Delen via

Een Replica windows Server 2012-domeincontroller installeren in een bestaand domein (niveau 200)

In dit onderwerp worden de stappen beschreven die nodig zijn om een bestaand forest of domein bij te werken naar Windows Server 2012, met serverbeheer of Windows PowerShell. Hierin wordt beschreven hoe u domeincontrollers met Windows Server 2012 toevoegt aan een bestaand domein.

Upgradewerkstroom en Replicawerkstroom

In het volgende diagram ziet u het configuratieproces van Active Directory Domain Services wanneer u de AD DS-rol eerder hebt geïnstalleerd en u de wizard Active Directory Domain Services-configuratie hebt gestart met Serverbeheer om een nieuwe domeincontroller in een bestaand domein te maken.

diagram dat het configuratieproces van Active Directory Domain Services illustreert wanneer u de AD DS-rol eerder hebt geïnstalleerd.

Windows PowerShell upgraden en repliceren

ADDSDeployment-cmdlet Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden opgegeven met behulp van Windows PowerShell of de AD DS-configuratiewizard.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName-

-ADPrepCredential-

-ApplicatiepartitiesDieGerepliceerdMoetenWorden

-AllowDomainControllerReinstall

-Bevestigen

-CreateDNSDelegation

-Referentie

-CriticalReplicationOnly

-DatabasePath-

-DNSDelegatieReferentie

-Kracht

-InstallationMediaPath

-InstallDNS

-LogPath-

-VerplaatsInfrastructuurOperatieHoofdrolIndienNodig

-NoDnsOnNetwork

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SiteName

-SystemKey-

-SYSVOLPath-

-GebruikBestaandeAccount

-Whatif

Notitie

Het argument -credential is alleen vereist als u nog niet bent ingelogd als lid van de groepen Enterprise Admins en Schema Admins (wanneer u het forest bijwerkt) of de groep Domain Admins (wanneer u een nieuwe domeincontroller aan een bestaand domein toevoegt).

Implementatie

Implementatieconfiguratie

Schermopname van de pagina Implementatieconfiguratie.

Serverbeheer start bij elke promotie van domeincontrollers op de pagina Implementatieconfiguratie. De resterende opties en vereiste velden worden op deze pagina en volgende pagina's gewijzigd, afhankelijk van de implementatiebewerking die u selecteert.

Als u een bestaand forest wilt bijwerken of een beschrijfbare domeincontroller wilt toevoegen aan een bestaand domein, klikt u op Een domeincontroller toevoegen aan een bestaand domein en klikt u op Selecteer om de domeingegevens voor dit domein op te geven. Serverbeheer vraagt u indien nodig om geldige referenties.

Voor het upgraden van de forest zijn referenties vereist die groepslidmaatschappen bevatten in zowel de groepen Enterprise Admins als Schema Admins in Windows Server 2012. De configuratiewizard van Active Directory Domain Services zal u later vragen of uw huidige referenties over voldoende machtigingen of groepslidmaatschappen beschikken.

Het automatische Adprep-proces is het enige operationele verschil tussen het toevoegen van een domeincontroller aan een bestaand Windows Server 2012-domein en een domein waarop domeincontrollers een eerdere versie van Windows Server uitvoeren.

De Deployment Configuration ADDSDeployment cmdlet en argumenten zijn:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Schermopname van waar u de referenties voor de implementatiebewerking opgeeft.

Schermopname die laat zien waar u een domein selecteert in het forest waarin de nieuwe domeincontroller zich bevindt.

Bepaalde tests worden uitgevoerd op elke pagina, waarvan sommige later worden herhaald als discrete vereistencontroles. Als het geselecteerde domein bijvoorbeeld niet voldoet aan de minimale functionele niveaus, hoeft u niet helemaal door de promotie naar de vereiste controle te gaan om erachter te komen:

Schermopname waarin het bericht wordt gemarkeerd dat aangeeft of het geselecteerde domein niet voldoet aan de minimale functionele niveaus.

Opties voor domeincontroller

Schermopname van de pagina Opties voor domeincontroller.

De opties voor de domeincontroller pagina specificeert de mogelijkheden voor de nieuwe domeincontroller. De configureerbare domeincontrollermogelijkheden zijn DNS-server, Global Catalogen alleen-lezen domeincontroller. Microsoft raadt aan dat alle domeincontrollers DNS- en GC-services bieden voor hoge beschikbaarheid in gedistribueerde omgevingen. GC wordt altijd standaard geselecteerd en de DNS-server wordt standaard geselecteerd als het huidige domein DNS al op de DC's host op basis van een Start of Authority-query. Met de domeincontrolleropties pagina kunt u ook de juiste logische Active Directory sitenaam kiezen van de forestconfiguratie. Standaard wordt de site met het meest juiste subnet geselecteerd. Als er slechts één site is, wordt deze automatisch geselecteerd.

Notitie

Als de server geen deel uitmaakt van een Active Directory-subnet en er meer dan één Active Directory-site is, is er niets geselecteerd en is de knop Volgende niet beschikbaar totdat u een site in de lijst kiest.

Het opgegeven wachtwoord voor de Herstelmodus van Directoryservices moet voldoen aan het wachtwoordbeleid dat op de server is toegepast. Kies altijd een sterk, complex wachtwoord of bij voorkeur een wachtwoordzin.

De Domain Controller Opties ADDSDeployment-argumenten zijn:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>

Belangrijk

De sitenaam moet al bestaan wanneer deze wordt opgegeven als argument voor -sitenaam. De cmdlet install-AddsDomainController maakt geen sites. U kunt cmdlet new-adreplicationsite gebruiken om nieuwe sites te maken.

De bewerking van het argument SafeModeAdministratorPassword is speciaal.

  • Als niet als argument opgegeven wordt, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.

    Als u bijvoorbeeld een extra domeincontroller in treyresearch.net domein wilt maken en wordt gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen:

    Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)

  • Als u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.

U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Waarschuwing

Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.

U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Ten slotte kunt u het verborgen wachtwoord opslaan in een bestand en het later opnieuw gebruiken, zonder dat het wachtwoord voor duidelijke tekst ooit wordt weergegeven. Bijvoorbeeld:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Waarschuwing

Het is niet raadzaam om een duidelijk of verborgen tekstwachtwoord op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Iedereen met toegang tot het bestand kan dat verborgen wachtwoord omkeren. Met die kennis kunnen ze zich aanmelden bij een DC die is gestart in DSRM en uiteindelijk de domeincontroller zelf imiteren, waardoor hun bevoegdheden worden verhoogd naar het hoogste niveau in een Active Directory-forest. Een extra set stappen met System.Security.Cryptography voor het versleutelen van de tekstbestandsgegevens is raadzaam, maar valt buiten het bereik. De best practice is om wachtwoordopslag volledig te voorkomen.

De cmdlet ADDSDeployment biedt een extra optie om automatische configuratie van DNS-clientinstellingen, doorstuurservers en basishints over te slaan. U kunt deze configuratieoptie niet overslaan wanneer u Serverbeheer gebruikt. Dit argument is alleen van belang als u de DNS-serverfunctie hebt geïnstalleerd voordat u de domeincontroller configureert:

-SkipAutoConfigureDNS

De domeincontrolleropties pagina waarschuwt dat u geen alleen-lezen domeincontrollers kunt maken als uw bestaande domeincontrollers Windows Server 2003 uitvoeren. Dit wordt verwacht en u kunt de waarschuwing negeren.

Schermopname met de waarschuwing dat u geen alleen-lezen domeincontrollers kunt maken als op uw bestaande domeincontrollers Windows Server 2003 wordt uitgevoerd.

DNS-opties en DNS-delegeringsreferenties voor machtiging

Schermopname waarin wordt weergegeven waar u de optie DNS-delegering kunt opgeven.

Op de pagina DNS-opties kunt u DNS-delegatie configureren als u de optie DNS-server hebt geselecteerd op de domeincontrolleropties pagina en als u verwijst naar een zone waar DNS-delegaties zijn toegestaan. Mogelijk moet u alternatieve referenties opgeven van een gebruiker die lid is van de DNS-beheerders groep.

De DNS-opties cmdlet-argumenten ADDSDeployment zijn:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Schermafbeelding die het dialoogvenster Windows-beveiliging toont voor het invoeren van inloggegevens voor de implementatiebewerking.

Zie Understanding Zone Delegationvoor meer informatie over of u een DNS-delegatie moet maken.

Aanvullende opties

Schermopname die laat zien waar u de configuratieoptie kunt vinden om een domeincontroller een naam te geven als de replicatiebron.

De pagina Aanvullende opties bevat de configuratieoptie voor het benoemen van een domeincontroller als de replicatiebron, of u kunt elke domeincontroller als replicatiebron gebruiken.

U kunt er ook voor kiezen om de domeincontroller te installeren met behulp van een back-up van media met behulp van de optie Installeren vanaf media (IFM). Het selectievakje Installeren vanaf media biedt een bladeroptie zodra deze is geselecteerd en u moet op Controleren klikken om ervoor te zorgen dat het opgegeven pad geldige media is. Media die door de IFM-optie worden gebruikt, worden alleen gemaakt met Windows Server Backup of Ntdsutil.exe vanaf een andere bestaande Windows Server 2012-computer; u kunt geen Windows Server 2008 R2 of een eerder besturingssysteem gebruiken om media te maken voor een Windows Server 2012-domeincontroller. Zie Vereenvoudigde administratie-bijlagevoor meer informatie over wijzigingen in IFM. Als u media gebruikt die zijn beveiligd met een SYSKEY, vraagt Serverbeheer tijdens de verificatie om het wachtwoord van de image.

Schermopname van een terminalvenster tijdens de installatie van een domeincontroller.

De Aanvullende opties cmdlet-argumenten ADDSDeployment zijn:

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Paden

schermopname die laat zien waar u de standaardmaplocaties van de AD DS-database, de transactielogboeken van de database en de SYSVOL-share kunt overschrijven.

Met de pagina Paden kunt u de standaardmaplocaties van de AD DS-database, de transactielogboeken van de database en de SYSVOL-share overschrijven. De standaardlocaties bevinden zich altijd in submappen van %systemroot%.

De ADDSDeployment-cmdlet-argumenten van Active Directory-paden zijn:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Voorbereidingsopties

Schermopname van de pagina Voorbereidingsopties die u waarschuwt dat de AD DS-configuratie het schema (forestprep) en het bijwerken van het domein (domainprep) omvat.

De voorbereidingsopties pagina waarschuwt u dat de AD DS-configuratie omvat het uitbreiden van het schema (forestprep) en het bijwerken van het domein (domainprep). U ziet deze pagina alleen wanneer het forest en domein niet zijn voorbereid door een eerdere installatie van een Windows Server 2012-domeincontroller of door handmatig Adprep.exeuit te voeren. De Active Directory Domain Services-configuratiewizard onderdrukt deze pagina bijvoorbeeld als u een nieuwe domeincontroller toevoegt aan een bestaand foresthoofddomein van Windows Server 2012.

Het schema uitbreiden en het domein bijwerken gebeurt niet wanneer u op Volgendeklikt. Deze gebeurtenissen vinden alleen plaats tijdens de installatiefase. Op deze pagina wordt alleen aandacht gebracht voor de gebeurtenissen die later in de installatie plaatsvinden.

Op deze pagina wordt ook gecontroleerd of de huidige gebruikersreferenties lid zijn van de groepen SchemaBeheerder en Ondernemingsadministrator, omdat u lid moet zijn van deze groepen om het schema uit te breiden of een domein voor te bereiden. Klik op Wijzigen om de juiste gebruikersreferenties op te geven als op de pagina wordt aangegeven dat de huidige referenties onvoldoende machtigingen hebben.

Screenshot die de pagina Voorbereidingsopties toont en de knop Wijzigen markeert.

Het argument Extra Opties ADDSDeployment cmdlet is:

-adprepcredential <pscredential>

Belangrijk

Net als bij eerdere versies van Windows Server, voert geautomatiseerde domeinvoorbereiding voor domeincontrollers met Windows Server 2012 geen GPPREP uit. Voer adprep.exe /gpprep- handmatig uit voor alle domeinen die niet eerder zijn voorbereid voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. U moet GPPrep slechts eenmaal uitvoeren in de geschiedenis van een domein, niet bij elke upgrade. Adprep.exe voert /gpprep niet automatisch uit omdat de bewerking ervoor kan zorgen dat alle bestanden en mappen in de map SYSVOL opnieuw worden gerepliceerd op alle domeincontrollers.

Automatische RODCPrep wordt uitgevoerd wanneer u de eerste niet-gestage RODC in een domein promoveert. Dit gebeurt niet wanneer u de eerste schrijfbare Windows Server 2012-domeincontroller promoveert. U kunt ook nog steeds handmatig adprep.exe /rodcprep uitvoeren als u van plan bent leesbare domeincontrollers te implementeren.

Opties controleren en script weergeven

Schermopname van de pagina Opties controleren waarmee u uw instellingen kunt valideren en ervoor kunt zorgen dat deze voldoen aan uw vereisten voordat u de installatie start.

Op de pagina Opties controleren kunt u uw instellingen valideren en ervoor zorgen dat deze voldoen aan uw vereisten voordat u de installatie start. Dit is niet de laatste mogelijkheid om de installatie te stoppen met Serverbeheer. Op deze pagina kunt u uw instellingen controleren en bevestigen voordat u doorgaat met de configuratie.

De pagina Opties controleren in Serverbeheer biedt ook een optionele knop Script weergeven om een Unicode-tekstbestand te maken dat als één Windows PowerShell-script de huidige ADDSDeployment-configuratie bevat. Hiermee kunt u de grafische interface serverbeheer gebruiken als een Windows PowerShell-implementatiestudio. Gebruik de wizard voor het configureren van Active Directory Domain Services om opties te configureren, de configuratie te exporteren en vervolgens de wizard af te sluiten. Met dit proces maakt u een geldig en syntactisch correct voorbeeld voor verdere wijziging of direct gebruik.

Bijvoorbeeld:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Notitie

Serverbeheer vult over het algemeen alle argumenten in met waarden bij het promoveren en is niet afhankelijk van standaardwaarden (omdat deze kunnen veranderen tussen toekomstige versies van Windows of servicepacks). De enige uitzondering hierop is het argument -safemodeadministratorpassword. Als u een bevestigingsprompt wilt afdwingen, laat u de waarde weg bij het interactief uitvoeren van de cmdlet

Gebruik de optionele Whatif argument met de cmdlet Install-ADDSDomainController om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten voor een cmdlet bekijken.

Schermopname van een terminalvenster waarin het optionele Whatif-argument wordt gebruikt met de cmdlet Install-ADDSDomainController.

Controle van vereisten

Schermopname van de pagina Vereisten controleren. Dit is een nieuwe functie in ad DS-domeinconfiguratie.

De vereisten controleren is een nieuwe functie in ad DS-domeinconfiguratie. Deze nieuwe fase valideert dat het domein en forest een nieuwe Windows Server 2012-domeincontroller kunnen ondersteunen.

Bij het installeren van een nieuwe domeincontroller start de Active Directory-domeindiensten configuratiewizard van Serverbeheer een reeks geseriediseerde modulaire tests. Deze tests waarschuwen u met voorgestelde herstelopties. U kunt de tests zo vaak uitvoeren als nodig is. Het proces van de domeincontroller kan pas worden voortgezet als alle vereiste tests zijn geslaagd.

De Controle van vereisten geeft ook relevante informatie weer, zoals beveiligingswijzigingen die van invloed zijn op oudere besturingssystemen.

Zie Vereisten controlerenvoor meer informatie over de specifieke controles van vereisten.

U kunt de vereiste controle niet omzeilen wanneer u Server Beheer gebruikt, maar u kunt het proces overslaan wanneer u de cmdlet AD DS Deployment gebruikt met het volgende argument:

-skipprechecks

Waarschuwing

Microsoft ontmoedigt het overslaan van de controle van vereisten, omdat deze kan leiden tot een gedeeltelijke promotie van domeincontrollers of beschadigde AD DS-forests.

Klik op Installeren om het promotieproces voor domeincontroller te starten. Dit is de laatste mogelijkheid om de installatie te annuleren. U kunt het promotieproces niet annuleren zodra het begint. De computer wordt automatisch opnieuw opgestart aan het einde van de promotie, ongeacht de promotieresultaten. Op de pagina Vereisten controleren worden eventuele problemen weergegeven die zijn opgetreden tijdens het proces en richtlijnen voor het oplossen van het probleem.

Installatie

Schermopname van de pagina Installatie.

Wanneer de pagina Installatie wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en worden naar logboeken geschreven:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (als de server zich in een werkgroep bevindt)

Als u een nieuw Active Directory-forest wilt installeren met behulp van de module ADDSDeployment, gebruikt u de volgende cmdlet:

Install-addsdomaincontroller

Zie Upgrade en Replica Windows PowerShell voor vereiste en optionele argumenten.

De cmdlet Install-AddsDomainController heeft slechts twee fasen (controle van vereisten en installatie). In de twee onderstaande afbeeldingen ziet u de installatiefase met de minimaal vereiste argumenten van -domeinnaam en -credential. Let op hoe de Adprep-bewerking automatisch wordt uitgevoerd als onderdeel van het toevoegen van de eerste Windows Server 2012-domeincontroller aan een bestaand Windows Server 2003-forest:

Schermopname van een terminalvenster met de installatiefase met de minimaal vereiste argumenten van -domainname en -credential.

Merk op hoe, net als Serverbeheer, Install-ADDSDomainController u eraan herinnert dat de promotie de server automatisch opnieuw zal opstarten. Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de -force of -confirm:$false argumenten met een ADDSDeployment Windows PowerShell-cmdlet. Als u wilt voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie, gebruikt u het argument -norebootoncompletion.

Waarschuwing

Het tegenhouden van het opnieuw opstarten wordt afgeraden. De domeincontroller moet opnieuw worden opgestart om correct te kunnen functioneren.

Schermopname van een terminalvenster waarin het proces voor opnieuw opstarten van de domeincontroller wordt weergegeven.

Schermopname van een terminalvenster met de geslaagde voltooiing van het herstartproces van de domeincontroller.

Als u een domeincontroller extern wilt configureren met Windows PowerShell, verpakt u de install-addsdomaincontroller cmdlet in van de invoke-command cmdlet. Hiervoor moet u de accolades gebruiken.

invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>

Bijvoorbeeld:

een replica installeren

Notitie

Zie de Troubleshooting Domain Controller Deploymentvoor meer informatie over de werking van het installatie- en Adprep-proces.

Resultaten

Schermopname van de resultatenpagina met de melding van geslaagde of mislukte promotie en belangrijke administratieve informatie.

Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. Als dit lukt, wordt de domeincontroller na 10 seconden automatisch opnieuw opgestart.

Net als bij eerdere versies van Windows Server, voert geautomatiseerde domeinvoorbereiding voor domeincontrollers met Windows Server 2012 GPPREP niet uit. Voer adprep.exe /gpprep- handmatig uit voor alle domeinen die niet eerder zijn voorbereid voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. U moet GPPrep slechts eenmaal uitvoeren in de geschiedenis van een domein, niet bij elke upgrade. Adprep.exe voert /gpprep niet automatisch uit omdat de bewerking ertoe kan leiden dat alle bestanden en mappen in de SYSVOL-map opnieuw worden gerepliceerd op alle domeincontrollers.