Een Windows Server 2012 Active Directory Read-Only domeincontroller (RODC) (niveau 200) installeren
In dit artikel wordt uitgelegd hoe u een gefaseerd RODC-account maakt en vervolgens een server aan dat account koppelt tijdens de installatie van RODC. In dit artikel wordt ook uitgelegd hoe u een RODC installeert zonder een gefaseerde installatie uit te voeren.
Rodc-werkstroom fase
Een gefaseerde alleen-lezen domeincontrollerinstallatie (RODC) werkt in twee afzonderlijke fasen:
Een niet-bezet computeraccount faseren
Een RODC aan dat account koppelen tijdens de promotie
In het volgende diagram ziet u het faseringsproces van Active Directory Domain Services Read-Only domeincontroller, waarin u een leeg RODC-computeraccount in het domein maakt met behulp van het Active Directory-beheercentrum (Dsac.exe).
Stage RODC Windows PowerShell
| ADDSDeployment-cmdlet | Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden opgegeven met Windows PowerShell of de AD DS-configuratiewizard.) |
|---|---|
| Add-addsreadonlydomaincontrolleraccount | -SkipPreChecks -DomainControllerAccountName -DomainName -SiteName -AllowPasswordReplicationAccountName -Referentie -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
Notitie
Het argument -credential is alleen vereist als u nog niet bent aangemeld als lid van de groep Domeinadministrators.
RODC-werkstroom koppelen
In het onderstaande diagram ziet u het configuratieproces van Active Directory Domain Services, waarin u de AD DS-rol al hebt geïnstalleerd, het RODC-account hebt voorbereid en bent begonnen met Deze server promoveren naar een domeincontroller met behulp van Serverbeheer om een nieuwe RODC in een bestaand domein te maken, waarbij deze wordt gekoppeld aan het voorbereide computeraccount.
RODC Windows PowerShell koppelen
| ADDSDeployment-cmdlet | Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden gespecificeerd met behulp van Windows PowerShell of de AD DS-configuratiewizard.) |
|---|---|
| Install-AddsDomaincontroller | -SkipPreChecks -DomainName -SafeModeAdministratorPassword -ApplicationPartitionsToReplicate -CreëerDNSDelegatie -Referentie -CriticalReplicationOnly -DatabasePath- -DNSDelegationCredential -InstallationMediaPath- -LogPath -Nietherstartennaafloop -ReplicationSourceDC- -SystemKey- -SYSVOLPath- -GebruikBestaandeAccount |
Notitie
Het argument -credential is alleen vereist als u nog niet bent aangemeld als lid van de groep Domeinadministrators.
Enscenering
U voert de faseringsbewerking van een alleen-lezen domeincontrollercomputeraccount uit door het Active Directory-beheercentrum (Dsac.exe) te openen. Selecteer de naam van het domein in het navigatiedeelvenster. Dubbelklik op Domeincontrollers in de beheerlijst. Selecteer Pre-creëer een alleen-lezen domeincontrolleraccount in het taakvenster.
Zie Advanced AD DS Management Using Active Directory Administrative Center (Level 200) en bekijk Active Directory-beheercentrum: Aan de slagvoor meer informatie over het Active Directory-beheercentrum.
Als u ervaring hebt met het maken van alleen-lezen domeincontrollers, ontdekt u dat de installatiewizard dezelfde grafische interface heeft als de oudere Active Directory-gebruikers en -computersmodule van Windows Server 2008 en dezelfde code gebruikt, waaronder het exporteren van de configuratie in de unattend-bestandsindeling die wordt gebruikt door de verouderde dcpromo.
Windows Server 2012 introduceert een nieuwe ADDSDeployment-cmdlet voor het faseren van RODC-computeraccounts, maar de wizard gebruikt de cmdlet niet voor de bewerking. In de volgende secties worden de equivalente cmdlet en argumenten weergegeven om de informatie die aan elke cmdlet is gekoppeld gemakkelijker te begrijpen.
De koppeling Vooraf aanmaken van een alleen-lezen domeincontrolleraccount in het taakvenster van het Active Directory-beheercentrum is gelijk aan de ADDSDeployment Windows PowerShell-cmdlet.
Add-addsreadonlydomaincontrolleraccount
Welkom
Het Welkom bij de wizard Active Directory Domain Services installeren heeft één optie met de naam Installatie van geavanceerde modus gebruiken. Selecteer deze optie en selecteer Volgende om beleidsopties voor wachtwoordreplicatie weer te geven. Schakel deze optie uit om de standaardwaarden te gebruiken voor beleidsopties voor wachtwoordreplicatie (dit wordt verderop in deze sectie nader besproken).
Netwerkreferenties
De domeinnaamoptie in het dialoogvenster Netwerkreferenties geeft standaard het domein weer waarop het Active Directory-beheercentrum is gericht. Uw huidige referenties worden standaard gebruikt. Als ze geen lid zijn van de groep Domeinadministrators, selecteert u Alternatieve referentiesen selecteert u Instellen om de wizard een gebruikersnaam en wachtwoord op te geven die lid zijn van de Domeinadministrators.
Het equivalente argument ADDSDeployment Windows PowerShell is:
-credential <pscredential>
Houd er rekening mee dat het faseringssysteem een directe poort is van Windows Server 2008 R2 en niet de nieuwe Adprep-functionaliteit biedt. Als u van plan bent gefaseerde RODC-accounts te implementeren, moet u eerst een niet-voorbereide RODC in dat domein implementeren, zodat de automatische rodcprep-bewerking wordt uitgevoerd of handmatig adprep.exe /rodcprep eerst uitvoeren.
Anders krijgt u een foutmelding. U kunt geen alleen-lezen domeincontroller in dit domein installeren omdat adprep /rodcprep nog niet is uitgevoerd.
Geef de computernaam op
Voor het dialoogvenster Computernaam opgeven moet u de enkelvoudige label Computernaam invoeren van een domeincontroller die niet bestaat. De domeincontroller die u later aan dit account configureert en koppelt, moet dezelfde naam hebben of de promotiebewerking detecteert het gefaseerde account niet.
Het equivalent Windows PowerShell-argument voor ADDSDeployment is:
-domaincontrolleraccountname <string>
Een site selecteren
In het dialoogvenster Een site selecteren wordt een lijst met Active Directory-sites voor het huidige forest weergegeven. Voor de gefaseerde bewerking van de alleen-lezen domeincontroller moet u één site in de lijst selecteren. De RODC gebruikt deze informatie om het NTDS-instellingenobject in de configuratiepartitie te maken en zichzelf aan de juiste site te koppelen wanneer deze voor het eerst wordt gestart nadat deze is geïmplementeerd.
Het Windows PowerShell-argument voor ADDSDeployment is:
-sitename <string>
Extra opties voor domeincontrollers
In het dialoogvenster Extra domeincontrolleropties kunt u opgeven dat een domeincontroller fungeert als een DNS-server en een globale catalogus. Microsoft raadt aan dat read-only domeincontrollers DNS- en GC-services bieden, dus beide worden standaard geïnstalleerd. Een van de bedoelingen van de RODC-rol is om te voorzien in filiaalscenario's waarbij het wide area-netwerk mogelijk niet beschikbaar is. Zonder die DNS- en globale catalogusservices kunnen computers in de vertakking geen AD DS-resources en -functionaliteit gebruiken.
De alleen-lezen domeincontroller (RODC) optie is vooraf geselecteerd en kan niet worden uitgeschakeld. De equivalente ADDSDeployment Windows PowerShell-argumenten zijn:
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
Notitie
De waarde -NoGlobalCatalog is standaard $false, wat betekent dat de domeincontroller een globale catalogusserver is als het argument niet is opgegeven.
Het wachtwoordreplicatiebeleid opgeven
Met het dialoogvenster Wachtwoordreplicatiebeleid opgeven kunt u de standaardlijst van accounts wijzigen die hun wachtwoorden mogen opslaan op deze alleen-lezen-domeincontroller. Accounts in de lijst die zijn geconfigureerd met Weigering of die zich niet in de lijst bevinden (impliciet), cachen hun wachtwoord niet. Accounts die geen wachtwoorden in de cache mogen opslaan op de RODC en die geen verbinding kunnen maken en verifiëren met een beschrijfbare domeincontroller, hebben geen toegang tot resources of functionaliteit van Active Directory.
Belangrijk
In de wizard wordt dit dialoogvenster alleen weergegeven als u het selectievakje Geavanceerde modus installeren inschakelt op het welkomstscherm. Als u dit selectievakje uitschakelt, gebruikt de wizard de volgende standaardgroepen en -waarden:
- Beheerders - Weigeren
- Serverbeheerders - Weigeren
- Back-upoperators - Weigeren
- Accountoperators - Weigeren
- RODC Wachtwoordreplicatiegroep - Geweigerd
- Toegestane RODC-wachtwoordreplicatiegroep - Toestaan
De equivalente ADDSDeployment Windows PowerShell-argumenten zijn:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Delegatie van RODC-installatie en -beheer
Met het dialoogvenster Overdracht van RODC-installatie en -beheer kunt u een gebruiker of groep configureren die gebruikers bevat die de server mogen koppelen aan het RODC-computeraccount. Selecteer om in te stellen voor het bladeren door het domein voor een gebruiker of groep. De gebruiker of groep die in dit dialoogvenster is opgegeven, krijgt lokale beheerdersmachtigingen voor de RODC. De opgegeven gebruiker of leden van de opgegeven groep kunnen bewerkingen uitvoeren op de RODC met bevoegdheden die gelijk zijn aan de groep Administrators van de computer. Ze zijn geen* leden van de groepen Domeinadministratoren of ingebouwde domeinbeheerders.
Gebruik deze optie om het filiaalbeheer te delegeren zonder het lidmaatschap van de vertakkingsbeheerder toe te kennen aan de groep Domeinadministrators. Het delegeren van RODC-beheer is niet vereist.
Het equivalente argument van ADDSDeployment voor Windows PowerShell is:
-delegatedadministratoraccountname <string>
Samenvatting
In het dialoogvenster Samenvatting kunt u uw instellingen bevestigen. Dit is de laatste mogelijkheid om de installatie te stoppen voordat de wizard het gefaseerde account maakt. Selecteer Volgende wanneer u klaar bent om het RODC-computeraccount in fasen te maken. Selecteer Exportinstellingen om een antwoordbestand op te slaan in het verouderde dcpromo-bestandsformaat zonder toezicht.
Creatie
De wizard Active Directory Domain Services installeren maakt de gefaseerde alleen-lezen domeincontroller in Active Directory. U kunt deze bewerking niet annuleren nadat deze is gestart.
Gebruik de volgende cmdlet om een alleen-lezen domeincontrollercomputeraccount te faseren met behulp van de ADDSDeployment Windows PowerShell-module:
Add-addsreadonlydomaincontrolleraccount
Zie RODC Windows PowerShell- voor vereiste en optionele argumenten.
Omdat Add-addsreadonlydomaincontrolleraccount slechts één actie met twee fasen (controle van vereisten en installatie) heeft, worden in de volgende schermopnamen de installatiefase met de minimaal vereiste argumenten weergegeven.
De stap-RODC-bewerking maakt het RODC-computeraccount aan in Active Directory. Het Active Directory-beheercentrum toont het type domeincontroller als een niet-actieve domeincontrolleraccount. Deze domeincontrollertypen geven aan dat het gefaseerde RODC-account gereed is voor een server die eraan kan worden gekoppeld als een alleen-lezen domeincontroller.
Belangrijk
Het Active Directory-beheercentrum is niet meer nodig om een server te koppelen aan een computeraccount van een alleen-lezen domeincontroller. Gebruik Serverbeheer en de wizard Active Directory Domain Services-configuratie of de cmdlet ADDSDeployment Windows PowerShell-module Install-AddsDomainController om een nieuwe RODC toe te voegen aan zijn gefaseerde account. De stappen zijn vergelijkbaar met het toevoegen van een nieuwe beschrijfbare domeincontroller aan een bestaand domein, met uitzondering dat het gefaseerde RODC-computeraccount configuratieopties bevat die zijn besloten op het moment dat u het RODC-computeraccount hebt gefaseerd.
Bijvoegen
Implementatieconfiguratie
Serverbeheer begint elke promotie van een domeincontroller met de pagina Deployment Configuration. De resterende opties en vereiste velden worden op deze pagina en volgende pagina's gewijzigd, afhankelijk van de implementatiebewerking die u selecteert.
Als u een alleen-lezen domeincontroller wilt toevoegen aan een bestaand domein, selecteert u Een domeincontroller toevoegen aan een bestaand domein en selecteert u de knop selecteren om de domeingegevens voor dit domein op te geven. Serverbeheer vraagt u automatisch om geldige referenties of u kunt Wijzigenselecteren.
Voor het koppelen van een RODC is lidmaatschap vereist van de groepen Domeinadministratoren in Windows Server 2012. De configuratiewizard voor Active Directory Domain Services zal u later vragen als uw huidige gebruikersgegevens niet over voldoende machtigingen of groepslidmaatschappen beschikken.
De cmdlet en argumenten van Windows PowerShell voor Implementatieconfiguratie ADDSDeployment zijn:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opties voor domeincontroller
De domeincontrolleropties pagina toont de domeincontrolleropties voor de nieuwe domeincontroller. Wanneer deze pagina wordt geladen, verzendt de wizard Active Directory Domain Services-configuratie een LDAP-query naar een bestaande domeincontroller om te controleren op niet-actieve accounts. Als de query een niet-gebruikte domeincontrollercomputeraccount vindt dat dezelfde naam heeft als de huidige computer, wordt in de wizard boven aan de pagina een informatief bericht weergegeven dat een vooraf gemaakt RODC-account dat overeenkomt met de naam van de doelserver in de map staat. Kies of u dit bestaande RODC-account wilt gebruiken of deze domeincontroller opnieuw wilt installeren. De wizard gebruikt de Bestaande RODC-account gebruiken als de standaardconfiguratie.
Belangrijk
U kunt de optie deze domeincontroller opnieuw installeren gebruiken wanneer een domeincontroller een fysiek probleem heeft gehad en niet meer operationeel kan worden. Dit bespaart tijd bij het configureren van de vervangende domeincontroller door het domeincontrollercomputeraccount en objectmetagegevens in Active Directory te verlaten. Installeer de nieuwe computer met de dezelfde naamen promoot deze als een domeincontroller in het domein. De Installeer deze domeincontroller opnieuw optie is niet beschikbaar als u de metagegevens van het domeincontrollerobject hebt verwijderd uit Active Directory (metagegevens opschonen).
U kunt geen domeincontrolleropties configureren wanneer u een server koppelt aan een RODC-computeraccount. U configureert opties voor domeincontrollers wanneer u het gefaseerde RODC-computeraccount maakt.
Het opgegeven Wachtwoord voor herstelmodus directoryservices moet voldoen aan het wachtwoordbeleid dat op de server is toegepast. Kies altijd een sterk, complex wachtwoord of bij voorkeur een wachtwoordzin.
De domeincontrolleropties ADDSDeployment Windows PowerShell-argumenten zijn:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Belangrijk
De sitenaam moet al bestaan wanneer deze wordt opgegeven als argument voor -sitenaam. De cmdlet install-AddsDomainController maakt geen sitenamen. U kunt cmdlet new-adreplicationsite gebruiken om nieuwe sites te maken.
De argumenten Install-ADDSDomainController volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven.
De werking van het SafeModeAdministratorPassword-argument is bijzonder:
Als niet wordt opgegeven als argument, vraagt de cmdlet u om een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.
Als u bijvoorbeeld een nieuwe RODC wilt maken in de corp.contoso.com en wordt gevraagd om een gemaskeerd wachtwoord in te voeren en te bevestigen:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)Als u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.
U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Waarschuwing
Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.
U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Ten slotte kunt u het verborgen wachtwoord opslaan in een bestand en het later opnieuw gebruiken, zonder dat het wachtwoord voor duidelijke tekst ooit wordt weergegeven. Bijvoorbeeld:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Waarschuwing
Het is niet raadzaam om een duidelijk of verborgen tekstwachtwoord op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Iedereen met toegang tot het bestand kan dat verborgen wachtwoord omkeren. Met die kennis kunnen ze zich aanmelden bij een DC die is gestart in DSRM en uiteindelijk de domeincontroller zelf imiteren, waardoor hun bevoegdheden worden verhoogd naar het hoogste niveau in een AD-forest. Een extra set stappen met System.Security.Cryptography voor het versleutelen van de tekstbestandsgegevens is raadzaam, maar valt buiten het bereik. De best practice is om wachtwoordopslag volledig te voorkomen.
Aanvullende opties
De pagina Aanvullende opties bevat configuratieopties voor het benoemen van een domeincontroller als de replicatiebron, of u kunt elke domeincontroller als replicatiebron gebruiken.
U kunt er ook voor kiezen om de domeincontroller te installeren met behulp van een back-up van media met behulp van de optie Installeren vanaf media (IFM). Het selectievakje Installeren vanaf media biedt een bladeroptie zodra het is geselecteerd, en u moet Verifiëren selecteren om te verzekeren dat het opgegeven pad naar geldige media verwijst.
Richtlijnen voor de IFM-bron:
- Media die door de IFM-optie worden gebruikt, worden gemaakt met Windows Server Backup of Ntdsutil.exe van een andere bestaande Windows Server-domeincontroller met alleen dezelfde versie van het besturingssysteem. U kunt bijvoorbeeld geen Windows Server 2008 R2 of een eerder besturingssysteem gebruiken om media te maken voor een Windows Server 2012-domeincontroller.
- De IFM-brongegevens moeten afkomstig zijn van een beschrijfbare domeincontroller. Hoewel een bron van een RODC technisch werkt om een nieuwe RODC te creëren, zijn er vals-positieve replicatiewaarschuwingen waarin wordt gesuggereerd dat de IFM-bron-RODC niet repliceert.
Voor meer informatie over wijzigingen in IFM, zie Ntdsutil.exe Install from Media Changes. Als u media gebruikt die zijn beveiligd met een SYSKEY, vraagt Serverbeheer tijdens de verificatie om het wachtwoord van de installatiekopie.
De cmdlet-argumenten Aanvullende opties ADDSDeployment zijn:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Paden
Met de pagina Paden kunt u de standaardmaplocaties van de AD DS-database, de transactielogboeken van de database en de SYSVOL-share overschrijven. De standaardlocaties bevinden zich altijd in submappen van %systemroot%. De argumenten voor het cmdlet ADDSDeployment voor paden zijn:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Opties controleren en script weergeven
Op de pagina Opties controleren kunt u uw instellingen valideren en ervoor zorgen dat deze voldoen aan uw vereisten voordat u de installatie start. Dit is niet de laatste mogelijkheid om de installatie te stoppen met Serverbeheer. Op deze pagina kunt u uw instellingen controleren en bevestigen voordat u doorgaat met de configuratie. De pagina Opties controleren in Serverbeheer biedt ook een optionele knop Script weergeven om een Unicode-tekstbestand te maken dat de huidige ADDSDeployment-configuratie bevat als één Windows PowerShell-script. Hiermee kunt u de grafische interface serverbeheer gebruiken als een Windows PowerShell-implementatiestudio. Gebruik de wizard Active Directory Domain Services configureren, om opties te configureren, de configuratie te exporteren en vervolgens de wizard af te sluiten. Met dit proces maakt u een geldig en syntactisch correct voorbeeld voor verdere wijziging of direct gebruik. Bijvoorbeeld:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true
Notitie
Serverbeheer vult over het algemeen alle argumenten in met waarden bij het promoveren en is niet afhankelijk van standaardwaarden (omdat deze kunnen veranderen tussen toekomstige versies van Windows of servicepacks). De enige uitzondering hierop is het argument -safemodeadministratorpassword. Als u een bevestigingsprompt wilt afdwingen, laat u de waarde weg bij het interactief uitvoeren van de cmdlet
Gebruik de optionele Whatif argument met de cmdlet Install-ADDSDomainController om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten voor een cmdlet bekijken.
Controle van vereisten
De Controle van Vereisten is een nieuwe functie in de AD DS-domeinconfiguratie. Deze nieuwe fase valideert dat de serverconfiguratie een nieuw AD DS-forest kan ondersteunen.
Wanneer u een nieuw foresthoofddomein installeert, roept de configuratiewizard van Serverbeheer voor Active Directory Domain Services een reeks doorlopende modulaire tests aan. Deze tests waarschuwen u met voorgestelde herstelopties. U kunt de tests zo vaak uitvoeren als nodig is. Het installatieproces van de domeincontroller kan pas worden voortgezet als alle vereiste tests zijn geslaagd.
De Controlevereisten bevatten ook relevante informatie, zoals beveiligingswijzigingen die gevolgen hebben voor oudere besturingssystemen. Zie Controle van vereistenvoor meer informatie over de vereistencontroles.
U kunt de controle van vereisten niet omzeilen wanneer u Serverbeheer gebruikt, maar u kunt het proces overslaan wanneer u de cmdlet voor AD DS-implementatie gebruikt met het volgende argument:
-skipprechecks
Waarschuwing
Microsoft ontmoedigt het overslaan van de controle van vereisten, omdat dit kan leiden tot een gedeeltelijke promotie van domeincontrollers of een beschadigd AD DS-forest.
Selecteer Installeren om het promotieproces van de domeincontroller te starten. Dit is de laatste mogelijkheid om de installatie te annuleren. U kunt het promotieproces niet annuleren zodra het begint. De computer wordt automatisch opnieuw opgestart aan het einde van de promotie, ongeacht de promotieresultaten.
Installatie
Wanneer de installatiepagina wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en worden naar logboeken geschreven:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Als u een nieuw Active Directory-forest wilt installeren met behulp van de module ADDSDeployment, gebruikt u de volgende cmdlet:
Install-addsdomaincontroller
Zie RODC Windows PowerShell- koppelen voor vereiste en optionele argumenten.
De Install-addsdomaincontroller cmdlet heeft slechts twee fasen (vereisten controleren en installeren). In de onderstaande afbeeldingen ziet u de installatiefase met de minimaal vereiste argumenten van -domeinnaam, -useexistingaccounten -credential. Let op dat, net zoals Serverbeheer, Install-ADDSDomainController u eraan herinnert dat de promotie de server automatisch opnieuw opstart.
Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de -force of -confirm:$false argumenten met een ADDSDeployment Windows PowerShell-cmdlet. Als u wilt voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie, gebruikt u het argument -norebootoncompletion.
Waarschuwing
Het omzeilen van het opnieuw opstarten wordt afgeraden. De domeincontroller moet opnieuw worden opgestart om correct te kunnen functioneren.
Resultaten
nl-NL: 
Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.
RODC zonder faseringswerkstroom
In het volgende diagram ziet u het configuratieproces van Active Directory Domain Services. Dit gebeurt nadat u eerder de AD DS-rol hebt geïnstalleerd en via de Serverbeheerder de configuratiewizard voor Active Directory Domain Services hebt gestart om een nieuwe niet-gestage read-only-domeincontroller te maken in een bestaand Windows Server 2012-domein.
RODC zonder fasering van Windows PowerShell
| ADDSDeployment-cmdlet | Argumenten (vetgedrukte argumenten zijn vereist. cursieve argumenten kunnen worden opgegeven met behulp van Windows PowerShell of AD DS-configuratie Wizard.) |
|---|---|
| Install-AddsDomainController | -SkipPreChecks -DomainName -SafeModeAdministratorPassword -SiteName -ApplicationPartitionsToReplicate -CreateDNSDelegation -Bewijsdocument -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS- -LogPath- -VerplaatsInfrastructuurOperatieBeheerRolIndienNodig -NoGlobalCatalog -Norebootoncompletion (voorkomt herstart na voltooiing) -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey- -SYSVOLPath- -AllowPasswordReplicationAccountName -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
Notitie
Het argument -credential is alleen vereist als u nog niet bent aangemeld als lid van de groep Domeinadministrators.
RODC zonder faseringsimplementatie
Implementatieconfiguratie
Serverbeheer begint elke promotie van domeincontrollers met de pagina Deployment Configuration. De resterende opties en vereiste velden worden op deze pagina en volgende pagina's gewijzigd, afhankelijk van de implementatiebewerking die u selecteert.
Als u een niet-voorbereide alleen-lezen domeincontroller wilt toevoegen aan een bestaand Windows Server 2012-domein, selecteert u Een domeincontroller toevoegen aan een bestaand domein en selecteert u de knop selecteren om de domeingegevens voor dit domein op te geven. Serverbeheer vraagt u automatisch om geldige referenties of u kunt Wijzigenselecteren.
Voor het koppelen van een RODC is lidmaatschap vereist van de groepen Domeinadministratoren in Windows Server 2012. De Active Directory Domain Services-configuratiewizard zal u later vragen als uw huidige inloggegevens niet over voldoende machtigingen of groepslidmaatschappen beschikken.
De Deployment Configuration ADDSDeployment Windows PowerShell cmdlet en argumenten zijn:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opties voor domeincontroller
De pagina domeincontroller-opties specificeert de mogelijkheden en functies van de domeincontroller voor de nieuwe domeincontroller. De configureerbare domeincontrollermogelijkheden zijn DNS-server, Global Catalogen alleen-lezen domeincontroller. Microsoft raadt aan dat alle domeincontrollers DNS- en GC-services bieden voor hoge beschikbaarheid in gedistribueerde omgevingen. GC is altijd standaard geselecteerd en de DNS-server wordt standaard geselecteerd als het huidige domein al DNS host op zijn DC's, gebaseerd op een Start of Authority-query.
Met de pagina domeincontrolleropties kunt u ook de juiste logische sitenaam van Active Directory kiezen uit de forest-configuratie. Standaard wordt de site met het meest juiste subnet geselecteerd. Als er slechts één site is, wordt die site automatisch geselecteerd.
Belangrijk
Als de server geen deel uitmaakt van een Active Directory-subnet en er meer dan één Active Directory-site is, is er niets geselecteerd en is de knop Volgende niet beschikbaar totdat u een site in de lijst kiest.
Het opgegeven Wachtwoord voor herstelmodus directoryservices moet voldoen aan het wachtwoordbeleid dat op de server is toegepast. Kies altijd een sterk, complex wachtwoord of bij voorkeur een wachtwoordzin. De domeincontrolleropties ADDSDeployment Windows PowerShell-argumenten zijn:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Belangrijk
De sitenaam moet al bestaan wanneer deze wordt opgegeven als argument voor -sitenaam. De cmdlet install-AddsDomainController maakt geen sitenamen. U kunt cmdlet new-adreplicationsite gebruiken om nieuwe sites te maken.
De argumenten Install-ADDSDomainController volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven.
Het gebruik van het argument SafeModeAdministratorPassword is speciaal:
Als niet is opgegeven als als argument, wordt u door de cmdlet gevraagd een verborgen wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.
Als u bijvoorbeeld een nieuwe RODC wilt maken in de corp.contoso.com en wordt gevraagd om een gemaskeerd wachtwoord in te voeren en te bevestigen:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)Als u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.
U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Waarschuwing
Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.
U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Ten slotte kunt u het verborgen wachtwoord opslaan in een bestand en het later opnieuw gebruiken, zonder dat het wachtwoord voor duidelijke tekst ooit wordt weergegeven. Bijvoorbeeld:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Waarschuwing
Het is niet raadzaam om een duidelijk of verborgen tekstwachtwoord op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Iedereen met toegang tot het bestand kan dat verborgen wachtwoord omkeren. Met die kennis kunnen ze zich aanmelden bij een DC die is gestart in DSRM en uiteindelijk de domeincontroller zelf imiteren, waardoor hun bevoegdheden worden verhoogd naar het hoogste niveau in een AD-forest. Een extra set stappen met System.Security.Cryptography voor het versleutelen van de tekstbestandsgegevens is raadzaam, maar valt buiten het bereik. De best practice is om wachtwoordopslag volledig te voorkomen.
RODC-opties
Op de pagina RODC-opties kunt u de instellingen wijzigen:
Gedelegeerd beheerdersaccount
Accounts die bevoegd zijn om wachtwoorden naar de RODC te repliceren
Accounts die geen wachtwoorden mogen repliceren naar de RODC
Gedelegeerde beheerdersaccounts krijgen lokale beheerdersmachtigingen voor de RODC. Deze gebruikers kunnen werken met bevoegdheden die gelijk zijn aan de groep Administrators van de lokale computer. Ze zijn geen lid van de domeinadministratoren of de ingebouwde beheerdersgroepen van het domein. Deze optie is handig voor het delegeren van filiaalbeheer zonder domeinbeheerdersmachtigingen uit te geven. Het configureren van delegering van beheer is niet vereist.
Het overeenkomstige Windows PowerShell-argument voor ADDSDeployment is:
-delegatedadministratoraccountname <string>
Accounts die geen wachtwoorden in de cache mogen opslaan op de RODC en die geen verbinding kunnen maken en verifiëren met een beschrijfbare domeincontroller, hebben geen toegang tot resources of functionaliteit van Active Directory.
Belangrijk
Als dit niet is gewijzigd, worden de standaardgroepen en instellingen gebruikt:
- Beheerders - Weigeren
- Serveroperators - Weigeren
- Backup-operators - Toegang weigeren
- Accountoperators - Weigeren
- RODC-wachtwoordreplicatiegroep geweigerd - Geweigerd
- Toegestane RODC-wachtwoordreplicatiegroep - Toestaan
De equivalente ADDSDeployment Windows PowerShell-argumenten zijn:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Aanvullende opties
De pagina Aanvullende opties bevat configuratieopties voor het benoemen van een domeincontroller als de replicatiebron, of u kunt elke domeincontroller als replicatiebron gebruiken.
U kunt er ook voor kiezen om de domeincontroller te installeren met behulp van een back-up van media met behulp van de optie Installeren vanaf media (IFM). Het selectievakje Installeren vanaf media biedt een bladeroptie bij selectie en u moet Controleren selecteren om ervoor te zorgen dat het opgegeven pad een geldig medium is.
Richtlijnen voor de IFM-bron:
- Media die door de IFM-optie worden gebruikt, worden gemaakt met Windows Server Backup of Ntdsutil.exe van een andere bestaande Windows Server-domeincontroller met alleen dezelfde versie van het besturingssysteem. U kunt bijvoorbeeld geen Windows Server 2008 R2 of een eerder besturingssysteem gebruiken om media te maken voor een Windows Server 2012-domeincontroller.
- De IFM-brongegevens moeten afkomstig zijn van een beschrijfbare domeincontroller. Hoewel een bron van RODC technisch werkt om een nieuwe RODC te maken, zijn er vals-positieve replicatiewaarschuwingen dat de IFM-bron-RODC niet aan het repliceren is.
Zie Ntdsutil.exe Wijzigingen bij Installatie vanaf Mediavoor meer informatie over wijzigingen in IFM. Als u media gebruikt die zijn beveiligd met een SYSKEY, vraagt Server Manager tijdens de verificatie om het wachtwoord van de installatiekopie.
De argumenten van de cmdlet ADDSDeployment bij Extra Opties zijn:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Paden
Met de pagina Paden kunt u de standaardmaplocaties van de AD DS-database, de transactielogboeken van de database en de SYSVOL-share overschrijven. De standaardlocaties bevinden zich altijd in submappen van %systemroot%. De paden cmdlet-argumenten ADDSDeployment zijn:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Voorbereidingsopties
De voorbereidingsopties pagina waarschuwt u dat de AD DS-configuratie omvat het uitbreiden van het schema (forestprep) en het bijwerken van het domein (domainprep). U ziet deze pagina alleen wanneer het forest of domein niet is voorbereid door de vorige installatie van de Windows Server 2012-domeincontroller of door handmatig Adprep.exeuit te voeren. De configuratiewizard voor Active Directory Domain Services onderdrukt deze pagina bijvoorbeeld wanneer u een nieuwe replicadomeincontroller toevoegt aan een bestaand rootdomein in een Windows Server 2012-forest.
Het schema uitbreiden en het domein bijwerken vindt niet plaats wanneer u Volgendeselecteert. Deze gebeurtenissen vinden alleen plaats tijdens de installatiefase. Op deze pagina wordt alleen aandacht gebracht voor de gebeurtenissen die later in de installatie plaatsvinden.
Op deze pagina wordt ook gecontroleerd of de huidige gebruikersreferenties lid zijn van de groepen SchemaBeheerder en Ondernemingsadministrator, omdat u lid moet zijn van deze groepen om het schema uit te breiden of een domein voor te bereiden. Selecteer Wijzig om de juiste gebruikersreferenties op te geven als op de pagina wordt aangegeven dat de huidige referenties niet over voldoende machtigingen beschikken.
Het argument Extra opties van de ADDSDeployment-cmdlet is:
-adprepcredential <pscredential>
Belangrijk
Net als bij eerdere versies van Windows Server wordt gpPREP niet uitgevoerd door de automatische domeinvoorbereiding van Windows Server 2012. Voer adprep.exe /gpprep- handmatig uit voor alle domeinen die niet eerder zijn voorbereid voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. U moet GPPrep slechts eenmaal uitvoeren in de geschiedenis van een domein, niet bij elke upgrade. Adprep.exe voert /gpprep niet automatisch uit omdat deze operatie ervoor kan zorgen dat alle bestanden en mappen in de map SYSVOL opnieuw worden gesynchroniseerd op alle domeincontrollers.
Automatische RODCPrep wordt uitgevoerd wanneer u de eerste niet-geënsceneerde RODC in een domein promoveert. Dit gebeurt niet wanneer u de eerste schrijfbare Windows Server 2012-domeincontroller promoot. U kunt ook nog steeds handmatig adprep.exe /rodcprep uitvoeren als u van plan bent om alleen-lezen domeincontrollers te implementeren.
Opties controleren en script weergeven
Op de pagina Opties controleren kunt u uw instellingen valideren en ervoor zorgen dat deze voldoen aan uw vereisten voordat u de installatie start. Dit is niet de laatste mogelijkheid om de installatie te stoppen met Serverbeheer. Op deze pagina kunt u uw instellingen controleren en bevestigen voordat u doorgaat met de configuratie.
De pagina Opties beoordelen in Serverbeheer biedt ook een optionele knop Script weergeven om een Unicode-tekstbestand te maken dat de huidige ADDSDeployment-configuratie als een enkel Windows PowerShell-script bevat. Hiermee kunt u de grafische interface serverbeheer gebruiken als een Windows PowerShell-implementatiestudio. Gebruik de wizard voor het configureren van Active Directory Domain Services om opties te configureren, de configuratie te exporteren en vervolgens de wizard te annuleren. Met dit proces maakt u een geldig en syntactisch correct voorbeeld voor verdere wijziging of direct gebruik. Bijvoorbeeld:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true
Notitie
Serverbeheer vult over het algemeen alle argumenten in met waarden bij het promoveren en is niet afhankelijk van standaardwaarden (omdat deze kunnen veranderen tussen toekomstige versies van Windows of servicepacks). De enige uitzondering hierop is het argument -safemodeadministratorpassword. Als u een bevestigingsprompt wilt afdwingen, laat u de waarde weg wanneer u de cmdlet interactief uitvoert.
Gebruik het optionele Whatif-argument met de cmdlet Install-ADDSDomainController om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten voor een cmdlet bekijken.
Controle van vereisten
De Vereistencontrole is een nieuwe functie in AD DS-domeinconfiguratie. Deze nieuwe fase valideert dat de serverconfiguratie een nieuw AD DS-forest kan ondersteunen.
Wanneer u een nieuw forest-rootdomein installeert, roept de wizard Configuratie van Active Directory Domain Services in Serverbeheer een reeks geserialiseerde modulaire tests aan. Deze tests waarschuwen u met voorgestelde herstelopties. U kunt de tests zo vaak uitvoeren als nodig is. Het proces van de domeincontroller kan pas worden voortgezet als alle vereiste tests zijn geslaagd.
De Controle van vereisten bevat ook relevante informatie, zoals beveiligingswijzigingen die van invloed zijn op oudere besturingssystemen.
U kunt de vereistencontrole niet omzeilen wanneer u Serverbeheer gebruikt, maar u kunt het proces overslaan wanneer u de AD DS-implementatie-cmdlet gebruikt met behulp van het volgende argument:
-skipprechecks
Selecteer Installeren om het promotieproces van de domeincontroller te starten. Dit is de laatste mogelijkheid om de installatie te annuleren. U kunt het promotieproces niet annuleren zodra het begint. De computer wordt automatisch opnieuw opgestart aan het einde van de promotie, ongeacht de promotieresultaten.
Installatie
Wanneer de pagina Installatie wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en worden naar logboeken geschreven:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Als u een nieuw Active Directory-forest wilt installeren met behulp van de module ADDSDeployment, gebruikt u de volgende cmdlet:
Install-addsdomaincontroller
Zie de ADDSDeployment Cmdlet tabel aan het begin van deze sectie voor vereiste en optionele argumenten.
De Install-addsdomaincontroller cmdlet heeft slechts twee fasen (vereisten controleren en installeren). In de onderstaande afbeeldingen ziet u de installatiefase met de minimaal vereiste argumenten van -domeinnaam, -readonlyreplica, -sitenameen -credential. Net als bij de Server Manager, herinnert Install-ADDSDomainController u eraan dat de promotie de server automatisch opnieuw zal opstarten.
Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de -force of -confirm:$false argumenten met een ADDSDeployment Windows PowerShell-cmdlet. Als u wilt voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie, gebruikt u het argument -norebootoncompletion.
Waarschuwing
Het overschrijven van het opnieuw opstarten wordt niet aanbevolen. De domeincontroller moet opnieuw worden opgestart om correct te kunnen functioneren. Als u zich afmeldt bij de domeincontroller, kunt u zich pas interactief opnieuw aanmelden als u de domeincontroller opnieuw opstart.
Resultaten
Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.