einer beschädigten AD DS-Gesamtstruktur führen kann.

Wählen Sie Installieren aus, um mit der Heraufstufung des Domänencontrollers zu beginnen. Dies ist die letzte Gelegenheit, um die Installation abzubrechen. Der Heraufstufungsprozess kann nach seinem Start nicht abgebrochen werden. Der Computer wird nach der Heraufstufung automatisch neu gestartet, unabhängig von deren Ergebnis.

Installation

Screenshot der Seite „Installation“ des Konfigurations-Assistenten für Active Directory Domain Services.

Wenn die Seite „Installation“ angezeigt wird, beginnt die Konfiguration des Domänencontrollers. Diese kann nicht angehalten oder abgebrochen werden. Detaillierte Informationen werden auf dieser Seite angezeigt und in die Protokolle geschrieben:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Verwenden Sie das folgende Cmdlet, um eine neue Active Directory-Gesamtstruktur mithilfe des ADDSDeployment-Moduls zu installieren:

Install-addsdomaincontroller

Unter Anfügen RODC Windows PowerShell finden Sie eine Liste benötigter und optionaler Argumente.

Das Install-addsdomaincontroller-Cmdlet hat nur zwei Phasen (Voraussetzungsüberprüfung und Installation). Die zwei folgenden Abbildungen zeigen die Installationsphase mit den benötigten Mindestargumenten -domainname, -useexistingaccount und -credential. Beachten Sie, dass Sie von Install-ADDSDomainController ebenso wie im Server-Manager daran erinnert werden, dass der Server bei der Heraufstufung neu gestartet wird:

Screenshot des PowerShell-Fensters mit dem Ergebnis des Cmdlets „Install-ADDSDomainController“.

Screenshot des PowerShell-Fensters mit dem Status der Überprüfung und Installation.

Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion-Argument, um den automatischen Neustart am Ende der Heraufstufung zu verhindern.

Warnung

Es wird davon abgeraten, den Neustart zu verhindern. Der Domänencontroller muss neu gestartet werden, um korrekt zu funktionieren.

Ergebnisse

Screenshot der Seite „Ergebnisse“ des Konfigurations-Assistenten für Active Directory Domain Services.

Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Der Domänencontroller wird automatisch nach 10 Sekunden neu gestartet.

Workflow RODC ohne Staffelung

Das folgende Diagramm zeigt den Konfigurationsprozess für Active Directory Domain Services, wenn Sie die AD DS-Rolle zuvor installiert und den Konfigurations-Assistenten für Active Directory Domain Services im Server-Manager gestartet haben, um einen neuen, nicht gestaffelten, schreibgeschützten Domänencontroller in einer vorhandenen Windows Server 2012-Domäne zu erstellen.

Diagramm, in dem der oben beschriebene Prozess für den schreibgeschützten Active Directory Domain Services-Domänencontroller ohne den Stagingworkflow dargestellt ist.

RODC ohne Bereitstellung Windows PowerShell

ADDSDeployment-Cmdlet Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-DNSOnNetwork

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SystemKey

-SYSVOLPath

-AllowPasswordReplicationAccountName

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-ReadOnlyReplica

Hinweis

Das Argument -credential ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Domänen-Admins angemeldet sind.

RODC ohne gestaffelte Bereitstellung

Bereitstellungskonfiguration

Screenshot der Seite „Bereitstellungskonfiguration“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

In Server-Manager beginnt jede Heraufstufung eines Domänencontrollers auf der Seite Bereitstellungskonfiguration. Die restlichen Optionen und erforderlichen Felder auf dieser Seite und den folgenden Seiten variieren in Abhängigkeit von dem von Ihnen ausgewählten Bereitstellungsvorgang.

Um einen ungestaffelten schreibgeschützten Domänencontroller zu einer vorhandenen Windows Server 2012-Domäne hinzuzufügen, wählen Sie Domänencontroller vorhandener Domäne hinzufügen aus. Wählen Sie dann die Schaltfläche Auswählen aus, um die Domäneninformationen für diese Domäne anzugeben. Server-Manager fordert Sie automatisch zur Eingabe gültiger Anmeldeinformationen auf. Wählen Sie alternativ Ändern aus.

Sie müssen Mitglied der Gruppe Domänen-Admins sein, um in Windows Server 2012 einen RODC anfügen zu können. Wenn Ihre aktuellen Anmeldeinformationen keine angemessenen Berechtigungen oder Gruppenmitgliedschaften aufweisen, wird später vom Konfigurations-Assistenten für Active Directory Domain Services eine Eingabeaufforderung ausgegeben.

Das ADDSDeployment Windows PowerShell-Cmdlet für die Bereitstellungskonfiguration und dessen Argumente sind wie folgt:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Domänencontrolleroptionen

Screenshot der Seite „Domänencontrolleroptionen“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Die Seite Domänencontrolleroptionen enthält die Domänencontrollerfunktionen für den neuen Domänencontroller. Die konfigurierbaren Domänencontrollerfunktionen lauten DNS-Server, Globaler Katalog und Schreibgeschützter Domänencontroller. Für eine hohe Verfügbarkeit in verteilten Umgebungen empfiehlt Microsoft, dass alle Domänencontroller DNS und globale Katalogdienste bereitstellen. GC ist standardmäßig immer ausgewählt, und DNS-Server ist standardmäßig ausgewählt, wenn die aktuelle Domäne bereits DNS auf deren DCs auf Basis der Autoritätsursprungs-Abfrage hostet.

Auf der Seite Domänencontrolleroptionen können Sie unter Standortname den entsprechenden logischen Standortnamen für Active Directory in der Gesamtstrukturkonfiguration auswählen. Standardmäßig ist der Standortname mit dem korrektesten Subnetz ausgewählt. Wenn nur eine Site vorhanden ist, wird diese automatisch ausgewählt.

Wichtig

Wenn der Server zu keinem Active Directory-Subnetz gehört und mehrere Active Directory-Standorte vorhanden sind, wird keine Auswahl getroffen, und die Schaltfläche Weiter ist erst wieder verfügbar, nachdem Sie in der Liste einen Standort ausgewählt haben.

Das angegebene Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus muss die Kennwortrichtlinie für den Server erfüllen. Verwenden Sie stets ein starkes, komplexes Kennwort oder bevorzugt eine Passphrase. Die ADDSDeployment Windows PowerShell-Argumente für Domänencontrolleroptionen sind:

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Wichtig

Der Standortname muss bei der Angabe als Argument für -sitename bereits vorhanden sein. Das Cmdlet install-AddsDomainController erstellt keine Standortnamen. Mit dem Cmdlet new-adreplicationsite können Sie neue Standorte erstellen.

Die Install-ADDSDomainController-Argumente verwenden dieselben Standardwerte wie Server-Manager, wenn diese nicht angegeben werden.

Das Argument SafeModeAdministratorPassword funktioniert etwas anders:

  • wenn als Argument nicht angegeben, fordert das Cmdlet Sie auf, ein maskiertes Kennwort einzugeben und zu bestätigen. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

    Um einen neuen RODC in corp.contoso.com zu erstellen und zur Eingabe und Bestätigung eines maskierten Kennworts aufgefordert zu werden:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • wenn mit einem Wert angegeben, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern:

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Warnung

Da mit der vorherigen Option das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: das Kennwort ist nicht sichtbar.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Zuletzt sollten Sie das verborgene Kennwort in einer Datei speichern und später wiederverwenden, ohne dass jemals das Klartextkennwort erscheint. Beispiel:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warnung

Das Bereitstellen oder Speichern eines Klartext- oder abgeblendeten Kennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen zusehen, kennen dann das DSRM-Kennwort dieses Domänencontrollers. Jede Person mit Zugriff auf die Datei kann das abgeblendete Kennwort extrahieren. Mit diesem Wissen können sich diese an einem Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus anmelden, einen Identitätswechsel für den Domänencontroller selbst ausführen und ihre Rechte in einer AD-Gesamtstruktur auf die höchste Stufe heraufstufen. Zusätzliche Schritte mit System.Security.Cryptography zur Verschlüsselung der Textdatei werden empfohlen, sind jedoch nicht Teil dieser Anleitung. Generell sollten Sie es vermeiden, Kennwörter zu speichern.

RODC-Optionen

Screenshot der Seite „RODC-Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Im Dialog RODC-Optionen können Sie Ihre Einstellungen ändern:

  • Delegiertes Administratorkonto

  • Für die Kennwortreplikation an den RODC berechtigte Konten

  • Für die Kennwortreplikation an den RODC nicht berechtigte Konten

Delegierte Administratorkonten erhalten für den RODC lokale Administratorberechtigungen. Diese Benutzer können Vorgänge mit Berechtigungen ausführen, die denen der Gruppe „Administratoren“ des lokalen Computers entsprechen. Sie sind keine Mitglieder der Gruppe mit Domänenadministrator*innen oder der in die Domäne integrierten Gruppe „Administratoren“. Diese Option ist für die Delegierung der Zweigstellenverwaltung ohne Vergabe von Administratorberechtigungen für die Domäne hilfreich. Das Konfigurieren der Delegierung der Verwaltung ist nicht erforderlich.

Das entsprechende ADDSDeployment Windows PowerShell-Argument ist:

-delegatedadministratoraccountname <string>

Konten, die ihre Kennwörter nicht im RODC zwischenspeichern und sich nicht mit einem beschreibbaren Domänencontroller verbinden und authentifizieren können, haben keinen Zugriff auf Ressourcen und Funktionen von Active Directory.

Wichtig

Standardmäßig werden die folgenden Gruppen und Einstellungen verwendet:

  • Administratoren - Verweigern
  • Server-Operatoren - Verweigern
  • Sicherungs-Operatoren - Verweigern
  • Konten-Operatoren - Verweigern
  • Abgelehnte RODC-Kennwortreplikationsgruppe - Verweigern
  • Zulässige RODC-Kennwortreplikationsgruppe - Erlauben

Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Screenshot des Dialogfelds „Benutzer, Computer, Dienstkonto oder Gruppe auswählen“.

Zusätzliche Optionen

Screenshot der Seite „Weitere Optionen“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Auf der Seite Zusätzliche Optionen können entweder einen Domänencontroller als Replikationsquelle angeben oder einen beliebigen Domänencontroller als Replikationsquelle verwenden.

Sie können auch festlegen, dass der Domänencontroller mithilfe gesicherter Medien und der Option %%amp;quot;Installieren von Medium%%amp;quot; (Install from Media, IFM) installiert wird. Wenn Sie das Kontrollkästchen Installieren von Medium aktivieren, wird eine Option zum Durchsuchen angezeigt, und Sie müssen Überprüfen auswählen, um sicherzustellen, dass sich am angegebenen Pfad ein gültiges Medium befindet.

Richtlinien für die IFM-Quelle:

  • Die von der IFM-Option verwendeten Medien werden mittels Windows Server-Sicherung oder „Ntdsutil.exe“ nur von einem anderen vorhandenen Windows Server-Domänencontroller mit derselben Betriebssystemversion erstellt. Sie können beispielsweise nicht Windows Server 2008 R2 oder ein früheres Betriebssystem verwenden, um Medien für einen Windows Server 2012-Domänencontroller zu erstellen.
  • Die IFM-Quelldaten sollten von einem beschreibbaren Domänencontroller stammen. Während eine Quelle von einem RODC theoretisch zum Erstellen eines neuen RODC genutzt werden kann, gibt es falsch positive Replikationswarnungen, dass der IFM-Quell-RODC nicht repliziert wird.

Weitere Informationen zu Änderungen in IFM finden Sie unter Ntdsutil.exe installieren aus Medienänderungen. Wenn die Medien mit einem Systemschlüssel (SYSKEY) geschützt sind, werden Sie während der Überprüfung von Server-Manager zur Eingabe des Kennworts für das Abbild aufgefordert.

Screenshot des Eingabeaufforderungsfensters mit den Ergebnissen der Ausführung von „ntdsutil“ ohne Stagingbereitstellung.

Die Argumente für zusätzliche Optionen für das Cmdlet ADDSDeployment sind:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Paths

Screenshot der Seite „Pfade“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Auf der Seite Pfade können Sie die standardmäßigen Ordnerpfade der AD DS-Datenbank, der Datenbankprotokolle und der SYSVOL-Freigabe überschreiben. Die Standardspeicherorte befinden sich grundsätzlich in Unterverzeichnissen von %systemroot%. Die ADDSDeployment Windows PowerShell-Argumente für Pfade sind:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Vorbereitungsoptionen

Screenshot der Seite „Vorbereitungsoptionen“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Die Seite Vorbereitungsoptionen weist Sie darauf hin, dass die AD DS-Konfiguration eine Erweiterung des Schemas (forestprep) und eine Aktualisierung der Domäne umfasst (domainprep). Diese Seite wird nur angezeigt, wenn die Gesamtstruktur oder Domäne nicht durch eine vorherige Installation eines Windows Server 2012-Domänencontrollers oder die manuelle Ausführung von „Adprep.exe“ vorbereitet wurde. Der Konfigurations-Assistent für Active Directory-Domänendienste unterdrückt diese Seite beispielsweise, wenn Sie einen neuen Replikatdomänencontroller zu einer existierenden Windows Server 2012-Gesamtstruktur-Stammdomäne hinzufügen.

Erweiterung des Schemas und Aktualisierung der Domäne erfolgen nicht, wenn Sie auf Weiter klicken. Diese Schritte werden erst während der Installationsphase ausgeführt. Diese Seite weist Sie lediglich auf die Schritte hin, die später bei der Installation ausgeführt werden.

Die Seite prüft außerdem, ob die aktuellen Anmeldeinformationen Mitglieder der Gruppen Schema-Admins und Organisations-Admins sind. Sie müssen Mitglied dieser beiden Gruppen sein, um ein Schema zu erweitern oder eine Domäne vorzubereiten. Wählen Sie Ändern aus, um die entsprechenden Benutzeranmeldeinformationen einzugeben, falls Sie einen Hinweis erhalten, dass die aktuellen Anmeldeinformationen keine ausreichenden Berechtigungen haben.

Das Argument für das Cmdlet "ADDSDeployment" für "Zusätzliche Optionen" ist:

-adprepcredential <pscredential>

Wichtig

Wie auch vorherige Windows Server-Versionen wird bei der automatischen Domänenvorbereitung in Windows Server 2012 GPPREP nicht ausgeführt. Führen Sie adprep.exe /gpprep manuell für alle Domänen aus, die nicht zuvor für Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 vorbereitet wurden. Sie sollten GPPrep nur einmal während der Lebensdauer einer Domäne ausführen, und nicht bei jedem Upgrade. Adprep.exe führe /gpprep nicht automatisch aus, da dieser Vorgang dazu führen kann, dass alle Dateien und Ordner im SYSVOL-Ordner erneut auf allen Domänencontrollern repliziert werden.

Der automatische RODCPrep-Vorgang wird ausgeführt, wenn Sie den ersten nicht gestaffelten RODC in einer Domäne heraufstufen. Der Vorgang wird nicht ausgeführt, wenn Sie den ersten beschreibbaren Windows Server 2012-Domänencontroller heraufstufen. Sie können adprep.exe /rodcprep dennoch manuell ausführen, wenn Sie vorhaben, schreibgeschützte Domänencontroller bereitzustellen.

Optionen prüfen und Skript anzeigen

Screenshot der Seite „Optionen prüfen“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Auf der Seite Optionen prüfen können Sie vor dem Starten der Installation Ihre Einstellungen validieren und sicherstellen, dass Ihre Anforderungen erfüllt werden. Dies ist jedoch nicht die letzte Möglichkeit, um die Installation mit Server-Manager zu stoppen. Diese Seite ermöglicht Ihnen lediglich das Überprüfen und Bestätigen Ihrer Einstellungen, bevor Sie die Konfiguration fortsetzen.

Die Seite Optionen prüfen im Server-Manager bietet zudem die optionale Schaltfläche Skript anzeigen zum Erstellen einer Unicode-Textdatei, die die aktuelle ADDSDeployment-Konfiguration als einzelnes Windows PowerShell-Skript enthält. Dies ermöglicht Ihnen die Verwendung der grafischen Oberfläche von Server-Manager als Windows PowerShell-Bereitstellungsstudio. Mithilfe des Konfigurations-Assistenten für die Active Directory-Domänendienste können Sie Optionen konfigurieren, die Konfiguration exportieren und den Assistenten abbrechen. Bei diesem Prozess wird ein gültiges und syntaktisch korrektes Muster zur weiteren Änderung oder direkten Verwendung erstellt. Beispiel:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

Hinweis

Server-Manager füllt bei der Heraufstufung normalerweise alle Argumente mit Werten aus und verlässt sich nicht auf Standardwerte (da sich diese in zukünftigen Windows-Versionen oder Service Packs ändern können). Die einzige Ausnahme hierbei ist das Argument -safemodeadministratorpassword. Lassen Sie dieses Argument bei der interaktiven Ausführung des Cmdlets aus, um eine Bestätigungsaufforderung zu erzwingen.

Verwenden Sie das optionale Whatif-Argument für das Cmdlet Install-ADDSDomainController, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die impliziten und expliziten Argumentwerte für ein Cmdlet anzeigen.

Screenshot des PowerShell-Fensters mit den Ergebnissen der Ausführung des Cmdlets „Install-ADDSDomainController“ ohne Stagingbereitstellung.

Voraussetzungsüberprüfung

Screenshot der Seite „Voraussetzungsüberprüfung“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Die Voraussetzungsüberprüfung ist ein neues Feature in der AD DS-Domänenkonfiguration. Diese neue Phase prüft, ob die Serverkonfiguration zur Unterstützung einer neuen AD DS-Gesamtstruktur geeignet ist.

Bei der Installation einer neuen Gesamtstruktur-Stammdomäne ruft der Konfigurations-Assistent für Active Directory-Domänendienste im Server-Manager eine Reihe serialisierter, modularer Tests auf. Diese Tests geben anschließend Empfehlungen für Reparaturoptionen aus. Sie können die Tests beliebig oft ausführen. Der Prozess für den Domänencontroller kann erst fortgesetzt werden, wenn alle Voraussetzungstests erfolgreich abgeschlossen wurden.

Bei der Voraussetzungsüberprüfung werden außerdem relevante Informationen wie z. B. Sicherheitsänderungen angezeigt, die ältere Betriebssysteme betreffen.

Bei Verwendung des Server-Managers können Sie die Voraussetzungsüberprüfung nicht überspringen. Sie können diese jedoch mit dem folgenden Argument überspringen, wenn Sie das Cmdlet für die AD DS-Bereitstellung verwenden:

-skipprechecks

Wählen Sie Installieren aus, um mit der Heraufstufung des Domänencontrollers zu beginnen. Dies ist die letzte Gelegenheit, um die Installation abzubrechen. Der Heraufstufungsprozess kann nach seinem Start nicht abgebrochen werden. Der Computer wird nach der Heraufstufung automatisch neu gestartet, unabhängig von deren Ergebnis.

Installation

Screenshot der Seite „Installation“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Wenn die Seite Installation angezeigt wird, beginnt die Konfiguration des Domänencontrollers. Diese kann nicht angehalten oder abgebrochen werden. Detaillierte Informationen werden auf dieser Seite angezeigt und in die Protokolle geschrieben:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Verwenden Sie das folgende Cmdlet, um eine neue Active Directory-Gesamtstruktur mithilfe des ADDSDeployment-Moduls zu installieren:

Install-addsdomaincontroller

Die erforderlichen und optionalen Argumente finden Sie in der Tabelle für das Cmdlet „ADDSDeployment“ am Anfang dieses Abschnitts.

Das Install-addsdomaincontroller-Cmdlet hat nur zwei Phasen (Voraussetzungsüberprüfung und Installation). Die zwei folgenden Abbildungen zeigen die Installationsphase mit den benötigten Mindestargumenten -domainname, -readonlyreplica, -sitename und -credential. Beachten Sie, dass Sie von Install-ADDSDomainController ebenso wie im Server-Manager daran erinnert werden, dass der Server bei der Heraufstufung neu gestartet wird:

Screenshot des PowerShell-Fensters mit dem Ergebnis der Ausführung des Cmdlets „Install-ADDSDomainController“ ohne Stagingbereitstellung.

Screenshot des PowerShell-Fensters mit dem Status der Überprüfung und Installation ohne Stagingbereitstellung.

Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion-Argument, um den automatischen Neustart am Ende der Heraufstufung zu verhindern.

Warnung

Es wird davon abgeraten, den Neustart zu verhindern. Der Domänencontroller muss neu gestartet werden, um korrekt zu funktionieren. Wenn Sie sich vom Domänencontroller abmelden, können Sie sich erst nach dessen Neustart wieder interaktiv anmelden.

Ergebnisse

Screenshot der Seite „Ergebnisse“ des Konfigurations-Assistenten für Active Directory Domain Services ohne Stagingbereitstellung.

Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Der Domänencontroller wird automatisch nach 10 Sekunden neu gestartet.