Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt uitgelegd hoe u AD DS installeert in Windows Server 2012 met behulp van een van de volgende methoden:
Referentievereisten voor het uitvoeren van Adprep.exe en het installeren van Active Directory Domain Services
De volgende referenties zijn vereist om Adprep.exe uit te voeren en AD DS te installeren.
Als u een nieuw forest wilt installeren, moet u zijn aangemeld als de lokale beheerder voor de computer.
Als u een nieuw onderliggend domein of een nieuwe domeinstructuur wilt installeren, moet u zijn aangemeld als lid van de groep Ondernemingsadministrators.
Als u een extra domeincontroller in een bestaand domein wilt installeren, moet u lid zijn van de groep Domeinadministrators.
Opmerking
Als u adprep.exe opdracht niet afzonderlijk uitvoert en u de eerste domeincontroller met Windows Server 2012 installeert in een bestaand domein of forest, wordt u gevraagd referenties op te geven om Adprep-opdrachten uit te voeren. De referentievereisten zijn als volgt:
Als u de eerste Windows Server 2012-domeincontroller in het forest wilt introduceren, moet u referenties opgeven voor een lid van de groep Enterprise Admins, de groep Schema Admins en de groep Domain Admins in het domein dat fungeert als host voor de schemamaster.
Als u de eerste Windows Server 2012-domeincontroller in een domein wilt introduceren, moet u referenties opgeven voor een lid van de groep Domeinadministrators.
Als u de eerste alleen-lezen domeincontroller (RODC) in het forest wilt introduceren, moet u referenties opgeven voor een lid van de groep Enterprise Admins.
Opmerking
Als u adprep /rodcprep al hebt uitgevoerd in Windows Server 2008 of Windows Server 2008 R2, hoeft u deze niet opnieuw uit te voeren voor Windows Server 2012.
AD DS installeren met Windows PowerShell
Vanaf Windows Server 2012 kunt u AD DS installeren met Windows PowerShell. Dcpromo.exe is afgeschaft vanaf Windows Server 2012, maar u kunt nog steeds dcpromo.exe uitvoeren met behulp van een antwoordbestand (dcpromo /unattend:<answerfile> of dcpromo /answer:<answerfile>). De mogelijkheid om door te gaan met het uitvoeren van dcpromo.exe met een antwoordbestand biedt organisaties die resources hebben geïnvesteerd in bestaande automatiseringstijd om de automatisering te converteren van dcpromo.exe naar Windows PowerShell. Zie voor meer informatie over het uitvoeren van dcpromo.exe met een antwoordbestand https://support.microsoft.com/kb/947034.
Zie AD DS verwijderen met Windows PowerShell voor meer informatie over het verwijderen van AD DS met Windows PowerShell.
Begin met het toevoegen van de rol met Behulp van Windows PowerShell. Met deze opdracht installeert u de AD DS-serverfunctie en installeert u de hulpprogramma's voor AD DS- en AD LDS-serverbeheer, waaronder GUI-hulpprogramma's zoals Active Directory: gebruikers en computers en opdrachtregelprogramma's zoals dcdia.exe. Serverbeheerprogramma's worden niet standaard geïnstalleerd wanneer u Windows PowerShell gebruikt. U moet "IncludeManagementTools voor het beheren van de lokale server of het installeren van Remote Server Administration Tools voor het beheren van een externe server opgeven.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Er is geen herstart vereist totdat de AD DS-installatie is voltooid.
Vervolgens kunt u deze opdracht uitvoeren om de beschikbare cmdlets in de module ADDSDeployment te zien.
Get-Command -Module ADDSDeployment
Om de lijst met argumenten te zien die kunnen worden gespecificeerd voor een cmdlet en de syntaxis:
Get-Help <cmdlet name>
Als u bijvoorbeeld de argumenten wilt zien voor het maken van een niet-bezet RODC-account (alleen-lezen domeincontroller), typt u
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Optionele argumenten worden tussen vierkante haken weergegeven.
U kunt ook de nieuwste Help-voorbeelden en -concepten voor Windows PowerShell-cmdlets downloaden. Zie about_Updatable_Helpvoor meer informatie.
U kunt Windows PowerShell-cmdlets uitvoeren op externe servers:
Gebruik in Windows PowerShell Invoke-Command met de cmdlet ADDSDeployment. Als u bijvoorbeeld AD DS wilt installeren op een externe server met de naam ConDC3 in het contoso.com-domein, typt u:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
– of –
- Maak in Serverbeheer een servergroep die de externe server bevat. Klik met de rechtermuisknop op de naam van de externe server en klik op Windows PowerShell.
In de volgende secties wordt uitgelegd hoe u cmdlets van de ADDSDeployment-module uitvoert om AD DS te installeren.
Een nieuw foresthoofddomein installeren met Windows PowerShell
Een nieuw onderliggend of boomstructuurdomein installeren met Windows PowerShell
Een extra (replica)-domeincontroller installeren met Windows PowerShell
CMDLET-argumenten ADDSDeployment
De volgende tabel bevat argumenten voor de ADDSDeployment-cmdlets in Windows PowerShell. Argumenten vet zijn vereist. Equivalente argumenten voor dcpromo.exe worden tussen haakjes weergegeven als ze een andere naam hebben in Windows PowerShell.
Windows PowerShell-switches accepteren $TRUE ofwel $FALSE als argumenten. Argumenten die standaard zijn $TRUE hoeven niet te worden opgegeven.
Als u standaardwaarden wilt overschrijven, kunt u het argument opgeven met een $False waarde. Omdat -InstallDNS bijvoorbeeld automatisch wordt uitgevoerd voor een nieuwe forestinstallatie als deze niet is opgegeven, is de enige manier om DNS-installatie te voorkomen wanneer u een nieuw forest installeert:
-InstallDNS:$False
Omdat -InstallDNS een standaardwaarde van $False heeft als u een domeincontroller installeert in een omgeving die geen Windows Server DNS-server host, moet u het volgende argument opgeven om DNS-server te installeren:
-InstallDNS:$True
| Argumentatie | Beschrijving |
|---|---|
| ADPrepCredential <Opmerking bij PS-referentie>: vereist als u de eerste Windows Server 2012-domeincontroller in een domein of forest installeert en de referenties van de huidige gebruiker onvoldoende zijn om de bewerking uit te voeren. | Hiermee specificeert u het account met lidmaatschap van de Enterprise Admins- en Schema Admins-groepen dat het forest kan voorbereiden, volgens de regels van Get-Credential en een PSCredential-object. Als er geen waarde is opgegeven, wordt de waarde van het referentieargument gebruikt. |
| AllowDomainControllerReinstall | Hiermee geeft u op of u wilt doorgaan met het installeren van deze beschrijfbare domeincontroller, hoewel een ander beschrijfbaar domeincontrolleraccount met dezelfde naam wordt gedetecteerd. Gebruik $True alleen als u zeker weet dat het account momenteel niet wordt gebruikt door een andere beschrijfbare domeincontroller. De standaardwaarde is $False. Dit argument is niet geldig voor een RODC. |
| AllowDomainReinstall | Hiermee geeft u op of een bestaand domein opnieuw wordt gemaakt. De standaardwaarde is $False. |
| AllowPasswordReplicationAccountName-tekenreeks <[]> | Hiermee geeft u de namen van gebruikersaccounts, groepsaccounts en computeraccounts waarvan de wachtwoorden kunnen worden gerepliceerd naar deze RODC. Gebruik een lege tekenreeks '' als u de waarde leeg wilt houden. Standaard is alleen de toegestane RODC-wachtwoordreplicatiegroep toegestaan en wordt deze oorspronkelijk leeg aangemaakt. Geef waarden op als een tekenreeksmatrix. Voorbeeld: Code -AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users" |
| ApplicationPartitionsToReplicate-tekenreeks <[]>Opmerking: er is geen equivalente optie in de gebruikersinterface. Als u de gebruikersinterface gebruikt of als u IFM gebruikt, worden alle toepassingspartities gerepliceerd. | Geeft de toepassingsmappartities die gerepliceerd moeten worden. Dit argument wordt alleen toegepast wanneer u het argument -InstallationMediaPath opgeeft dat moet worden geïnstalleerd vanaf media (IFM). Standaard worden alle toepassingspartities gerepliceerd op basis van hun eigen reikwijdten. Geef waarden op als een tekenreeksmatrix. Voorbeeld: Code- -ApplicationPartitionsToReplicate "partition1","partition2","partition3" |
| Bevestigen | Voordat u de cmdlet uitvoert, vraagt het systeem om bevestiging. |
| CreateDnsDelegation Opmerking: u kunt dit argument niet opgeven wanneer u de cmdlet Add-ADDSReadOnlyDomainController uitvoert. | Hiermee wordt aangegeven of u een DNS-delegatie maakt die verwijst naar de nieuwe DNS-server die u samen met de domeincontroller installeert. Alleen geldig voor geïntegreerde DNS van Active Directory. Delegatierecords kunnen alleen worden gemaakt op Microsoft DNS-servers die online en toegankelijk zijn. Delegatierecords kunnen niet worden gemaakt voor domeinen die direct ondergeschikt zijn aan domeinen op het hoogste niveau, zoals .com, .gov, .biz, .edu of landcodedomeinen met twee letters, zoals .nz en .au. De standaardwaarde wordt automatisch berekend op basis van de omgeving. |
| Geloofsbrief <PS-referentienotitie>: alleen vereist als de referenties van de huidige gebruiker onvoldoende zijn om de bewerking uit te voeren. | Hiermee specificeert u het domeinaccount dat zich kan aanmelden bij het domein, volgens de regels van Get-Credential en een PSCredential-object. Als er geen waarde is opgegeven, worden de referenties van de huidige gebruiker gebruikt. |
| CriticalReplicationOnly | Hiermee geeft u op of de AD DS-installatiebewerking alleen kritieke replicatie uitvoert voordat u opnieuw opstart en vervolgens doorgaat. De niet-kritieke replicatie vindt plaats nadat de installatie is voltooid en de computer opnieuw wordt opgestart. Het gebruik van dit argument wordt niet aanbevolen. Er is geen equivalent voor deze optie in de gebruikersinterface (UI). |
| DatabasePath <string> | Hiermee geeft u het volledig gekwalificeerde pad, niet het UNC-pad (Universal Naming Convention), naar een map op een vaste schijf van de lokale computer die de domeindatabase bevat, bijvoorbeeld C:\Windows\NTDS. De standaardwaarde is %SYSTEMROOT%\NTDS-. Belangrijk: Hoewel u de AD DS-database en logboekbestanden kunt opslaan op volumes die zijn geformatteerd met Resilient File System (ReFS), zijn er geen specifieke voordelen voor het hosten van AD DS op ReFS, behalve de normale voordelen van tolerantie die u krijgt voor het hosten van gegevens op ReFS. |
| DelegatedAdministratorAccountName-tekenreeks <> | Hiermee geeft u de naam van de gebruiker of groep die de RODC kan installeren en beheren. Standaard kunnen alleen leden van de groep Domeinadministrators een RODC beheren. |
| DenyPasswordReplicationAccountName-tekenreeks <[]> | Hiermee geeft u de namen van gebruikersaccounts, groepsaccounts en computeraccounts waarvan de wachtwoorden niet naar deze RODC moeten worden gerepliceerd. Gebruik een lege tekenreeks '' als u de replicatie van referenties van gebruikers of computers niet wilt weigeren. Beheerders, serveroperators, back-upoperators, accountoperators en de geweigerde RODC-wachtwoordreplicatiegroep worden standaard geweigerd. Standaard bevat de groep geweigerde RODC-wachtwoordreplicatie certificaatuitgevers, domeinadministrators, ondernemingsadministrators, ondernemingsdomeincontrollers, enterprise-Read-Only domeincontrollers, eigenaren van groepsbeleidsmakers, het krbtgt-account en schemabeheerders. Geef waarden op als een tekenreeksmatrix. Voorbeeld: Code- -DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs" |
| DnsDelegationCredential <PS Credential>Opmerking: u kunt dit argument niet opgeven wanneer u de Add-ADDSReadOnlyDomainController-cmdlet uitvoert. | Hiermee geeft u de gebruikersnaam en het wachtwoord voor het maken van DNS-delegatie, volgens de regels van Get-Credential en een PSCredential-object. |
| DomainMode DomainMode <> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Or DomainMode <DomainMode> {2 | 3 | 4 | 5 | 6} |
Hiermee geeft u het functionele domeinniveau op tijdens het maken van een nieuw domein. Het functionele domeinniveau kan niet lager zijn dan het functionele forestniveau, maar kan hoger zijn. De standaardwaarde wordt automatisch berekend en ingesteld op het bestaande functionele forestniveau of de waarde die is ingesteld voor -ForestMode. |
|
Domeinnaam Vereist voor de cmdlets Install-ADDSForest en Install-ADDSDomainController. |
Hiermee geeft u de FQDN van het domein waarin u een extra domeincontroller wilt installeren. |
|
DomainNetbiosName-tekenreeks <> Vereist voor Install-ADDSForest als de naam van het FQDN-voorvoegsel langer is dan 15 tekens. |
Gebruiken met Install-ADDSForest. Hiermee wordt een NetBIOS-naam toegewezen aan het nieuwe foresthoofddomein. |
| DomainType DomainType <> {ChildDomain | TreeDomain} of {child | tree} | Geeft het type domein aan dat u wilt maken: een nieuwe domeinstructuur in een bestaand forest, een onderliggend element van een bestaand domein of een nieuw forest. De standaardinstelling voor DomainType is ChildDomain. |
| Kracht | Wanneer deze parameter wordt opgegeven, worden waarschuwingen die normaal gesproken worden weergegeven tijdens de installatie en toevoeging van de domeincontroller onderdrukt zodat de cmdlet de uitvoering kan voltooien. Deze parameter kan handig zijn om op te nemen bij het installeren van scripts. |
| ForestMode ForestMode <> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Or ForestMode <> {2 | 3 | 4 | 5 | 6} |
Hiermee geeft u het functionele forestniveau op wanneer u een nieuw forest maakt. De standaardwaarde is Win2012. |
| InstallationMediaPath | Geeft de locatie aan van de installatiemedia die worden gebruikt om een nieuwe domeincontroller te installeren. |
| InstallDns | Hiermee geeft u op of de DNS Server-service moet worden geïnstalleerd en geconfigureerd op de domeincontroller. Voor een nieuw forest is de standaardinstelling $True en dns-server is geïnstalleerd. Als voor een nieuw onderliggend domein of domeinstructuur het bovenliggende domein (of foresthoofddomein voor een domeinstructuur) al als host fungeert en de DNS-namen voor het domein opslaat, wordt de standaardwaarde voor deze parameter $True. Als voor een domeincontrollerinstallatie in een bestaand domein deze parameter niet is opgegeven en het huidige domein al als host fungeert en de DNS-namen voor het domein opslaat, wordt de standaardwaarde voor deze parameter $True. Anders, als DNS-domeinnamen buiten Active Directory worden gehost, is de standaardinstelling $False en wordt er geen DNS-server geïnstalleerd. |
| LogPath-tekenreeks <> | Hiermee geeft u het volledig gekwalificeerde, niet-UNC-pad naar een map op een vaste schijf van de lokale computer die de domeinlogboekbestanden bevat, bijvoorbeeld C:\Windows\Logs. De standaardwaarde is %SYSTEMROOT%\NTDS-. Belangrijk: Sla de Active Directory-logboekbestanden niet op een gegevensvolume op dat is geformatteerd met Resilient File System (ReFS). |
| VerplaatsInfrastructuurOperatieMasterRolIndienNodig | Hiermee geeft u op of u de operations-masterrol van de infrastructuurmaster (ook wel flexibele bewerkingen van één master of FSMO genoemd) wilt overdragen naar de domeincontroller die u maakt ,in het geval dat deze momenteel wordt gehost op een globale catalogusserver' en u niet van plan bent om de domeincontroller die u maakt een globale catalogusserver te maken. Geef deze parameter op om de infrastructuurmasterrol over te dragen naar de domeincontroller die u maakt voor het geval de overdracht nodig is; Geef in dit geval de optie NoGlobalCatalog op als u wilt dat de rol van infrastructuurmaster blijft waar deze zich momenteel bevindt. |
| NieuweDomeinNaam-tekenreeks<>Opmerking: Alleen vereist voor Install-ADDSDomain. | Hiermee geeft u de enkele domeinnaam voor het nieuwe domein. Als u bijvoorbeeld een nieuw onderliggend domein met de naam emea.corp.fabrikam.com wilt maken, moet u emea opgeven als de waarde van dit argument. |
|
NewDomainNetbiosName <string> Vereist voor Install-ADDSDomain als de naam van het FQDN-voorvoegsel langer is dan 15 tekens. |
Te gebruiken met Install-ADDSDomain. Hiermee wijst u een NetBIOS-naam toe aan het nieuwe domein. De standaardwaarde is afgeleid van de waarde 'NewDomainName.' |
| GeenDnsOpNetwerk | Hiermee geeft u op dat de DNS-service niet beschikbaar is in het netwerk. Deze parameter wordt alleen gebruikt wanneer de IP-instelling van de netwerkadapter voor deze computer niet is geconfigureerd met de naam van een DNS-server voor naamomzetting. Hiermee wordt aangegeven dat een DNS-server op deze computer wordt geïnstalleerd voor naamomzetting. Anders moeten de IP-instellingen van de netwerkadapter eerst worden geconfigureerd met het adres van een DNS-server. Als u deze parameter weglaat (de standaardinstelling), wordt aangegeven dat de TCP/IP-clientinstellingen van de netwerkadapter op deze servercomputer worden gebruikt om contact op te maken met een DNS-server. Als u deze parameter niet opgeeft, moet u er daarom voor zorgen dat de TCP/IP-clientinstellingen eerst worden geconfigureerd met een voorkeurs-DNS-serveradres. |
| NoGlobalCatalog | Hiermee geeft u op dat u niet wilt dat de domeincontroller een globale catalogusserver is. Domeincontrollers met Windows Server 2012 worden standaard geïnstalleerd met de globale catalogus. Met andere woorden, dit wordt automatisch uitgevoerd zonder berekening, tenzij u het volgende opgeeft: Code- -GeenGlobaleCatalogus |
| GeenHerstartBijVoltooiing | Hiermee geeft u op of de computer opnieuw moet worden opgestart na voltooiing van de opdracht, ongeacht of deze is geslaagd. De computer wordt standaard opnieuw opgestart. Als u wilt voorkomen dat de server opnieuw wordt opgestart, geeft u het volgende op: Code- -NoRebootOnCompletion:$True Er is geen equivalent voor deze optie in de gebruikersinterface (UI). |
| Opmerking van parentDomainName-tekenreeks<>: vereist voor Install-ADDSDomain cmdlet | Specificeert de FQDN van een bestaand bovenliggend domein. U gebruikt dit argument wanneer u een onderliggend domein of een nieuwe domeinstructuur installeert. Als u bijvoorbeeld een nieuw onderliggend domein met de naam emea.corp.fabrikam.com wilt maken, moet u corp.fabrikam.com opgeven als de waarde van dit argument. |
| ReadOnlyReplica | Hiermee geeft u op of een alleen-lezen domeincontroller (RODC) moet worden geïnstalleerd. |
| ReplicationSourceDC-tekenreeks <> | Geeft de FQDN aan van de partnerdomeincontroller van waaruit u de domeingegevens repliceert. De standaardwaarde wordt automatisch berekend. |
| SafeModeAdministratorPassword <securestring> | Hiermee wordt het wachtwoord opgegeven voor het beheerdersaccount wanneer de computer wordt gestart in de veilige modus of een variant van de veilige modus, zoals de herstelmodus van Directory Services. De standaardwaarde is een leeg wachtwoord. U moet een wachtwoord opgeven. Het wachtwoord moet worden opgegeven in een System.Security.SecureString-indeling, zoals het wachtwoord dat wordt geleverd door read-host -assecurestring of ConvertTo-SecureString. De bewerking van het argument SafeModeAdministratorPassword is speciaal: Als dit argument niet is opgegeven, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet. Als deze zonder waarde is opgegeven en er geen andere argumenten zijn opgegeven voor de cmdlet, wordt u door de cmdlet gevraagd om zonder bevestiging een gemaskeerd wachtwoord in te voeren. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert. Als deze is opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert. U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de Read-Host cmdlet om de gebruiker te vragen om een beveiligde tekenreeks:-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
|
Sitenaam <tekenreeks> Vereist voor de cmdlet Add-addsreadonlydomaincontrolleraccount |
Hiermee geeft u de site waarop de domeincontroller wordt geïnstalleerd. Er is geen sitenaam-argument wanneer u Install-ADDSForest uitvoert, omdat de eerste site die is gemaakt Standaard-Eerste-Sitenaam is. De sitenaam moet al bestaan wanneer deze wordt opgegeven als argument voor -sitenaam. De cmdlet maakt de site niet. |
| SkipAutoConfigureDNS | Hiermee wordt de automatische configuratie van DNS-clientinstellingen, forwarders en root-aanwijzingen overgeslagen. Dit argument is alleen van kracht als de DNS Server-service al is geïnstalleerd of automatisch is geïnstalleerd met -InstallDNS. |
| SystemKey-tekenreeks <> | Hiermee geeft u de systeemsleutel voor de media van waaruit u de gegevens repliceert. De standaardwaarde is geen. Gegevens moeten in het formaat zijn zoals geleverd door read-host -assecurestring of ConvertTo-SecureString. |
| SysvolPath-tekenreeks <> | Hiermee specificeert u het volledig gespecificeerde, niet-UNC-pad naar een map op een lokale vaste schijf van de computer, bijvoorbeeld C:\Windows\SYSVOL. De standaardwaarde is %SYSTEMROOT%\SYSVOL. Belangrijk: SYSVOL kan niet worden opgeslagen op een gegevensvolume dat is geformatteerd met ReFS (Resilient File System). |
| SkipPreChecks | Voert de vereiste controles niet uit voordat de installatie wordt gestart. Het is niet raadzaam om deze instelling te gebruiken. |
| WhatIf | Toont wat er zou gebeuren wanneer de cmdlet wordt uitgevoerd. De cmdlet wordt niet uitgevoerd. |
Windows PowerShell-referenties opgeven
U kunt referenties opgeven zonder ze in platte tekst op het scherm weer te geven door gebruik te maken van Get-credential.
De bewerking voor de argumenten -SafeModeAdministratorPassword en LocalAdministratorPassword is speciaal:
Als dit niet als argument is opgegeven, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.
Als deze is opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.
U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Waarschuwing
Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.
U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Waarschuwing
Het is niet raadzaam om een wachtwoord voor duidelijke tekst op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Met die kennis kunnen ze de domeincontroller zelf imiteren en hun bevoegdheden verhogen tot het hoogste niveau in een Active Directory-forest.
Test-cmdlets gebruiken
Elke ADDSDeployment-cmdlet heeft een bijbehorende test-cmdlet. De test-cmdlets voeren alleen de vereiste controles uit voor de installatiebewerking; er zijn geen installatie-instellingen geconfigureerd. De argumenten voor elke test-cmdlet zijn hetzelfde als voor de bijbehorende installatie-cmdlet, maar SkipPreChecks is niet beschikbaar voor test-cmdlets.
| Cmdlet testen | Beschrijving |
|---|---|
| Test-ADDSForestInstallation | Voert de vereisten uit om een nieuw Active Directory-forest te installeren. |
| Test-ADDSDomainInstallation | Hiermee worden de vereisten uitgevoerd voor het installeren van een nieuw domein in Active Directory. |
| Test-ADDSDomainControllerInstallation | Hiermee worden de vereisten uitgevoerd voor het installeren van een domeincontroller in Active Directory. |
| Test-ADDSAlleenLezenDomeinControllerAccountAanmaak | Hiermee worden de vereisten doorlopen voor het toevoegen van een account voor een domeincontroller met alleen-lezen modus (RODC). |
Een nieuw foresthoofddomein installeren met Windows PowerShell
De syntaxis van de opdracht voor het installeren van een nieuw forest is als volgt. Optionele argumenten worden tussen vierkante haken weergegeven.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Opmerking
Het argument -DomainNetBIOSName is vereist als u de naam van 15 tekens wilt wijzigen die automatisch wordt gegenereerd op basis van het voorvoegsel van de DNS-domeinnaam of als de naam langer is dan 15 tekens.
Als u bijvoorbeeld een nieuw forest wilt installeren met de naam corp.contoso.com en veilig wordt gevraagd om het DSRM-wachtwoord op te geven, typt u:
Install-ADDSForest -DomainName "corp.contoso.com"
Opmerking
DE DNS-server wordt standaard geïnstalleerd wanneer u Install-ADDSForest uitvoert.
Als u een nieuw forest met de naam corp.contoso.com wilt installeren, maakt u een DNS-delegatie in het contoso.com domein, stelt u het functionele domeinniveau in op Windows Server 2008 R2 en stelt u het functionele forestniveau in op Windows Server 2008, installeert u de Active Directory-database en SYSVOL op het station D:\, installeert u de logboekbestanden op het E:\-station en wordt u gevraagd om het wachtwoord en het type directoryservicesherstelmodus op te geven:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Een nieuw onderliggend of boomstructuurdomein installeren met Windows PowerShell
De syntaxis van de opdracht voor het installeren van een nieuw domein is als volgt. Optionele argumenten worden tussen vierkante haken weergegeven.
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Opmerking
Het argument -credential is alleen vereist wanneer u momenteel niet bent aangemeld als lid van de groep Ondernemingsadministrators.
Het argument -NewDomainNetBIOSName is vereist als u de automatisch gegenereerde naam van 15 tekens wilt wijzigen op basis van het voorvoegsel van de DNS-domeinnaam of als de naam langer is dan 15 tekens.
Als u bijvoorbeeld referenties van corp\EnterpriseAdmin1 wilt gebruiken om een nieuw onderliggend domein met de naam child.corp.contoso.com te maken, om een DNS-server te installeren, een DNS-delegatie te maken in het corp.contoso.com-domein, het functionele domeinniveau in te stellen op Windows Server 2003, om de domeincontroller een globale catalogusserver in een site met de naam Houston te maken, gebruikt u DC1.corp.contoso.com als de replicatiebrondomeincontroller, installeert u de Active Directory-database en SYSVOL op station D:\, installeert u de logboekbestanden op station E:\, en wordt u gevraagd om het wachtwoord voor de herstelmodus directoryservices op te geven, maar wordt u niet gevraagd de opdracht te bevestigen, typt u:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Een extra (replica)-domeincontroller installeren met Windows PowerShell
De syntaxis van de opdracht voor het installeren van een extra domeincontroller is als volgt. Optionele argumenten worden tussen vierkante haken weergegeven.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Als u een domeincontroller en DNS-server wilt installeren in het corp.contoso.com-domein en wordt gevraagd om de referenties van de domeinbeheerder en het DSRM-wachtwoord op te geven, typt u:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Als de computer al lid is van het domein en u lid bent van de groep Domeinadministrators, kunt u het volgende gebruiken:
Install-ADDSDomainController -DomainName "corp.contoso.com"
Als u om de domeinnaam wilt worden gevraagd, typt u:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
Met de volgende opdracht worden de referenties van Contoso\EnterpriseAdmin1 gebruikt om een schrijfbare domeincontroller en een globale catalogusserver te installeren op een site genaamd Boston; de DNS-server te installeren; een DNS-delegatie aan te maken in het domein contoso.com; vanaf media te installeren die zijn opgeslagen in de map c:\ADDS IFM; de Active Directory-database en SYSVOL op de D:\-schijf te installeren; de logboekbestanden op de E:\-schijf te installeren; de server automatisch opnieuw te laten opstarten nadat de AD DS-installatie voltooid is, en om het wachtwoord voor de herstelmodus voor directoryservices op te geven.
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Een gefaseerde RODC-installatie uitvoeren met Windows PowerShell
De syntaxis van de opdracht voor het maken van een RODC-account is als volgt. Optionele argumenten worden tussen vierkante haken weergegeven.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccountName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
De syntaxis van de opdracht voor het koppelen van een server aan een RODC-account is als volgt. Optionele argumenten worden tussen vierkante haken weergegeven.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Als u bijvoorbeeld een RODC-account met de naam RODC1 wilt maken:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Voer vervolgens de volgende opdrachten uit op de server die u wilt koppelen aan het RODC1-account. De server kan niet aan het domein worden toegevoegd. Installeer eerst de AD DS-serverfunctie en beheerhulpprogramma's:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Voer de volgende opdracht uit om de RODC te maken:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Druk op Y om het bevestigingsargument te bevestigen of op te nemen om de bevestigingsprompt te voorkomen.
AD DS installeren met Serverbeheer
AD DS kan worden geïnstalleerd in Windows Server 2012 met behulp van de wizard Functies toevoegen in Serverbeheer, gevolgd door de wizard Active Directory Domain Services-configuratie, die nieuw is vanaf Windows Server 2012. De installatiewizard van Active Directory Domain Services (dcpromo.exe) wordt afgeschaft vanaf Windows Server 2012.
In de volgende secties wordt uitgelegd hoe u servergroepen maakt om AD DS op meerdere servers te installeren en te beheren en hoe u de wizards gebruikt om AD DS te installeren.
Servergroepen maken
Serverbeheer kan andere servers in het netwerk groeperen zolang ze toegankelijk zijn vanaf de computer waarop Serverbeheer wordt uitgevoerd. Zodra deze zijn gegroepeerd, kiest u die servers voor externe installatie van AD DS of andere configuratieopties die mogelijk zijn in Serverbeheer. De computer waarop Serverbeheer wordt uitgevoerd, wordt automatisch in een pool geplaatst. Zie Servers toevoegen aan Serverbeheer voor meer informatie over servergroepen.
Opmerking
Als u een computer die lid is van een domein wilt beheren met Serverbeheer op een werkgroepserver, of omgekeerd, zijn er aanvullende configuratiestappen nodig. Zie 'Servers in werkgroepen toevoegen en beheren' in Servers toevoegen aan Serverbeheer voor meer informatie.
AD DS installeren
administratieve inloggegevens
De referentievereisten voor het installeren van AD DS variëren, afhankelijk van de implementatieconfiguratie die u kiest. Zie Referentievereisten voor het uitvoeren van Adprep.exe en het installeren van Active Directory Domain Services voor meer informatie.
Gebruik de volgende procedures om AD DS te installeren met behulp van de GUI-methode. De stappen kunnen lokaal of extern worden uitgevoerd. Zie de volgende onderwerpen voor meer gedetailleerde uitleg van deze stappen:
Een Replica windows Server 2012-domeincontroller installeren in een bestaand domein (niveau 200)
Een nieuw Windows Server 2012 Active Directory-onder- of structuurdomein (niveau 200) installeren
Een Windows Server 2012 Active Directory Read-Only domeincontroller (RODC) (niveau 200) installeren
AD DS installeren met Serverbeheer
Klik in Serverbeheer op Beheren en klik op Functies en onderdelen toevoegen om de wizard Functies toevoegen te starten.
Klik op de knop Volgendeop de pagina Voordat u begint.
Klik op de pagina Installatietype selecteren op Rol- of functiegebaseerde installatie en klik vervolgens op Volgende.
Klik op de pagina Doelserver selecteren op Een server selecteren in de servergroep, klik op de naam van de server waarop u AD DS wilt installeren en klik vervolgens op Volgende.
Als u externe servers wilt selecteren, maakt u eerst een servergroep en voegt u de externe servers eraan toe. Zie Servers toevoegen aan Serverbeheer voor meer informatie over het maken van servergroepen.
Klik op de pagina Serverfuncties selecteren op Active Directory Domain Services en klik vervolgens in het dialoogvenster Wizard Functies en onderdelen toevoegen op Onderdelen toevoegen en klik vervolgens op Volgende.
Selecteer op de pagina Functies selecteren de extra functies die u wilt installeren en klik op Volgende.
Controleer de informatie op de pagina Active Directory Domain Services en klik vervolgens op Volgende.
Ga op de pagina Installatieopties bevestigen naar Installeren.
Controleer op de pagina Resultaten of de installatie is voltooid en klik op Deze server promoveren naar een domeincontroller om de wizard Active Directory Domain Services-configuratie te starten.
Belangrijk
Als u de wizard Rollen toevoegen op dit moment sluit zonder de wizard Active Directory Domain Services-configuratie te starten, kunt u deze opnieuw starten door te klikken op Taken in Server-beheer.
Kies op de pagina Implementatieconfiguratie een van de volgende opties:
Als u een extra domeincontroller in een bestaand domein installeert, klikt u op Een domeincontroller toevoegen aan een bestaand domein en typt u de naam van het domein (bijvoorbeeld emea.corp.contoso.com) of klikt u op Selecteren... om een domein te kiezen en referenties (geef bijvoorbeeld een account op dat lid is van de groep Domeinadministrators) en klik vervolgens op Volgende.
Opmerking
De naam van het domein en de huidige gebruikersreferenties wordt standaard alleen opgegeven als de computer lid is van een domein en u een lokale installatie uitvoert. Als u AD DS installeert op een externe server, moet u de referenties, zoals bedoeld, opgeven. Als de huidige gebruikersreferenties niet voldoende zijn om de installatie uit te voeren, klikt u op Wijzigen... om verschillende referenties op te geven.
Zie Een Replica Windows Server 2012-domeincontroller installeren in een bestaand domein (niveau 200) voor meer informatie.
Als u een nieuw onderliggend domein installeert, klikt u op Een nieuw domein toevoegen aan een bestaand forest, selecteert u domeintype, selecteert u Onderliggend domein, typt of bladert u naar de naam van de bovenliggende domein DNS-naam (bijvoorbeeld corp.contoso.com), typt u de relatieve naam van het nieuwe onderliggende domein (bijvoorbeeld emea), voert u de referenties in die u wilt gebruiken om het nieuwe domein te maken, en klikt u vervolgens op Volgende.
Zie Een nieuw Windows Server 2012 Active Directory-onder- of boomstructuurdomein (niveau 200) installeren voor meer informatie.
Als u een nieuwe domeinstructuur installeert, klikt u op Nieuw domein toevoegen aan een bestaand forest, kiest u Domein selecteren, kiest u Structuurdomein, typt u de naam van het hoofddomein (bijvoorbeeld corp.contoso.com), typt u de DNS-naam van het nieuwe domein (bijvoorbeeld fabrikam.com), typt u referenties die u wilt gebruiken om het nieuwe domein te maken en klikt u vervolgens op Volgende.
Zie Een nieuw Windows Server 2012 Active Directory-onder- of boomstructuurdomein (niveau 200) installeren voor meer informatie.
Als u een nieuw forest installeert, klikt u op Een nieuw forest toevoegen en typt u de naam van het hoofddomein (bijvoorbeeld corp.contoso.com).
Zie Een nieuw Windows Server 2012 Active Directory-forest (niveau 200) installeren voor meer informatie.
Kies op de pagina Opties voor domeincontroller een van de volgende opties:
Als u een nieuw forest of domein maakt, selecteert u de functionele niveaus van het domein en forest, klikt u op DNS-server (Domain Name System), geeft u het DSRM-wachtwoord op en klikt u vervolgens op Volgende.
Als u een domeincontroller toevoegt aan een bestaand domein, klikt u op DNS-server (Domain Name System),Global Catalog (GC) of ALLEEN-lezen domeincontroller (RODC), kiest u de sitenaam en typt u het DSRM-wachtwoord en klikt u op Volgende.
Zie Opties voor domeincontrollers voor meer informatie over welke opties op deze pagina beschikbaar zijn of niet beschikbaar zijn onder verschillende voorwaarden.
Klik op de pagina DNS-opties (die alleen wordt weergegeven als u een DNS-server installeert), indien nodig op DNS-delegatie bijwerken . Als u dit doet, geeft u referenties op die gemachtigd zijn om DNS-delegeringsrecords te maken in de bovenliggende DNS-zone.
Als er geen verbinding kan worden gemaakt met een DNS-server die als host fungeert voor de bovenliggende zone, is de optie DNS-delegering bijwerken niet beschikbaar.
Zie Zonedelegering begrijpen voor meer informatie over of u de DNS-delegatie moet bijwerken. Als u de DNS-delegering probeert bij te werken en een fout tegenkomt, raadpleegt u DNS-opties.
Geef op de pagina RODC-opties (die alleen wordt weergegeven als u een RODC installeert) de naam op van een groep of gebruiker die de RODC gaat beheren, accounts toevoegen aan of verwijderen uit de groepen toegestane of geweigerde wachtwoordreplicatie en klik vervolgens op Volgende.
Zie Wachtwoordreplicatiebeleid voor meer informatie.
Kies op de pagina Extra opties een van de volgende opties:
Als u een nieuw domein maakt, typt u een nieuwe NetBIOS-naam of controleert u de standaard NetBIOS-naam van het domein en klikt u op Volgende.
Als u een domeincontroller toevoegt aan een bestaand domein, selecteert u de domeincontroller waaruit u de AD DS-installatiegegevens wilt repliceren (of staat u toe dat de wizard een domeincontroller selecteert). Als u vanaf media installeert, klikt u op Installeren vanaf mediapadtype en controleert u het pad naar de installatiebronbestanden en klikt u vervolgens op Volgende.
U kunt installeren vanaf media (IFM) niet gebruiken om de eerste domeincontroller in een domein te installeren. IFM werkt niet in verschillende besturingssysteemversies. Met andere woorden, als u een extra domeincontroller wilt installeren waarop Windows Server 2012 wordt uitgevoerd met behulp van IFM, moet u de back-upmedia maken op een Windows Server 2012-domeincontroller. Zie Een extra domeincontroller installeren met IFM voor meer informatie over IFM.
Typ op de pagina Paden de locaties voor de Active Directory-database, logboekbestanden en sysvol-map (of accepteer standaardlocaties) en klik op Volgende.
Belangrijk
Sla de Active Directory-database, logboekbestanden of SYSVOL-map niet op een gegevensvolume op dat is geformatteerd met ReFS (Resilient File System).
Typ op de pagina Voorbereidingsopties referenties die voldoende zijn om adprep uit te voeren. Zie Referentievereisten voor het uitvoeren van Adprep.exe en het installeren van Active Directory Domain Services voor meer informatie.
Bevestig uw selecties op de pagina Beoordelingsopties, klik op Script weergeven als u de instellingen naar een Windows PowerShell-script wilt exporteren, en klik vervolgens op Volgende.
Controleer op de pagina Controle van vereisten of de vereiste validatie is voltooid en klik vervolgens op Installeren.
Controleer op de pagina Resultaten of de server is geconfigureerd als een domeincontroller. De server wordt automatisch opnieuw opgestart om de AD DS-installatie te voltooien.
Een gefaseerde RODC-installatie uitvoeren met behulp van de grafische gebruikersinterface
Met een gefaseerde RODC-installatie kunt u in twee fasen een RODC maken. In de eerste fase maakt een lid van de groep Domeinadministrators een RODC-account. In de tweede fase wordt een server gekoppeld aan het RODC-account. De tweede fase kan worden voltooid door een lid van de groep Domeinadministrators of een gedelegeerde domeingebruiker of groep.
Een RODC-account maken met behulp van de Active Directory-beheerhulpprogramma's
U kunt het RODC-account maken met Active Directory-beheercentrum of Active Directory-gebruikers en -computers.
Klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory-beheercentrum.
Klik in het navigatiedeelvenster (linkerdeelvenster) op de naam van het domein.
Klik op de Organisatie-eenheid voor domeincontrollers in de beheerlijst (middelste deelvenster).
Klik in het deelvenster Taken (rechterdeelvenster) op Van tevoren een alleen-lezen domeincontrolleraccount aanmaken.
-Of-
Klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers.
Klik met de rechtermuisknop op organisatie-eenheid (OE) domeincontrollers of klik op OE domeincontrollers en klik dan op Actie.
Klik op Read-only domeincontrolleraccount vooraf aanmaken.
Selecteer op de pagina 'Welkom bij de wizard voor de installatie van Active Directory Domain Services' de optie 'Installatie in geavanceerde modus' als u het standaard wachtwoordreplicatiebeleid (PRP) wilt wijzigen en klik vervolgens op Volgende.
Klik op de pagina Netwerkreferenties onder Geef de accountreferenties op die u wilt gebruiken om de installatie uit te voeren, klik op Mijn huidige aangemelde referenties of klik op Alternatieve referenties en klik vervolgens op Instellen. Geef in het dialoogvenster Windows-beveiliging de gebruikersnaam en het wachtwoord op voor een account waarmee de extra domeincontroller kan worden geïnstalleerd. Als u een extra domeincontroller wilt installeren, moet u lid zijn van de groep Ondernemingsadministrators of de groep Domeinadministrators. Wanneer u klaar bent met het opgeven van referenties, klikt u op Volgende.
Typ op de pagina Computernaam opgeven de computernaam van de server die de RODC wordt.
Selecteer op de pagina Een site selecteren een site in de lijst of selecteer de optie om de domeincontroller op de site te installeren die overeenkomt met het IP-adres van de computer waarop u de wizard uitvoert en klik vervolgens op Volgende.
Maak op de pagina Extra domeincontrolleropties de volgende selecties en klik op Volgende:
DNS-server: deze optie is standaard geselecteerd, zodat uw domeincontroller kan functioneren als een DNS-server (Domain Name System). Als u niet wilt dat de domeincontroller een DNS-server is, schakelt u deze optie uit. Als u de DNS-serverfunctie echter niet installeert op de RODC en de RODC de enige domeincontroller in het filiaal is, kunnen gebruikers in het filiaal geen naamomzetting uitvoeren wanneer het WAN (Wide Area Network) naar de hubsite offline is.
Globale catalogus: deze optie is standaard geselecteerd. Hiermee worden de globale catalogus en alleen-lezen mappartities toegevoegd aan de domeincontroller en wordt de zoekfunctionaliteit voor de globale catalogus ingeschakeld. Als u niet wilt dat de domeincontroller een globale catalogusserver is, schakelt u deze optie uit. Als u echter geen globale catalogusserver in het filiaal installeert of het opslaan van universele groepslidmaatschappen inschakelt voor de site die de RODC bevat, kunnen gebruikers in het filiaal zich niet aanmelden bij het domein wanneer het WAN naar de hubsite offline is.
Alleen-lezen domeincontroller. Wanneer u een RODC-account maakt, wordt deze optie standaard geselecteerd en kunt u deze niet wissen.
Als u het selectievakje Geavanceerde modus installeren op de welkomstpagina hebt ingeschakeld, wordt de pagina Wachtwoordreplicatiebeleid opgeven weergegeven. Standaard worden er geen accountwachtwoorden gerepliceerd naar de RODC en worden beveiligingsgevoelige accounts (zoals leden van de groep Domeinadministrators) expliciet geweigerd om hun wachtwoorden te laten repliceren naar de RODC.
Als u andere accounts aan beleid wilt toevoegen, klikt u op Toevoegen, klikt u vervolgens op Wachtwoorden toestaan voor het account om te repliceren naar deze RODC of klikt u op Wachtwoorden weigeren voor het account van repliceren naar deze RODC en selecteert u vervolgens de accounts.
Als u klaar bent (of de standaardinstelling wilt accepteren), klikt u op Volgende.
Typ op de pagina Overdracht van RODC-installatie en -beheer de naam van de gebruiker of de groep die de server koppelt aan het RODC-account dat u maakt. U kunt de naam van slechts één beveiligingsprincipaal typen.
Klik op Instellen om in de map naar een specifieke gebruiker of groep te zoeken. Typ in Gebruiker of groep selecteren de naam van de gebruiker of groep. U wordt aangeraden RODC-installatie en -beheer te delegeren aan een groep.
Deze gebruiker of groep heeft na de installatie ook lokale beheerdersrechten op de RODC. Als u geen gebruiker of groep opgeeft, kunnen alleen leden van de groep Domeinadministrators of de groep Ondernemingsadministrators de server aan het account koppelen.
Wanneer u klaar bent, klikt u op Volgende.
Controleer uw selecties op de pagina Samenvatting . Klik op Terug als u selecties wilt wijzigen, indien nodig.
Als u de instellingen die u hebt geselecteerd wilt opslaan in een antwoordbestand dat u kunt gebruiken om volgende AD DS-bewerkingen te automatiseren, klikt u op Instellingen exporteren. Typ een naam voor het antwoordbestand en klik op Opslaan.
Als u zeker weet dat uw selecties juist zijn, klikt u op Volgende om het RODC-account te maken.
Op de pagina Voltooiing van de Active Directory Domain Services-installatiewizard klikt u op Voltooien.
Nadat een RODC-account is gemaakt, kunt u een server koppelen aan het account om de RODC-installatie te voltooien. Deze tweede fase kan worden voltooid in het filiaal waar de RODC zich bevindt. De server waarop u deze procedure uitvoert, mag niet worden toegevoegd aan het domein. Vanaf Windows Server 2012 gebruikt u de wizard Functies toevoegen in Serverbeheer om een server aan een RODC-account toe te voegen.
Een server koppelen aan een RODC-account met Serverbeheer
Meld u aan als lokale beheerder.
Klik in Serverbeheer op Functies en onderdelen toevoegen.
Klik op de knop Volgendeop de pagina Voordat u begint.
Klik op de pagina Selecteer installatietype op Rolgebaseerde of functiegebaseerde installatie en klik vervolgens op Volgende.
Klik op de pagina Doelserver selecteren op Een server selecteren in de servergroep, klik op de naam van de server waarop u AD DS wilt installeren en klik vervolgens op Volgende.
Klik op de pagina Serverfuncties selecteren op Active Directory Domain Services, klik op Onderdelen toevoegen en klik vervolgens op Volgende.
Selecteer op de pagina Selecteer functies de extra functies die u wilt installeren en klik op Volgende.
Controleer de informatie op de pagina Active Directory Domain Services en klik vervolgens op Volgende.
Ga op de pagina Installatieopties bevestigen naar Installeren.
Controleer op de pagina Resultaten of de installatie is voltooid en klik op Deze server promoveren naar een domeincontroller om de wizard Active Directory Domain Services-configuratie te starten.
Belangrijk
Als u de wizard Rollen toevoegen op dit moment afsluit zonder de wizard Active Directory Domain Services-configuratie te starten, kunt u deze opnieuw starten door op Taken te klikken in Serverbeheer.
(media/Install-Active-Directory-Domain-Services-Level-100-/ADDS_SMI_Tasks.gif)
Klik op de pagina Implementatieconfiguratie op Een domeincontroller toevoegen aan een bestaand domein, typ de naam van het domein (bijvoorbeeld emea.contoso.com) en referenties (geef bijvoorbeeld een account op dat is gedelegeerd voor het beheren en installeren van de RODC) en klik vervolgens op Volgende.
Klik op de pagina Opties voor domeincontroller op Bestaand RODC-account gebruiken, typ en bevestig het wachtwoord voor de modus Herstelmodus van Directory Services en klik vervolgens op Volgende.
Als u op de pagina Extra opties installeert vanaf media, klikt u op Installeren vanaf mediapadtype en controleert u het pad naar de installatiebronbestanden, selecteert u de domeincontroller waaruit u de AD DS-installatiegegevens wilt repliceren (of staat u de wizard toe om een domeincontroller te selecteren) en klikt u vervolgens op Volgende.
Typ op de pagina Paden de locaties voor de Active Directory-database, logboekbestanden en de map SYSVOL, of accepteer de standaardlocaties en klik op Volgende.
Bevestig uw selecties op de pagina Reviewopties, klik op Script weergeven om de instellingen te exporteren naar een Windows PowerShell-script, en klik vervolgens op Volgende.
Controleer op de pagina Controle van vereisten of de vereiste validatie is voltooid en klik vervolgens op Installeren.
Om de AD DS-installatie te voltooien, wordt de server automatisch opnieuw opgestart.
Zie ook
Problemen oplossen met domeincontrollerimplementatieInstalleer een nieuw Windows Server 2012 Active Directory-forest (niveau 200)Installeer een nieuwe Windows Server 2012 Active Directory-kind- of boomstructuurdomein (niveau 200)Installeer een replicadomeincontroller van Windows Server 2012 in een bestaand domein (niveau 200)