Instalowanie nowego lasu Active Directory w systemie Windows Server 2012 (poziom 200)
W tym temacie opisano nową funkcję podwyższania poziomu kontrolera domeny usług Active Directory Domain Services systemu Windows Server 2012 na poziomie wprowadzającym. W systemie Windows Server 2012 usługi AD DS zastępują narzędzie Dcpromo menedżerem serwera i systemem wdrażania opartym na programie Windows PowerShell.
Uproszczone administrowanie usługami Active Directory Domain Services
System Windows Server 2012 wprowadza następną generację uproszczonej administracji usług Active Directory Domain Services i jest najbardziej radykalnym ponownym przewidywaniem domeny od systemu Windows 2000 Server. Uproszczone administrowanie usługami AD DS czerpie doświadczenia z dwunastu lat usługi Active Directory, tworząc łatwiejsze w utrzymaniu, bardziej elastyczne i bardziej intuicyjne środowisko administracyjne dla architektów i administratorów. Oznaczało to tworzenie nowych wersji istniejących technologii, a także rozszerzanie możliwości składników wydanych w systemie Windows Server 2008 R2.
Co to jest uproszczone administrowanie usługami AD DS?
Uproszczone administrowanie usługami AD DS to przekształcenie wdrożenia domeny. Oto niektóre z tych funkcji:
Wdrożenie roli usług AD DS jest teraz częścią nowej architektury Menedżera serwera i umożliwia instalację zdalną.
Aparat wdrażania i konfiguracji usług AD DS jest teraz programem Windows PowerShell, nawet w przypadku korzystania z konfiguracji graficznej.
Promocja teraz obejmuje sprawdzanie wymagań wstępnych, które weryfikuje gotowość lasu i domeny dla nowego kontrolera domeny, co zmniejsza ryzyko nieudanych promocji.
Poziom funkcjonalności lasu w systemie Windows Server 2012 nie wprowadza nowych funkcji, a poziom funkcjonalności domeny jest wymagany tylko dla podzestawu nowych funkcji Kerberos, zwalniając administratorów z częstej potrzeby utrzymywania jednorodnego środowiska kontrolerów domeny.
Przeznaczenie i korzyści
Te zmiany mogą wydawać się bardziej złożone, a nie prostsze. Jednak podczas ponownego projektowania procesu wdrażania usług AD DS istniała możliwość łączenia wielu kroków i najlepszych rozwiązań w mniej, łatwiejszych akcjach. Oznacza to na przykład, że graficzna konfiguracja nowego kontrolera domeny repliki to teraz osiem okien dialogowych, a nie poprzednich dwunastu. Utworzenie nowego lasu usługi Active Directory wymaga pojedynczego polecenia programu Windows PowerShell tylko z jednym argumentem: nazwą domeny.
Dlaczego istnieje taki nacisk na program Windows PowerShell w systemie Windows Server 2012? W miarę rozwoju przetwarzania rozproszonego program Windows PowerShell umożliwia korzystanie z jednego środowiska do konfiguracji i konserwacji zarówno interfejsów graficznych, jak i wiersza poleceń. Umożliwia skrypty z pełnym zakresem funkcji dla dowolnego składnika, zapewniając tę samą rangę dla profesjonalistów IT, jaką interfejsy API przyznają deweloperom. Ponieważ przetwarzanie oparte na chmurze staje się wszechobecne, program Windows PowerShell w końcu oferuje możliwość zdalnego administrowania serwerem, gdzie komputer bez interfejsu graficznego ma takie same możliwości zarządzania jak komputer z monitorem i myszą.
Doświadczony administrator usług AD DS powinien uznać swoją poprzednią wiedzę za bardzo istotną. Początkujący administrator znajdzie znacznie łagodniejszą krzywą uczenia się.
Omówienie techniczne
Co należy wiedzieć przed rozpoczęciem
W tym temacie przyjęto założenie, że znajomość poprzednich wersji usług Active Directory Domain Services nie zapewnia podstawowych szczegółów dotyczących ich przeznaczenia i funkcjonalności. Aby uzyskać więcej informacji na temat usług AD DS, zobacz strony portalu TechNet połączone poniżej:
Usług domenowych Active Directory dla systemu Windows Server 2008 R2
Usług domenowych Active Directory dla systemu Windows Server 2008
Opisy funkcjonalne
Instalacja roli usług AD DS
Instalacja usług Active Directory Domain Services używa Menedżera serwera i programu Windows PowerShell, podobnie jak wszystkie inne role i funkcje serwera w systemie Windows Server 2012. Program Dcpromo.exe nie udostępnia już opcji konfiguracji graficznego interfejsu użytkownika.
Kreator graficzny jest używany w Menedżerze serwera lub w module ServerManager dla środowiska Windows PowerShell zarówno w instalacjach lokalnych, jak i zdalnych. Uruchamiając wiele wystąpień tych kreatorów lub poleceń cmdlet i kierując je na różne serwery, można wdrożyć usługi AD DS na wielu kontrolerach domeny jednocześnie, wszystko z jednej konsoli. Chociaż te nowe funkcje nie są do tyłu zgodne z systemem Windows Server 2008 R2 lub starszymi systemami operacyjnymi, nadal można użyć aplikacji Dism.exe wprowadzonej w systemie Windows Server 2008 R2 do instalacji roli lokalnej z klasycznego wiersza polecenia.
Konfiguracja roli usług AD DS
Konfiguracja usług Active Directory Domain Services, wcześniej znana jako DCPROMO, jest teraz odrębną operacją od instalacji roli. Po zainstalowaniu roli AD DS administrator konfiguruje serwer jako kontroler domeny za pomocą oddzielnego kreatora w Menedżerze serwera lub modułu ADDSDeployment systemu Windows PowerShell.
Konfiguracja roli usług AD DS opiera się na dwunastu latach doświadczenia w terenie, a teraz konfiguruje kontrolery domeny na podstawie najnowszych najlepszych praktyk firmy Microsoft. Na przykład system nazw domen i wykazy globalne są instalowane domyślnie na każdym kontrolerze domeny.
Kreator konfiguracji AD DS w Menedżerze serwera scala wiele pojedynczych okien dialogowych w mniejszą liczbę monitów i nie ukrywa już ustawień w trybie „zaawansowanym”. Cały proces podwyższania poziomu znajduje się w jednym rozwijającym się oknie dialogowym podczas instalacji. Kreator i moduł ADDSDeployment w środowisku Windows PowerShell pokazują istotne zmiany i problemy dotyczące zabezpieczeń, a także podają linki do dalszych informacji.
Dcpromo.exe pozostaje na systemie Windows Server 2012 tylko w przypadku instalacji nienadzorowanych przy użyciu wiersza polecenia, a kreator instalacji graficznej nie jest już uruchamiany. Zdecydowanie zaleca się zaprzestanie korzystania z Dcpromo.exe w przypadku instalacji nienadzorowanych i zastąpienie go modułem ADDSDeployment, ponieważ obecnie przestarzały plik wykonywalny nie zostanie uwzględniony w następnej wersji systemu Windows.
Te nowe funkcje nie są zgodne z poprzednimi wersjami systemu Windows Server 2008 R2 lub starszymi systemami operacyjnymi.
Ważny
Dcpromo.exe nie zawiera już kreatora graficznego i nie instaluje już binarnych roli lub funkcji. Próba uruchomienia Dcpromo.exe z poziomu powłoki Eksploratora zwraca:
Kreator instalacji usług domenowych Active Directory został przeniesiony do Menedżera serwera. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=220921."
Próba uruchomienia Dcpromo.exe /unattend nadal instaluje pliki binarne, jak w poprzednich systemach operacyjnych, ale ostrzega:
"Operacja dcpromo nienadzorowana jest zastępowana przez moduł ADDSDeployment dla programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz https://go.microsoft.com/fwlink/?LinkId=220924."
Windows Server 2012 wycofuje funkcję dcpromo.exe i nie zostanie ona uwzględniona w przyszłych wersjach systemu Windows ani nie otrzyma dalszych ulepszeń w tym systemie operacyjnym. Administratorzy powinni zaprzestać używania i przełączać się do obsługiwanych modułów programu Windows PowerShell, jeśli chcą tworzyć kontrolery domeny z poziomu wiersza polecenia.
Sprawdzanie wymagań wstępnych
Konfiguracja kontrolera domeny implementuje również fazę sprawdzania wymagań wstępnych, która ocenia las i domenę przed kontynuowaniem podwyższania poziomu kontrolera domeny. Obejmuje to dostępność roli FSMO, uprawnienia użytkownika, rozszerzoną zgodność schematu i inne wymagania. Ten nowy projekt eliminuje problemy, w których rozpoczyna się promocja kontrolera domeny, a następnie zatrzymuje się w połowie z powodu fatalnego błędu konfiguracji. Zmniejsza to prawdopodobieństwo osieroconych metadanych kontrolera domeny w lesie domenowym lub na serwerze, który błędnie uważa się za kontroler domeny.
Wdrażanie lasu za pomocą Menedżera serwera
W tej sekcji wyjaśniono, jak zainstalować pierwszy kontroler domeny w domenie głównej lasu przy użyciu Menedżera serwera na graficznym komputerze z systemem Windows Server 2012.
Proces instalacji roli AD DS Menedżera serwera
Na poniższym diagramie przedstawiono proces instalacji roli w usługach Domenowych Active Directory, rozpoczynający się od momentu uruchomienia ServerManager.exe i kończący się tuż przed promocją kontrolera domeny.
Pula serwerów i dodawanie ról
Wszystkie komputery z systemem Windows Server 2012 dostępne z komputera, na którym działa Menedżer serwera, kwalifikują się do grupowania. Po utworzeniu puli można wybrać te serwery do zdalnej instalacji usług AD DS lub innych opcji konfiguracji możliwych w Menedżerze serwera.
Aby dodać serwery, wybierz jedną z następujących opcji:
Kliknij pozycję Dodaj inne serwery, aby zarządzać na kafelku powitalnym pulpitu nawigacyjnego
Kliknij menu Zarządzanie
i wybierz pozycję Dodaj serwery Kliknij prawym przyciskiem myszy Wszystkie serwery i wybierz Dodaj serwery
Spowoduje to wyświetlenie okna dialogowego Dodawanie serwerów:
Zapewnia to trzy sposoby dodawania serwerów do puli do użycia lub grupowania:
Wyszukiwanie w usłudze Active Directory (używa protokołu LDAP, wymaga, aby komputery należały do domeny, umożliwia filtrowanie systemu operacyjnego i obsługuje symbole wieloznaczne)
Wyszukiwanie DNS (używa aliasu DNS lub adresu IP za pośrednictwem transmisji ARP lub NetBIOS albo zapytania WINS, nie zezwala na filtrowanie systemu operacyjnego ani obsługę symboli wieloznacznych (wildcards))
Import (używa listy serwerów w pliku tekstowym, oddzielonej CR/LF)
Kliknij przycisk Znajdź teraz, aby zwrócić listę serwerów z tej samej domeny usługi Active Directory, do której komputer jest przyłączony, kliknij co najmniej jedną nazwę serwera z listy serwerów. Kliknij strzałkę w prawo, aby dodać serwery do listy Wybrane. Użyj okna dialogowego Dodawanie serwerów, aby dodać wybrane serwery do grup ról dashboardu. Lub kliknij Zarządzaj, a następnie kliknij Utwórz grupę serwerówlub kliknij przycisk Utwórz grupę serwerów na pulpicie nawigacyjnym Witamy w Menedżerze serwera kafelku, aby utworzyć niestandardowe grupy serwerów.
Notatka
Procedura Dodawanie serwerów nie sprawdza, czy serwer jest w trybie online lub jest dostępny. Jednak każdy niedostępny serwer zostanie oznaczony w widoku zarządzania w menedżerze serwera przy następnym odświeżeniu.
Role można instalować zdalnie na dowolnych komputerach z systemem Windows Server 2012 dodanych do puli, jak pokazano poniżej:
Nie można w pełni zarządzać serwerami z systemami operacyjnymi starszymi niż Windows Server 2012. Wybór Dodaj role i funkcje uruchamia moduł ServerManager środowiska Windows PowerShell Install-WindowsFeature.
Możesz również użyć Pulpitu nawigacyjnego Menedżera serwera na istniejącym kontrolerze domeny, aby wybrać instalację zdalnego serwera AD DS z wcześniej wybraną rolą. W tym celu kliknij prawym przyciskiem myszy kafelek AD DS na pulpicie nawigacyjnym i wybierz opcję Dodaj usługi AD DS do innego serwera. Jest to wywoływanie usługi Install-WindowsFeature AD-Domain-Services.
Komputer, na którym działa Menedżer serwera, jest automatycznie grupowany. Aby zainstalować tutaj rolę AD DS, po prostu kliknij menu Zarządzaj
Typ instalacji
Okno dialogowe typ instalacji
Zawsze pozostaw wybór domyślny podczas instalowania usług AD DS: instalacja oparta na rolach lub oparta na funkcjach.
Wybór serwera
Okno dialogowe wyboru serwera pozwala wybrać jeden z serwerów wcześniej dodanych do puli, o ile jest dostępny. Serwer lokalny z uruchomionym Menedżerem serwera jest automatycznie dostępny.
Ponadto można wybrać pliki VHD w trybie offline Hyper-V z systemem operacyjnym Windows Server 2012, a Menedżer serwera dodaje do nich rolę bezpośrednio za pośrednictwem obsługi składników. Umożliwia to aprowizowanie serwerów wirtualnych przy użyciu niezbędnych składników przed ich dalszym konfigurowaniem.
Role i funkcje serwera
Wybierz rolę usług domenowych Active Directory
Menedżer serwera przedstawia również okno dialogowe informacyjne, które pokazuje, które funkcje zarządzania tej roli niejawnie instaluje; jest to odpowiednik argumentu -IncludeManagementTools.
Dodatkowe funkcje można dodać tutaj zgodnie z potrzebami.
Usługi domeny Active Directory
Okno dialogowe Active Directory Domain Services zawiera ograniczone informacje o wymaganiach i najlepszych rozwiązaniach. Działa głównie jako potwierdzenie, że wybrano rolę usług AD DS " jeśli ten ekran nie jest wyświetlany, nie wybrano usług AD DS.
Potwierdzenie
Okno dialogowe Potwierdzenie jest ostatnim punktem kontrolnym przed rozpoczęciem instalacji roli. Oferuje ona opcję ponownego uruchomienia komputera zgodnie z potrzebami po zainstalowaniu roli, ale instalacja usług AD DS nie wymaga ponownego uruchomienia.
Klikając Zainstaluj, potwierdzasz, że jesteś gotowy do rozpoczęcia instalacji roli. Nie można anulować instalacji roli po jej rozpoczęciu.
Wyniki
Okno dialogowe Wyniki pokazuje bieżący postęp instalacji i bieżący stan instalacji. Instalacja roli jest kontynuowana niezależnie od tego, czy Menedżer serwera jest zamknięty.
Weryfikacja wyników instalacji nadal stanowi najlepszą praktykę. Jeśli zamkniesz okno dialogowe wyników przed zakończeniem instalacji, możesz sprawdzić wyniki za pomocą ikony powiadomień Menedżera serwera. Menedżer serwera wyświetla również komunikat ostrzegawczy dla serwerów, na których zainstalowano rolę usług AD DS, ale które nie zostały jeszcze skonfigurowane jako kontrolery domeny.
powiadomienia o zadaniach
Szczegóły AD DS
szczegóły zadania
Promowanie do kontrolera domeny
Po zakończeniu instalacji roli usług AD DS można kontynuować konfigurację, używając linku Promować ten serwer do kontrolera domeny. Jest to wymagane, aby serwer był kontrolerem domeny, ale nie jest konieczne natychmiastowe uruchomienie kreatora konfiguracji. Na przykład możesz chcieć aprowizować serwery z plikami binarnymi usług AD DS przed wysłaniem ich do innego oddziału w celu późniejszej konfiguracji. Dodając rolę usług AD DS przed wysyłką, można zaoszczędzić czas, gdy dotrze do miejsca przeznaczenia. Należy również postępować zgodnie z najlepszymi rozwiązaniami dotyczącymi braku przechowywania kontrolera domeny w trybie offline przez dni lub tygodnie. Na koniec umożliwia to aktualizowanie składników przed awansem kontrolera domeny, oszczędzając przynajmniej jedno ponowne uruchomienie.
Wybranie tego linku spowoduje później wywołanie cmdletów ADDSDeployment: install-addsforest, install-addsdomainlub install-addsdomaincontroller.
Odinstalowywanie/wyłączanie
Możesz usunąć rolę usług AD DS jak każdą inną rolę, niezależnie od tego, czy serwer został podwyższony do kontrolera domeny. Jednak usunięcie roli usług AD DS wymaga ponownego uruchomienia systemu po zakończeniu tego procesu.
Usuwanie roli usług Active Directory Domain Services różni się od instalacji, ponieważ wymaga obniżenia roli kontrolera domeny przed ukończeniem. Jest to konieczne, aby uniemożliwić kontrolerowi domeny odinstalowanie plików binarnych roli bez odpowiedniego czyszczenia metadanych w lesie. Aby uzyskać więcej informacji, zobacz sekcję Obniżanie kontrolerów domen i domen (Poziom 200).
Ostrzeżenie
Usunięcie ról usług AD DS za pomocą Dism.exe lub modułu DISM Windows PowerShell po podwyższeniu poziomu do kontrolera domeny nie jest obsługiwane i uniemożliwi normalne uruchomienie serwera.
W przeciwieństwie do Menedżera serwera lub modułu wdrażania usług AD DS dla programu Windows PowerShell, DISM jest natywnym systemem obsługi, który nie ma nieodłącznej wiedzy na temat usług AD DS ani jego konfiguracji. Nie używaj Dism.exe ani modułu DISM programu Windows PowerShell, aby odinstalować rolę usług AD DS, chyba że serwer nie jest już kontrolerem domeny.
Tworzenie domeny głównej lasu AD DS za pomocą Menedżera Serwera
Na poniższym diagramie przedstawiono proces konfiguracji usług Domenowych Active Directory, w przypadku, gdy wcześniej zainstalowano rolę usług AD DS i uruchomiono Kreatora konfiguracji usług active Directory Domain Services przy użyciu Menedżera serwera.
Konfiguracja wdrożenia
Menedżer serwera rozpoczyna każde podwyższanie poziomu kontrolera domeny od strony konfigurowania wdrożenia. Pozostałe opcje i wymagane pola zmieniają się na tej stronie i kolejnych stronach w zależności od wybranej operacji wdrażania.
Aby utworzyć nowy las usługi Active Directory, kliknij Dodaj nowy las. Musisz podać prawidłową nazwę domeny głównej; Nazwa nie może być oznaczona pojedynczą etykietą (na przykład nazwa musi być contoso.com lub podobna, a nie tylko contoso) i musi używać dozwolonych wymagań dotyczących nazewnictwa domen DNS.
Aby uzyskać więcej informacji na temat prawidłowych nazw domen, zobacz artykuł KB Konwencje nazewnictwa w usłudze Active Directory dla komputerów, domen, lokacji i jednostek organizacyjnych.
Ostrzeżenie
Nie należy tworzyć nowych lasów usługi Active Directory o tej samej nazwie co zewnętrzna nazwa DNS. Jeśli na przykład internetowy adres DNS to https://contoso.com, musisz wybrać inną nazwę domeny wewnętrznej, aby uniknąć przyszłych problemów ze zgodnością. Ta nazwa powinna być unikatowa i mało prawdopodobna dla ruchu internetowego. Na przykład: corp.contoso.com.
Nowy las nie wymaga nowych danych uwierzytelniających dla konta administratora domeny. Proces podwyższania poziomu kontrolera domeny używa poświadczeń wbudowanego konta Administratora z pierwszego kontrolera domeny użytego do utworzenia korzenia lasu. Nie ma możliwości (domyślnie) wyłączenia lub zablokowania wbudowanego konta administratora i może to być jedyny punkt wejścia do lasu, jeśli inne konta domeny administracyjnej są bezużyteczne. Przed wdrożeniem nowego lasu należy znać hasło.
DomainName wymaga prawidłowej w pełni kwalifikowanej nazwy DNS domeny i jest wymagana.
Opcje kontrolera domeny
Opcje kontrolera domeny umożliwiają skonfigurowanie poziomu funkcjonalności lasu oraz poziomu funkcjonalności domeny dla nowej domeny głównej lasu. Domyślnie te ustawienia dotyczą systemu Windows Server 2012 w nowej domenie głównej lasu. Poziom funkcjonalności lasu Windows Server 2012 nie oferuje żadnych nowych funkcji w porównaniu do poziomu funkcjonalności lasu Windows Server 2008 R2. Poziom funkcjonalności domeny w systemie Windows Server 2012 jest wymagany tylko w celu zaimplementowania nowych ustawień protokołu Kerberos "zawsze dostarczaj roszczenia" i "Odrzucenie żądań uwierzytelniania bez ochrony". Podstawowym zastosowaniem poziomów funkcjonalności w systemie Windows Server 2012 jest ograniczenie udziału w domenie do kontrolerów domeny, które spełniają minimalne wymagania dotyczące systemu operacyjnego. Innymi słowy, można określić poziom funkcjonalności domeny systemu Windows Server 2012 tylko kontrolery domeny z systemem Windows Server 2012 mogą hostować domenę. System Windows Server 2012 implementuje nową flagę kontrolera domeny o nazwie DS_WIN8_REQUIRED w DSGetDcName funkcji NetLogon, która lokalizuje wyłącznie kontrolery domeny systemu Windows Server 2012. Pozwala to na większą elastyczność w tworzeniu bardziej jednorodnych lub zróżnicowanych struktur sieciowych, w zakresie dozwolonych systemów operacyjnych na kontrolerach domeny.
Aby uzyskać więcej informacji na temat lokalizacji kontrolera domeny, zapoznaj się z artykułem Directory Service Functions.
Jedyną konfigurowalną możliwością kontrolera domeny jest opcja serwera DNS. Firma Microsoft zaleca, aby wszystkie kontrolery domeny świadczyły usługi DNS na potrzeby wysokiej dostępności w środowiskach rozproszonych, dlatego ta opcja jest domyślnie wybierana podczas instalowania kontrolera domeny w dowolnym trybie lub domenie. Opcje wykazu globalnego i kontrolera domeny tylko do odczytu są niedostępne podczas tworzenia nowej domeny głównej lasu; pierwszy kontroler domeny musi być kontrolerem GC i nie może być kontrolerem domeny tylko do odczytu (RODC).
Określone hasło trybu przywracania usług katalogowych musi być zgodne z zasadami haseł zastosowanymi do serwera, które domyślnie nie wymagają silnego hasła; tylko niepuste. Zawsze wybieraj silne, złożone hasło lub najlepiej, frazę hasłową.
Opcje DNS i poświadczenia delegowania DNS
Strona Opcje DNS umożliwia skonfigurowanie delegowania DNS i podanie alternatywnych poświadczeń administracyjnych DNS.
Nie można skonfigurować opcji dns lub delegowania w Kreatorze konfiguracji usług domenowych Active Directory podczas instalowania nowej domeny głównej lasu usługi Active Directory, w której wybrano serwer DNS
Aby uzyskać więcej informacji na temat tego, czy należy utworzyć delegowanie DNS, zobacz Understanding Zone Delegation.
Dodatkowe opcje
Strona Dodatkowe opcje zawiera nazwę NetBIOS domeny i umożliwia jej zastąpienie. Domyślnie nazwa domeny NetBIOS odpowiada najbardziej lewej części pełnej kwalifikowanej nazwy domeny podanej na stronie Deployment Configuration. Jeśli na przykład podano w pełni kwalifikowaną nazwę domeny corp.contoso.com, domyślną nazwą domeny NetBIOS jest CORP.
Jeśli nazwa ma 15 znaków lub mniej i nie powoduje konfliktu z inną nazwą NetBIOS, jest niezmieniana. Jeśli występuje konflikt z inną nazwą NetBIOS, numer jest dołączany do nazwy. Jeśli nazwa ma więcej niż 15 znaków, kreator proponuje unikatową, obciętą sugestię. W obu przypadkach kreator najpierw sprawdza, czy nazwa nie jest już używana za pomocą wyszukiwania WINS i emisji NetBIOS.
Aby uzyskać więcej informacji na temat prawidłowych nazw domen, zobacz artykuł KB Konwencje nazewnictwa w usłudze Active Directory dla komputerów, domen, witryn i jednostek organizacyjnych.
Ścieżki
Strona ścieżki umożliwia zastąpienie domyślnych lokalizacji folderów bazy danych usług AD DS, dzienników transakcji bazy danych i udziału SYSVOL. Lokalizacje domyślne są zawsze w podkatalogach %systemroot% (tj. C:\Windows).
Przeglądanie opcji i wyświetlanie skryptu
Strona Przeglądanie opcji umożliwia zweryfikowanie ustawień i upewnienie się, że spełniają one wymagania przed rozpoczęciem instalacji. Nie jest to ostatnia okazja, aby zatrzymać instalację podczas korzystania z Menedżera serwera. Jest to po prostu opcja potwierdzenia ustawień przed kontynuowaniem konfiguracji
Strona Przegląd opcji w Menedżerze serwera oferuje również opcjonalny przycisk Wyświetl skrypt, który umożliwia utworzenie pliku tekstowego Unicode zawierającego bieżącą konfigurację ADDSDeployment jako pojedynczy skrypt Windows PowerShell. Dzięki temu można użyć graficznego interfejsu Menedżera serwera jako programu Windows PowerShell deployment Studio. Użyj Kreatora Konfiguracji Usług Domenowych Active Directory, aby skonfigurować opcje, wyeksportować konfigurację, a następnie anulować Kreatora. Ten proces tworzy prawidłową i syntaktycznie poprawną próbkę do dalszej modyfikacji lub bezpośredniego użycia. Na przykład:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Notatka
Menedżer serwera zazwyczaj wypełnia wszystkie argumenty wartościami podczas promowania i nie polega na wartościach domyślnych (ponieważ mogą się one zmieniać między przyszłymi wersjami systemu Windows lub pakietami serwisowymi). Jednym z wyjątków jest -safemodeadministratorpassword argument (który jest celowo pomijany ze skryptu). Aby wymusić monit o potwierdzenie, pomiń wartość parametru podczas interakcyjnego uruchamiania polecenia cmdlet.
Sprawdzanie wymagań wstępnych
Funkcja Sprawdzanie wymagań wstępnych jest nowym elementem w konfiguracji domeny usług katalogowych Active Directory (AD DS). Ta nowa faza sprawdza, czy konfiguracja serwera może obsługiwać nowy las usług AD DS.
Podczas instalowania nowej domeny głównej lasu Kreator konfiguracji Usług domenowych Active Directory w Menedżerze serwera wywołuje serię testów modułowych. Te testy ostrzegają o sugerowanych opcjach naprawy. Testy można uruchamiać tyle razy, ile jest to wymagane. Proces kontrolera domeny nie może być kontynuowany, dopóki wszystkie testy wstępne nie przejdą.
Sprawdzanie wymagań wstępnych zawiera również istotne informacje, takie jak zmiany zabezpieczeń wpływające na starsze systemy operacyjne.
Aby uzyskać więcej informacji na temat określonych sprawdzania wymagań wstępnych, zobacz Sprawdzanie Wymagań Wstępnych.
Instalacja
Po wyświetleniu strony instalacji
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Notatka
Można uruchomić wiele instalacji ról i kreatorów konfiguracji usług AD DS z tej samej konsoli Menedżera serwera jednocześnie.
Wyniki
Strona Wyniki zawiera informacje o powodzeniu lub niepowodzeniu promocji oraz wszelkich ważnych informacji administracyjnych. Kontroler domeny zostanie automatycznie uruchomiony ponownie po 10 sekundach.
Wdrażanie lasu przy użyciu programu Windows PowerShell
W tej sekcji wyjaśniono, jak zainstalować pierwszy kontroler domeny w domenie głównej lasu przy użyciu programu Windows PowerShell na komputerze z systemem Windows Server 2012 Core.
Proces instalacji roli AD DS w Windows PowerShell
Wdrażając kilka prostych cmdletów wdrożeniowych ServerManager w procesach wdrażania, można jeszcze bardziej zrealizować wizję uproszczonej administracji usługami AD DS.
Na następnej ilustracji przedstawiono proces instalacji roli usług Active Directory Domain Services, zaczynając od uruchomienia PowerShell.exe i kończąc bezpośrednio przed promocją kontrolera domeny.
| Cmdlet Menedżera Serwera | Argumenty (pogrubione argumenty są wymagane. Argumenty zapisane kursywą można określić przy użyciu programu Windows PowerShell lub Kreatora konfiguracji usług AD DS). |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
— Nazwa — ponowne uruchamianie -IncludeAllSubFeature -ZawieraNarzędziaZarządzania -Źródło -NazwaKomputera -Poświadczenie -LogPath -Vhd -ConfigurationFilePath |
Notatka
Chociaż nie jest to wymagane, argument -IncludeManagementTools jest zdecydowanie zalecany podczas instalowania binariów roli usług AD DS.
Moduł ServerManager udostępnia sekcje dotyczące instalacji, stanu i usuwania ról w nowym module DISM dla programu Windows PowerShell. Ta warstwa upraszcza większość zadań i zmniejsza potrzebę bezpośredniego użycia zaawansowanego (ale niebezpiecznego w przypadku nieprawidłowego użycia) modułu DISM.
Użyj Get-Command, aby wyeksportować aliasy i cmdlety z ServerManager.
Get-Command -module ServerManager
Na przykład:
Aby dodać rolę Usług domenowych Active Directory, wystarczy uruchomić Install-WindowsFeature z nazwą roli usług AD DS jako argumentem. Podobnie jak w Menedżerze serwera, wszystkie usługi niezbędne do roli AD DS są instalowane automatycznie.
Install-WindowsFeature -name AD-Domain-Services
Jeśli chcesz również zainstalować narzędzia do zarządzania usługami AD DS — i jest to zdecydowanie zalecane — podaj -IncludeManagementTools argument:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Na przykład:
Aby wyświetlić listę wszystkich funkcji i ról ze stanem instalacji, użyj Get-WindowsFeature bez argumentów. Określ argument -ComputerName dla stanu instalacji na serwerze zdalnym.
Get-WindowsFeature
Ponieważ Get-WindowsFeature nie ma mechanizmu filtrowania, należy użyć Where-Object z potokiem, aby znaleźć określone funkcje. Potok jest kanałem używanym między wieloma poleceniami cmdlet do przekazywania danych, a polecenie cmdlet Where-Object działa jako filtr. Wirtualna zmienna $_ funkcjonuje jako aktualny obiekt przechodzący przez potok wraz z jego właściwościami.
Get-WindowsFeature | where-object <options>
Aby na przykład znaleźć wszystkie funkcje zawierające ciąg "Active Dir" we właściwości Nazwa wyświetlana, użyj:
Get-WindowsFeature | where displayname -like "*active dir*"
Poniżej przedstawiono dalsze przykłady:
Aby uzyskać więcej informacji na temat więcej operacji programu Windows PowerShell z potokami i where-object, zobacz
Należy również pamiętać, że program Windows PowerShell 3.0 znacznie uprościł argumenty wiersza polecenia potrzebne w tej operacji potoku. Wymagany byłby program Windows PowerShell 2.0:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Za pomocą potoku programu Windows PowerShell można tworzyć czytelne wyniki. Na przykład:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Zwróć uwagę, jak użycie polecenia cmdlet Select-Object z argumentem -expandproperty zwraca interesujące dane:
Notatka
Argument Select-Object -expandproperty nieco spowalnia ogólną wydajność instalacji.
Tworzenie domeny głównej lasu usług AD DS za pomocą programu Windows PowerShell
Aby zainstalować nowy las usługi Active Directory przy użyciu modułu ADDSDeployment, użyj następującego polecenia cmdlet:
Install-addsforest
Polecenie cmdlet Install-AddsForest ma tylko dwie fazy (sprawdzanie wymagań wstępnych i instalacja). Na dwóch poniższych ilustracjach przedstawiono fazę instalacji z minimalnym wymaganym argumentem -domainname.
| ADDSDeployment Cmdlet | Argumenty (Pogrubione argumenty są wymagane. Kursywą zaznaczone argumenty można określić przy użyciu programu Windows PowerShell lub Kreatora konfiguracji usług AD DS). |
|---|---|
| Install-Addsforest | -Potwierdzić - CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName —DNSDelegationCredential -ForestMode -Siła -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -PomińWstępneKontrole -SYSVOLPath -Whatif |
Notatka
Argument -DomainNetBIOSName jest wymagany, jeśli chcesz zmienić automatycznie wygenerowaną nazwę 15 znaków na podstawie prefiksu nazwy domeny DNS lub jeśli nazwa przekracza 15 znaków.
Równoważne polecenie cmdlet i argumenty Menedżera Serwera dla Konfiguracji Wdrażania ADDSDeployment są następujące:
Install-ADDSForest
-DomainName <string>
Równoważne opcje polecenia cmdlet ADDSDeployment dla kontrolera domeny Menedżera serwera to:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Argumenty Install-ADDSForest są zgodne z tymi samymi wartościami domyślnymi co Menedżer serwera, jeśli nie zostaną określone.
Operacja argumentu SafeModeAdministratorPassword jest specjalna:
Jeśli nie określono jako argumentu, polecenie cmdlet wyświetli monit o wprowadzenie i potwierdzenie zamaskowanego hasła. Jest to preferowane użycie przy interaktywnym uruchamianiu polecenia cmdlet.
Aby na przykład utworzyć nowy las o nazwie corp.contoso.com i zostać poproszonym o wprowadzenie oraz potwierdzenie maskowanego hasła:
Install-ADDSForest "DomainName corp.contoso.comJeśli określono z wartością, wartość musi być bezpiecznym ciągiem. Nie jest to preferowany sposób użycia podczas uruchamiania polecenia cmdlet w trybie interaktywnym.
Możesz na przykład ręcznie zainicjować monit o hasło, używając polecenia cmdlet Read-Host, aby poprosić użytkownika o podanie bezpiecznego ciągu:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Ostrzeżenie
Ponieważ poprzednia opcja nie potwierdza hasła, należy zachować szczególną ostrożność: hasło nie jest widoczne.
Można również podać bezpieczny ciąg jako przekonwertowaną zmienną w postaci zwykłego tekstu, chociaż jest to zdecydowanie niezalecane.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Na koniec możesz przechowywać zaszyfrowane hasło w pliku, a następnie ponownie użyć go później bez pojawiania się hasła w postaci zwykłego tekstu. Na przykład:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Ostrzeżenie
Nie zaleca się podawania lub przechowywania zwykłego lub zaciemnionego hasła tekstowego. Każdy, kto uruchamia to polecenie w skrypcie lub patrzy ci przez ramię, zna hasło DSRM tego kontrolera domeny. Każda osoba mająca dostęp do pliku może odwrócić to zaciemnione hasło. Dzięki tej wiedzy mogą zalogować się do kontrolera domeny uruchomionego w trybie DSRM i ostatecznie podszywać się pod sam kontroler domeny, podnosząc swoje uprawnienia do najwyższego poziomu w lesie usługi Active Directory. Dodatkowy zestaw kroków przy użyciu System.Security.Cryptography do szyfrowania danych pliku tekstowego jest zalecany, ale poza zakresem. Najlepszym rozwiązaniem jest całkowite uniknięcie przechowywania haseł.
Polecenie cmdlet ADDSDeployment oferuje dodatkową opcję pominięcia automatycznej konfiguracji ustawień klienta DNS, serwerów przekazujących i podpowiedzi głównych. Nie można pominąć tej opcji konfiguracji podczas korzystania z Menedżera serwera. Ten argument ma znaczenie tylko wtedy, gdy rola serwera DNS została zainstalowana przed skonfigurowaniem kontrolera domeny:
-SkipAutoConfigureDNS
Operacja DomainNetBIOSName jest również specjalna:
Jeśli argument DomainNetBIOSName nie zostanie określony przy użyciu nazwy domeny NetBIOS, a jednoetkietowa nazwa domeny w argumencie DomainName ma 15 znaków lub mniej, proces podwyższania będzie kontynuowany z automatycznie wygenerowaną nazwą.
Jeśli argument DomainNetBIOSName nie zostanie określony z użyciem nazwy domeny NetBIOS, a nazwa domeny z pojedynczym prefiksem w argumencie DomainName ma 16 lub więcej znaków, proces podwyższania poziomu się nie powiedzie.
Jeśli argument DomainNetBIOSName jest określony z nazwą domeny NetBIOS o długości 15 znaków lub mniejszej, procedura promowania będzie kontynuowana z tą określoną nazwą.
Jeśli parametr DomainNetBIOSName jest określony z nazwą domeny NetBIOS mającą 16 znaków lub więcej, proces promowania zakończy się niepowodzeniem.
Odpowiedni argument cmdlet ADDSDeployment dla Dodatkowych opcji Menedżera serwera to:
-domainnetbiosname <string>
Równoważne argumenty polecenia cmdlet Server Manager Paths ADDSDeployment to:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Użyj opcjonalnego argumentu Whatif z poleceniem cmdlet Install-ADDSForest, aby przejrzeć informacje o konfiguracji. Dzięki temu można zobaczyć jawne i niejawne wartości argumentów polecenia cmdlet.
Na przykład:
Nie można pominąć sprawdzania wymagań wstępnych podczas korzystania z Menedżera serwera, ale można pominąć ten proces, korzystając z polecenia cmdlet wdrażania usług AD DS przy użyciu następującego argumentu:
-skipprechecks
Ostrzeżenie
Firma Microsoft odradza pomijanie sprawdzania wymagań wstępnych, ponieważ może to prowadzić do częściowej promocji kontrolera domeny lub uszkodzenia lasu AD DS.
Zwróć uwagę, że podobnie jak Menedżer serwera, Install-ADDSForest przypomina, że podwyższenie poziomu spowoduje automatyczne ponowne uruchomienie serwera.
Aby automatycznie zaakceptować monit o ponowne uruchomienie, użyj -force lub -confirm:$false argumentów za pomocą dowolnego polecenia cmdlet programu ADDSDeployment środowiska Windows PowerShell. Aby zapobiec automatycznemu ponownemu rozruchowi serwera na końcu podwyższania poziomu, użyj argumentu -norebootoncompletion.
Ostrzeżenie
Unikanie restartu jest odradzane. Kontroler domeny musi zostać uruchomiony ponownie, aby działał poprawnie.
Zobacz też
Usługi domenowe Active Directory (Portal TechNet)Usługi domenowe Active Directory dla systemu Windows Server 2008 R2Usługi domenowe Active Directory dla systemu Windows Server 2008Windows Server Technical Reference (Windows Server 2003)Centrum administracyjne usługi Active Directory: Wprowadzenie (Windows Server 2008 R2)Administracja usługą Active Directory przy użyciu programu Windows PowerShell (Windows Server 2008 R2)Zapytaj zespół usług katalogowych (Oficjalny blog pomocy technicznej firmy Microsoft)