Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie opisano sposób instalowania usług AD DS w systemie Windows Server 2012 przy użyciu dowolnej z następujących metod:
Instalowanie usług AD DS przy użyciu programu Windows PowerShell
Przeprowadzanie instalacji kontrolera RODC etapowego przy użyciu graficznego interfejsu użytkownika
Wymagania dotyczące poświadczeń do uruchamiania Adprep.exe i instalowania usług Active Directory Domain Services
Następujące poświadczenia są wymagane do uruchomienia Adprep.exe i zainstalowania usług AD DS.
Aby zainstalować nowy las, musisz zalogować się jako administrator lokalny komputera.
Aby zainstalować nową domenę podrzędną lub nowe drzewo domen, musisz zalogować się jako członek grupy Administratorzy przedsiębiorstwa.
Aby zainstalować dodatkowy kontroler domeny w istniejącej domenie, musisz być członkiem grupy Administratorzy domeny.
Uwaga
Jeśli nie uruchamiasz oddzielnie polecenia adprep.exe i instalujesz pierwszy kontroler domeny z systemem Windows Server 2012 w istniejącej domenie lub lesie katalogowym, zostanie wyświetlony monit o podanie poświadczeń niezbędnych do uruchomienia poleceń Adprep. Wymagania dotyczące poświadczeń są następujące:
Aby wprowadzić pierwszy kontroler domeny systemu Windows Server 2012 w lesie, należy podać poświadczenia dla członka grupy Administratorzy przedsiębiorstwa, grupy Administratorzy schematu i grupy Administratorzy domeny w domenie, która hostuje wzorzec schematu.
Aby wprowadzić pierwszy kontroler domeny systemu Windows Server 2012 w domenie, należy podać poświadczenia dla członka grupy Administratorzy domeny.
Aby wprowadzić pierwszy kontroler domeny tylko do odczytu (RODC) w lesie, należy podać poświadczenia dla członka grupy Administratorzy przedsiębiorstwa.
Uwaga
Jeśli program adprep /rodcprep został już uruchomiony w systemie Windows Server 2008 lub Windows Server 2008 R2, nie musisz uruchamiać go ponownie dla systemu Windows Server 2012.
Instalowanie usług AD DS przy użyciu programu Windows PowerShell
Począwszy od systemu Windows Server 2012, można zainstalować usługi AD DS przy użyciu programu Windows PowerShell. Dcpromo.exe jest przestarzały począwszy od systemu Windows Server 2012, ale nadal można uruchomić dcpromo.exe przy użyciu pliku odpowiedzi (dcpromo /unattend:<answerfile> lub dcpromo /answer:<answerfile>). Możliwość kontynuowania działania dcpromo.exe przy użyciu pliku odpowiedzi zapewnia organizacjom, które mają zasoby zainwestowane w istniejący czas automatyzacji, aby przekonwertować automatyzację z dcpromo.exe na program Windows PowerShell. Aby uzyskać więcej informacji na temat uruchamiania dcpromo.exe przy użyciu pliku odpowiedzi, zobacz https://support.microsoft.com/kb/947034.
Aby uzyskać więcej informacji na temat usuwania usług AD DS przy użyciu programu Windows PowerShell, zobacz Usuwanie usług AD DS przy użyciu programu Windows PowerShell.
Zacznij od dodania roli przy użyciu programu Windows PowerShell. To polecenie instaluje rolę serwera usług AD DS oraz narzędzia administracyjne serwera AD DS i AD LDS, w tym narzędzia oparte na graficznym interfejsie użytkownika, takie jak Użytkownicy i komputery usługi Active Directory oraz narzędzia z wiersza poleceń, takie jak dcdia.exe. Narzędzia administracyjne serwera nie są instalowane domyślnie podczas korzystania z programu Windows PowerShell. Należy określić "IncludeManagementTools do zarządzania serwerem lokalnym lub zainstalować narzędzia administracji zdalnej serwera w celu zarządzania serwerem zdalnym.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Po zakończeniu instalacji usług AD DS nie jest wymagany ponowny rozruch.
Następnie możesz uruchomić to polecenie, aby wyświetlić dostępne polecenia cmdlet w module ADDSDeployment.
Get-Command -Module ADDSDeployment
Aby wyświetlić listę argumentów, które można określić dla poleceń cmdlet oraz składni:
Get-Help <cmdlet name>
Aby na przykład wyświetlić argumenty tworzenia nieobsadzonego konta kontrolera domeny tylko do odczytu (RODC), wpisz
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Opcjonalne argumenty są wyświetlane w nawiasach kwadratowych.
Możesz również pobrać najnowsze przykłady i pojęcia dotyczące poleceń cmdlet programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz about_Updatable_Help.
Można uruchamiać polecenia cmdlet programu Windows PowerShell na serwerach zdalnych.
W programie Windows PowerShell użyj Invoke-Command z poleceniem cmdlet ADDSDeployment. Aby na przykład zainstalować usługi AD DS na serwerze zdalnym o nazwie ConDC3 w domenie contoso.com, wpisz:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
— lub —
- W Menedżerze serwera utwórz grupę serwerów zawierającą serwer zdalny. Kliknij prawym przyciskiem myszy nazwę serwera zdalnego i kliknij pozycję Windows PowerShell.
W następnych sekcjach opisano sposób uruchamiania poleceń cmdlet modułu ADDSDeployment w celu zainstalowania usług AD DS.
Instalowanie nowej domeny głównej lasu przy użyciu programu Windows PowerShell
Instalowanie nowej domeny podrzędnej lub drzewa przy użyciu programu Windows PowerShell
Instalowanie dodatkowego kontrolera domeny (repliki) przy użyciu programu Windows PowerShell
Argumenty polecenia cmdlet modułu ADDSDeployment
W poniższej tabeli wymieniono argumenty poleceń cmdlet addsDeployment w programie Windows PowerShell. Argumenty pogrubione są wymagane. Równoważne argumenty dla dcpromo.exe są wymienione w nawiasach, jeśli są one nazwane inaczej w programie Windows PowerShell.
Przełączniki programu Windows PowerShell akceptują argumenty $TRUE lub $FALSE. Argumenty, które są domyślnie $TRUE, nie muszą być określone.
Aby zastąpić wartości domyślne, można określić argument z wartością $False. Na przykład, ponieważ polecenie -InstallDNS jest uruchamiane automatycznie dla nowej instalacji lasu, jeśli nie zostanie określone, jedynym sposobem na zapobieżenie instalacji DNS podczas instalowania nowego lasu jest użycie:
-InstallDNS:$False
Podobnie, ponieważ parametr -InstallDNS ma domyślną wartość $False w przypadku zainstalowania kontrolera domeny w środowisku, które nie hostuje serwera DNS systemu Windows Server, należy określić następujący argument, aby zainstalować serwer DNS:
-InstallDNS:$True
| Argumentacja | Opis |
|---|---|
| ADPrepCredential <Poświadczenie PS>Uwaga: Wymagane, jeśli instalujesz pierwszy kontroler domeny Windows Server 2012 w domenie lub lesie, a poświadczenia bieżącego użytkownika są niewystarczające do wykonania tej operacji. | Określa konto z członkostwem w grupach Administratorzy Przedsiębiorstwa i Administratorzy Schematów, które może przygotować las zgodnie z zasadami Get-Credential i obiektu PSCredential. Jeśli żadna wartość nie zostanie określona, zostanie użyta wartość argumentu poświadczeń . |
| ZezwólNaPonownąInstalacjęKontroleraDomeny | Określa, czy kontynuować instalowanie tego zapisywalnego kontrolera domeny, chociaż wykryto inne zapisywalne konto kontrolera domeny o tej samej nazwie. Użyj $True tylko wtedy, gdy masz pewność, że konto nie jest obecnie używane przez inny zapisywalny kontroler domeny. Wartość domyślna to $False. Ten argument nie ma zastosowania dla kontrolera RODC. |
| ZezwalajNaPonownąInstalacjęDomeny | Określa, czy istniejąca domena jest ponownie utworzona. Wartość domyślna to $False. |
| string AllowPasswordReplicationAccountName <[]> | Określa nazwy kont użytkowników, kont grup i kont komputerów, których hasła można replikować do tego kontrolera RODC. Użyj pustego ciągu "", jeśli chcesz zachować wartość pustą. Domyślnie dozwolona jest tylko dozwolona grupa replikacji haseł kontrolera RODC i jest ona pierwotnie tworzona jako pusta. Podaj wartości jako tablicę ciągów. Na przykład: Kod -AllowPasswordReplicationAccountName "JSmith","JSmithPC","Użytkownicy gałęzi" |
| Ciąg ApplicationPartitionsToReplicate <[]>Uwaga: w interfejsie użytkownika nie ma równoważnej opcji. W przypadku instalacji przy użyciu interfejsu użytkownika lub używania narzędzia IFM wszystkie partycje aplikacji zostaną zreplikowane. | Określa partycje katalogu aplikacji do replikacji. Ten argument jest stosowany tylko podczas określania argumentu -InstallationMediaPath do zainstalowania z nośnika (IFM). Domyślnie wszystkie partycje aplikacji będą replikowane w oparciu o własne zakresy. Podaj wartości jako tablicę ciągów. Na przykład: Kod — -ApplicationPartitionsToReplicate "partition1","partition2","partition3" |
| Potwierdź | Prosi o potwierdzenie przed uruchomieniem cmdletu. |
| CreateDnsDelegation Uwaga: nie można określić tego argumentu podczas uruchamiania polecenia cmdlet Add-ADDSReadOnlyDomainController. | Wskazuje, czy należy utworzyć delegowanie DNS odwołujące się do nowego serwera DNS instalowanego wraz z kontrolerem domeny. Dotyczy tylko zintegrowanego systemu DNS w Active Directory. Rekordy delegowania można tworzyć tylko na serwerach DNS firmy Microsoft, które są w trybie online i dostępne. Nie można utworzyć rekordów delegowania dla domen, które są natychmiast podrzędne do domen najwyższego poziomu, takich jak .com, .gov, .biz, .edu lub dwuliterowe domeny kodu kraju, takie jak .nz i .au. Wartość domyślna jest obliczana automatycznie na podstawie środowiska. |
| Poświadczenia <PS>Uwaga: wymagane tylko wtedy, gdy poświadczenia bieżącego użytkownika nie są wystarczające do wykonania operacji. | Określa konto domeny, które może zalogować się do domeny, zgodnie z regułami Get-Credential i obiektu PSCredential. Jeśli nie określono żadnej wartości, używane są poświadczenia bieżącego użytkownika. |
| CriticalReplicationOnly | Określa, czy operacja instalacji usług AD DS wykonuje tylko krytyczną replikację przed ponownym uruchomieniem, a następnie kontynuuje. Replikacja niekrytyczna odbywa się po zakończeniu instalacji i ponownym uruchomieniu komputera. Użycie tego argumentu nie jest zalecane. W interfejsie użytkownika nie ma odpowiednika tej opcji. |
| DatabasePath <string> | Określa w pełni kwalifikowaną, nie-UNC (Universal Naming Convention) ścieżkę do katalogu na twardym dysku komputera lokalnego, który zawiera bazę danych domeny, na przykład C:\Windows\NTDS. Wartość domyślna to %SYSTEMROOT%\NTDS. Ważne: Chociaż można przechowywać bazę danych AD DS i pliki dziennika na woluminie sformatowanym w systemie plików ReFS, nie ma żadnych konkretnych korzyści z hostowania AD DS na ReFS poza normalnymi korzyściami w zakresie odporności, jakie oferuje ReFS dla dowolnych danych. |
| Ciąg znaków DelegatedAdministratorAccountName <> | Określa nazwę użytkownika lub grupy, która może instalować kontroler RODC i administrować nim. Domyślnie tylko członkowie grupy Domain Admins mogą administrować kontrolerem RODC. |
| DenyPasswordReplicationAccountName <string []> | Określa nazwy kont użytkowników, grup oraz komputerów, których hasła nie powinny być replikowane do tego RODC. Użyj pustego ciągu "", jeśli nie chcesz odmawiać replikacji poświadczeń jakichkolwiek użytkowników lub komputerów. Domyślnie administratorzy, operatorzy serwerów, operatorzy kopii zapasowych, operatorzy kont oraz grupa replikacji haseł RODC mają odmowę dostępu. Domyślnie Grupa Odmowy Replikacji Haseł RODC obejmuje Cert Publishers, administratorów domeny, administratorów przedsiębiorstwa, kontrolery domeny przedsiębiorstwa, kontrolery domeny Read-Only przedsiębiorstwa, właścicieli tworzenia zasad grupy, konto krbtgt i administratorów schematu. Podaj wartości jako tablicę ciągów. Na przykład: Kod — -DenyPasswordReplicationAccountName "RegionalAdmins", "AdminPCs" |
| DnsDelegationCredential <PS Credential>Uwaga: nie można określić tego argumentu podczas uruchamiania polecenia cmdlet Add-ADDSReadOnlyDomainController. | Określa nazwę użytkownika i hasło do tworzenia delegowania DNS zgodnie z regułami Get-Credential i obiektu PSCredential. |
| DomainMode DomainMode <> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} lub DomainMode <> {2 | 3 | 4 | 5 | 6} |
Określa poziom funkcjonalności domeny podczas tworzenia nowej domeny. Poziom funkcjonalności domeny nie może być niższy niż poziom funkcjonalności lasu, ale może być wyższy. Wartość domyślna jest obliczana automatycznie i ustawiana na istniejący poziom funkcjonalności lasu lub wartość ustawioną dla parametru -ForestMode. |
|
Nazwa domeny Wymagane dla poleceń cmdlet Install-ADDSForest i Install-ADDSDomainController. |
Określa nazwę FQDN domeny, w której chcesz zainstalować dodatkowy kontroler domeny. |
|
Ciąg znaków DomainNetbiosName <> Wymagana dla Install-ADDSForest, jeśli nazwa prefiksu nazwy FQDN jest dłuższa niż 15 znaków. |
Użyj polecenia Install-ADDSForest. Przypisuje nazwę NetBIOS do nowej domeny głównej lasu. |
| DomainType <DomainType> {ChildDomain | TreeDomain} lub {child | tree} | Wskazuje typ domeny, którą chcesz utworzyć: nowe drzewo domen w istniejącym lesie, podrzędne istniejącej domeny lub nowy las. Wartość domyślna parametru DomainType to ChildDomain. |
| Siła | Po określeniu tego parametru wszelkie ostrzeżenia, które mogą być zwykle wyświetlane podczas instalacji i dodawania kontrolera domeny zostaną pominięte, aby umożliwić polecenie cmdlet ukończenie jego wykonywania. Ten parametr może być przydatny do uwzględnienia podczas instalacji skryptów. |
| ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} lub ForestMode <ForestMode> {2 | 3 | 4 | 5 | 6} |
Określa poziom funkcjonalności lasu podczas tworzenia nowego lasu. Wartość domyślna to Win2012. |
| InstallationMediaPath | Wskazuje lokalizację nośnika instalacyjnego, który zostanie użyty do zainstalowania nowego kontrolera domeny. |
| ZainstalujDNS | Określa, czy usługa serwera DNS powinna być zainstalowana i skonfigurowana na kontrolerze domeny. W przypadku nowego lasu wartość domyślna to $True , a serwer DNS jest zainstalowany. W przypadku nowej domeny podrzędnej lub drzewa domeny, jeśli domena nadrzędna (lub domena główna lasu dla drzewa domeny) już hostuje i przechowuje nazwy DNS dla tej domeny, domyślną wartością dla tego parametru jest $True. W przypadku instalacji kontrolera domeny w istniejącej domenie, jeśli ten parametr pozostanie nieokreślony, a bieżąca domena już hostuje i przechowuje nazwy DNS dla domeny, wartość domyślna tego parametru to $True. W przeciwnym razie, jeśli nazwy domen DNS są hostowane poza usługą Active Directory, wartość domyślna to $False i nie zainstalowano serwera DNS. |
| Ciąg logPath <> | Określa w pełni kwalifikowaną ścieżkę inną niż UNC do katalogu na dysku stałym komputera lokalnego, który zawiera pliki dziennika domeny, na przykład C:\Windows\Logs. Wartość domyślna to %SYSTEMROOT%\NTDS. Ważny: Nie należy przechowywać plików dziennika usługi Active Directory na woluminie danych sformatowanym przy użyciu systemu plików ReFS (Resilient File System). |
| Przenieś rolę główną operacji infrastruktury, jeśli to konieczne | Określa, czy przenieść rolę wzorca operacji infrastruktury (znaną również jako elastyczne operacje pojedynczego wzorca lub FSMO) na kontroler domeny, który tworzysz, "w przypadku, gdy rolę tę obecnie pełni serwer wykazu globalnego" i nie planujesz uczynić kontrolera domeny, który tworzysz, serwerem wykazu globalnego. Określ ten parametr, aby przenieść rolę wzorca infrastruktury do tworzonego kontrolera domeny na wypadek potrzeby transferu; w tym przypadku określ opcję NoGlobalCatalog , jeśli chcesz, aby rola wzorca infrastruktury pozostała tam, gdzie jest obecnie. |
| Ciąg>NewDomainName <Uwaga: wymagane tylko dla polecenia Install-ADDSDomain. | Określa pojedynczą nazwę domeny dla nowej domeny. Jeśli na przykład chcesz utworzyć nową domenę podrzędną o nazwie emea.corp.fabrikam.com, należy określić emea jako wartość tego argumentu. |
|
String NewDomainNetbiosName <> Wymagana dla Install-ADDSDomain, jeśli nazwa prefiksu nazwy FQDN jest dłuższa niż 15 znaków. |
Użyj z Install-ADDSDomain. Przypisuje nazwę NetBIOS do nowej domeny. Wartość domyślna pochodzi z wartości "NewDomainName". |
| Brak DNS w sieci | Określa, że usługa DNS nie jest dostępna w sieci. Ten parametr jest używany tylko wtedy, gdy ustawienie adresu IP karty sieciowej dla tego komputera nie jest skonfigurowane z nazwą serwera DNS do rozpoznawania nazw. Wskazuje, że serwer DNS zostanie zainstalowany na tym komputerze w celu rozpoznawania nazw. W przeciwnym razie ustawienia adresu IP karty sieciowej należy najpierw skonfigurować przy użyciu adresu serwera DNS. Pominięcie tego parametru (wartość domyślna) oznacza, że ustawienia klienta TCP/IP karty sieciowej na tym komputerze serwera będą używane do kontaktu z serwerem DNS. W związku z tym, jeśli nie określono tego parametru, upewnij się, że ustawienia klienta TCP/IP zostały najpierw skonfigurowane z preferowanym adresem serwera DNS. |
| NoGlobalCatalog | Określa, że nie chcesz, aby kontroler domeny był serwerem wykazu globalnego. Kontrolery domeny z systemem Windows Server 2012 są domyślnie instalowane z wykazem globalnym. Innymi słowy, ta funkcja jest uruchamiana automatycznie bez obliczeń, chyba że określisz: Kod — -NoGlobalCatalog |
| Brak ponownego uruchomienia po zakończeniu | Określa, czy należy ponownie uruchomić komputer po zakończeniu polecenia, niezależnie od powodzenia. Domyślnie komputer zostanie uruchomiony ponownie. Aby zapobiec ponownemu uruchamianiu serwera, określ: Kod — -NoRebootOnCompletion:$True W interfejsie użytkownika nie ma odpowiednika tej opcji. |
| ParentDomainName <ciąg>Uwaga: wymagane dla polecenia cmdlet Install-ADDSDomain | Określa nazwę FQDN istniejącej domeny nadrzędnej. Ten argument jest używany podczas instalowania domeny podrzędnej lub nowego drzewa domen. Jeśli na przykład chcesz utworzyć nową domenę podrzędną o nazwie emea.corp.fabrikam.com, należy określić corp.fabrikam.com jako wartość tego argumentu. |
| ReadOnlyReplica | Określa, czy zainstalować kontroler domeny tylko do odczytu (RODC). |
| Ciąg ReplicationSourceDC <> | Wskazuje nazwę FQDN kontrolera domeny partnera, z którego są replikowane informacje o domenie. Wartość domyślna jest obliczana automatycznie. |
| SafeModeAdministratorPassword <securestring> | Dostarcza hasło dla konta administratora, gdy komputer jest uruchomiony w trybie awaryjnym lub wariant trybu awaryjnego, taki jak tryb przywracania usług katalogowych. Wartość domyślna to puste hasło. Musisz podać hasło. Hasło musi być podane w formacie System.Security.SecureString, takim jak ten dostarczony przez read-host -assecurestring lub ConvertTo-SecureString. Operacja argumentu SafeModeAdministratorPassword jest specjalna: jeśli nie zostanie określony jako argument, polecenie cmdlet wyświetli monit o wprowadzenie i potwierdzenie zamaskowanego hasła. Jest to preferowane użycie przy interaktywnym uruchamianiu polecenia cmdlet. Jeśli określono parametr bez wartości i nie ma innych argumentów określonych w poleceniu cmdlet, polecenie cmdlet wyświetli monit o wprowadzenie maskowanego hasła bez potwierdzenia. Nie jest to preferowany sposób użycia podczas uruchamiania polecenia cmdlet w trybie interaktywnym. Jeśli wskazano wartość, musi być ona bezpiecznym ciągiem znaków. Nie jest to preferowany sposób użycia podczas uruchamiania polecenia cmdlet w trybie interaktywnym. Można na przykład ręcznie poprosić o hasło przy użyciu polecenia cmdlet Read-Host, aby zapytać użytkownika o bezpieczny ciąg znaków: -safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). Można również podać bezpieczny ciąg jako przekonwertowaną zmienną w postaci zwykłego tekstu, chociaż jest to zdecydowanie niezalecane. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
|
"SiteName" ciąg <> Wymagane dla polecenia cmdlet `Add-addsreadonlydomaincontrolleraccount`. |
Określa lokację, w której zostanie zainstalowany kontroler domeny. Podczas uruchamiania polecenia Install-ADDSForest nie ma argumentu sitename, ponieważ pierwsza utworzona witryna to Default-First-Site-Name. Nazwa witryny musi już istnieć, jeśli została podana jako argument -sitename. Polecenie cmdlet nie utworzy witryny. |
| SkipAutoConfigureDNS | Pomija automatyczną konfigurację ustawień klienta DNS, serwerów przekazujących i wskazówek dotyczących katalogu głównego. Ten argument jest w mocy tylko wtedy, gdy usługa serwera DNS jest już zainstalowana lub automatycznie zainstalowana z -InstallDNS. |
| Ciąg znaków SystemKey <> | Określa klucz systemowy nośnika, z którego są replikowane dane. Wartość domyślna to brak. Dane muszą być w formacie dostarczonym przez Read-Host -assecurestring lub ConvertTo-SecureString. |
| Ciąg SysvolPath <> | Określa w pełni kwalifikowaną ścieżkę inną niż UNC do katalogu na dysku stałym komputera lokalnego, na przykład C:\Windows\SYSVOL. Wartość domyślna to %SYSTEMROOT%\SYSVOL. Ważny: Nie można przechowywać folderu SYSVOL na woluminie danych sformatowanym przy użyciu systemu plików ReFS (Resilient File System). |
| PomińWstępneKontrole | Nie uruchamia kontroli wymagań wstępnych przed rozpoczęciem instalacji. Nie zaleca się używania tego ustawienia. |
| WhatIf | Pokazuje, co się stanie, jeśli polecenie cmdlet zostanie uruchomione. Cmdlet nie jest uruchomiony. |
Określanie poświadczeń programu Windows PowerShell
Poświadczenia można określić bez ujawniania ich w postaci zwykłego tekstu na ekranie przy użyciu polecenia Get-credential.
Operacja dla argumentów -SafeModeAdministratorPassword i LocalAdministratorPassword jest specjalna:
Jeśli nie zostanie określony jako argument, polecenie cmdlet wyświetli monit o wprowadzenie i potwierdzenie zamaskowanego hasła. Jest to preferowane użycie przy interaktywnym uruchamianiu polecenia cmdlet.
Jeśli określono wartość, musi ona być zaszyfrowanym ciągiem znaków. Nie jest to preferowany sposób użycia podczas uruchamiania polecenia cmdlet w trybie interaktywnym.
Możesz na przykład ręcznie poprosić o hasło przy użyciu polecenia cmdlet Read-Host w celu zażądania od użytkownika bezpiecznego ciągu znaków.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Ostrzeżenie
Ponieważ poprzednia opcja nie potwierdza hasła, należy zachować szczególną ostrożność: hasło nie jest widoczne.
Można również podać bezpieczny ciąg jako przekonwertowaną zmienną w postaci zwykłego tekstu, chociaż jest to zdecydowanie niezalecane:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Ostrzeżenie
Podanie lub zapisanie hasła w postaci zwykłego tekstu nie jest zalecane. Każdy, kto uruchamia to polecenie w skrypcie lub patrzy ci przez ramię, zna hasło DSRM tego kontrolera domeny. Dzięki tej wiedzy mogą personifikować sam kontroler domeny i podnieść swoje uprawnienia do najwyższego poziomu w lesie usługi Active Directory.
Korzystanie z testowych poleceń cmdlet
Każde polecenie cmdlet ADDSDeployment ma odpowiadające mu polecenie cmdlet testowe. Polecenia cmdlet testowe uruchamiają tylko testy wstępne dla operacji instalacji; nie skonfigurowano żadnych ustawień instalacji. Argumenty dla każdego polecenia cmdlet testowego są takie same jak dla odpowiedniego polecenia cmdlet instalacyjnego, ale "SkipPreChecks nie jest dostępny dla poleceń cmdlet testowych.
| Test cmdlet | Opis |
|---|---|
| Test-ADDSForestInstallation | Uruchamia wymagania wstępne dotyczące instalowania nowego lasu usługi Active Directory. |
| Test-ADDSDomainInstallation | Uruchamia wymagania wstępne dotyczące instalowania nowej domeny w usłudze Active Directory. |
| Test-ADDSDomainControllerInstallation | Uruchamia wymagania wstępne dotyczące instalowania kontrolera domeny w usłudze Active Directory. |
| Test-ADDSReadOnlyDomainControllerAccountCreation | Uruchamia procedury wstępne dotyczące dodawania konta kontrolera domeny tylko do odczytu (RODC). |
Instalowanie nowej domeny głównej lasu przy użyciu programu Windows PowerShell
Syntaksa polecenia instalacji nowego lasu jest następująca. Argumenty opcjonalne są wyświetlane w nawiasach kwadratowych.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Uwaga
Argument -DomainNetBIOSName jest wymagany, jeśli chcesz zmienić nazwę 15 znaków, która jest generowana automatycznie na podstawie prefiksu nazwy domeny DNS lub jeśli nazwa przekracza 15 znaków.
Na przykład, aby zainstalować nowy las o nazwie corp.contoso.com i zostać bezpiecznie poproszonym o podanie hasła DSRM, wpisz:
Install-ADDSForest -DomainName "corp.contoso.com"
Uwaga
Serwer DNS jest instalowany domyślnie podczas uruchamiania polecenia Install-ADDSForest.
Aby zainstalować nowy las o nazwie corp.contoso.com, utwórz delegowanie DNS w domenie contoso.com, ustaw poziom funkcjonalności domeny systemu Windows Server 2008 R2 i ustaw poziom funkcjonalności lasu systemu Windows Server 2008, zainstaluj bazę danych usługi Active Directory i folder SYSVOL na dysku D:\, zainstaluj pliki dziennika na dysku E:\ i zostanie wyświetlony monit o podanie hasła trybu przywracania usług katalogowych i wpisz:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Instalowanie nowej domeny podrzędnej lub drzewa przy użyciu programu Windows PowerShell
Składnia polecenia instalowania nowej domeny jest następująca. Argumenty opcjonalne są wyświetlane w nawiasach kwadratowych.
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Uwaga
Argument -credential jest wymagany tylko wtedy, gdy użytkownik nie jest obecnie zalogowany jako członek grupy Administratorzy przedsiębiorstwa.
Argument -NewDomainNetBIOSName jest wymagany, jeśli chcesz zmienić automatycznie wygenerowaną nazwę 15 znaków na podstawie prefiksu nazwy domeny DNS lub jeśli nazwa przekracza 15 znaków.
Aby na przykład użyć poświadczeń użytkownika corp\EnterpriseAdmin1 do utworzenia nowej domeny podrzędnej o nazwie child.corp.contoso.com, zainstalować serwer DNS, utworzyć delegację DNS w domenie corp.contoso.com, ustawić poziom funkcjonalności domeny na Windows Server 2003, zrobić kontroler domeny serwerem katalogu globalnego w lokalizacji o nazwie Houston, użyć DC1.corp.contoso.com jako kontrolera domeny źródłowej replikacji, zainstalować bazę danych usługi Active Directory i folder SYSVOL na dysku D:\, zainstalować pliki dziennika na dysku E:\, a także zostanie wyświetlony monit o podanie hasła trybu przywracania usług katalogowych, ale nie zostanie wyświetlony monit o potwierdzenie polecenia, wpisz:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Instalowanie dodatkowego kontrolera domeny (repliki) przy użyciu programu Windows PowerShell
Składnia polecenia instalowania dodatkowego kontrolera domeny jest następująca. Argumenty opcjonalne są wyświetlane w nawiasach kwadratowych.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Aby zainstalować kontroler domeny i serwer DNS w domenie corp.contoso.com i wyświetlić monit o podanie poświadczeń administratora domeny i hasła DSRM, wpisz:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Jeśli komputer jest już przyłączony do domeny i jesteś członkiem grupy Administratorzy domeny, możesz użyć:
Install-ADDSDomainController -DomainName "corp.contoso.com"
Aby wyświetlić monit o nazwę domeny, wpisz:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
Następujące polecenie użyje poświadczeń contoso\EnterpriseAdmin1, aby zainstalować zapisywalny kontroler domeny i serwer wykazu globalnego w lokalizacji o nazwie Boston, zainstalować serwer DNS, utworzyć delegowanie DNS w domenie contoso.com, zainstalować z nośnika przechowywanego w folderze c:\ADDS IFM, zainstalować bazę danych usługi Active Directory i folder SYSVOL na dysku D:\, zainstalować pliki dzienników na dysku E:\, aby serwer został automatycznie uruchomiony ponownie po zakończeniu instalacji usług AD DS i wyświetli monit o podanie hasła trybu przywracania usług katalogowych.
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Przeprowadzanie etapowej instalacji kontrolera RODC przy użyciu programu Windows PowerShell
Składnia polecenia do utworzenia konta RODC jest następująca. Argumenty opcjonalne są wyświetlane w nawiasach kwadratowych.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccountName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
Składnia polecenia dołączania serwera do konta kontrolera RODC jest następująca. Argumenty opcjonalne są wyświetlane w nawiasach kwadratowych.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Aby na przykład utworzyć konto RODC o nazwie RODC1:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Następnie uruchom następujące polecenia na serwerze, który chcesz dołączyć do konta RODC1. Nie można dołączyć serwera do domeny. Najpierw zainstaluj rolę serwera usług AD DS i narzędzia do zarządzania.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Wykonaj następujące polecenie, aby utworzyć kontroler RODC:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Naciśnij Y , aby potwierdzić lub dołączyć "potwierdź argument, aby zapobiec monitowi o potwierdzenie.
Instalowanie usług AD DS przy użyciu Menedżera serwera
Usługi AD DS można zainstalować w systemie Windows Server 2012 za pomocą Kreatora dodawania ról w Menedżerze serwera, a następnie Kreatora konfiguracji usług Domenowych Active Directory, który jest nowy począwszy od systemu Windows Server 2012. Kreator instalacji usług domenowych Active Directory (dcpromo.exe) został wycofany od systemu Windows Server 2012.
W poniższych sekcjach opisano sposób tworzenia pul serwerów w celu zainstalowania usług AD DS na wielu serwerach i zarządzania nimi oraz sposobu używania kreatorów do instalowania usług AD DS.
Tworzenie pul serwerów
Menedżer serwera może pulować inne serwery w sieci, o ile są one dostępne z komputera z uruchomionym Menedżerem serwera. Po utworzeniu puli można wybrać te serwery do zdalnej instalacji usług AD DS lub innych opcji konfiguracji możliwych w Menedżerze serwera. Komputer z menedżerem serwera automatycznie pule się. Aby uzyskać więcej informacji na temat pul serwerów, zobacz Dodawanie serwerów do Menedżera serwera.
Uwaga
Aby zarządzać komputerem przyłączonym do domeny przy użyciu Menedżera serwera na serwerze grupy roboczej lub odwrotnie, wymagane są dodatkowe kroki konfiguracji. Aby uzyskać więcej informacji, zobacz "Dodawanie serwerów w grupach roboczych i zarządzanie nimi" w temacie Dodawanie serwerów do Menedżera serwera.
Instalowanie usług AD DS
Poświadczenia administracyjne
Wymagania dotyczące poświadczeń do zainstalowania usług AD DS różnią się w zależności od wybranej konfiguracji wdrożenia. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące poświadczeń do uruchamiania Adprep.exe i instalowania usług Active Directory Domain Services.
Użyj poniższych procedur, aby zainstalować usługi AD DS przy użyciu metody graficznego interfejsu użytkownika. Kroki można wykonać lokalnie lub zdalnie. Aby uzyskać bardziej szczegółowe wyjaśnienie tych kroków, zobacz następujące tematy:
Aby zainstalować usługi AD DS przy użyciu Menedżera serwera
W Menedżerze serwera kliknij pozycję Zarządzaj i kliknij przycisk Dodaj role i funkcje , aby uruchomić Kreatora dodawania ról.
Na stronie Przed rozpoczęciem kliknij przycisk Dalej.
Na stronie Wybieranie typu instalacji kliknij pozycję Instalacja oparta na rolach lub oparta na funkcjach , a następnie kliknij przycisk Dalej.
Na stronie Wybierz serwer docelowy kliknij pozycję Wybierz serwer z puli serwerów, kliknij nazwę serwera, na którym chcesz zainstalować usługi AD DS, a następnie kliknij przycisk Dalej.
Aby wybrać serwery zdalne, najpierw utwórz pulę serwerów i dodaj do niej serwery zdalne. Aby uzyskać więcej informacji na temat tworzenia pul serwerów, zobacz Dodawanie serwerów do Menedżera serwera.
Na stronie Wybieranie ról serwera, kliknij Active Directory Domain Services, a następnie w oknie dialogowym Kreatora dodawania ról i funkcji, kliknij przycisk Dodaj funkcje, a potem kliknij przycisk Dalej.
Na stronie Wybieranie funkcji wybierz wszelkie dodatkowe funkcje, które chcesz zainstalować, a następnie kliknij przycisk Dalej.
Na stronie Usługi domenowe Active Directory przejrzyj informacje, a następnie kliknij przycisk Dalej.
Na stronie Potwierdź wybory instalacyjne kliknij pozycję Zainstaluj.
Na stronie Wyniki sprawdź, czy instalacja zakończyła się pomyślnie, a następnie kliknij przycisk Podwyższ poziom tego serwera do kontrolera domeny , aby uruchomić Kreatora konfiguracji usług domenowych Active Directory.
Ważne
Jeśli w tym momencie zamkniesz Kreatora dodawania ról bez uruchamiania Kreatora konfiguracji usług Domenowych Active Directory, możesz go ponownie uruchomić, klikając pozycję Zadania w Menedżerze serwera.
Na stronie Konfiguracja wdrożenia wybierz jedną z następujących opcji:
Jeśli instalujesz dodatkowy kontroler domeny w istniejącej domenie, kliknij przycisk Dodaj kontroler domeny do istniejącej domeny i wpisz nazwę domeny (na przykład emea.corp.contoso.com) lub kliknij przycisk Wybierz , aby wybrać domenę, i poświadczenia (na przykład określ konto, które jest członkiem grupy Administratorzy domeny), a następnie kliknij przycisk Dalej.
Uwaga
Nazwa domeny i bieżących poświadczeń użytkownika są dostarczane domyślnie tylko wtedy, gdy maszyna jest przyłączona do domeny i wykonujesz instalację lokalną. Jeśli instalujesz AD DS na serwerze zdalnym, musisz określić poświadczenia zgodnie z założeniami. Jeśli bieżące poświadczenia użytkownika nie są wystarczające do przeprowadzenia instalacji, kliknij przycisk Zmień... w celu określenia różnych poświadczeń.
Aby uzyskać więcej informacji, zobacz Instalowanie repliki kontrolera domeny systemu Windows Server 2012 w istniejącej domenie (poziom 200).
Jeśli instalujesz nową domenę podrzędną, kliknij przycisk Dodaj nową domenę do istniejącego lasu, w polu Wybierz typ domeny, wybierz pozycję Domena podrzędna, wpisz lub zlokalizuj nazwę DNS domeny nadrzędnej (na przykład corp.contoso.com), wpisz lokalną nazwę nowej domeny podrzędnej (na przykład emea), wprowadź poświadczenia niezbędne do utworzenia nowej domeny, i kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz Instalacja nowej jednostki podrzędnej lub domeny drzewiastej w Active Directory Windows Server 2012 (Poziom 200).
Jeśli instalujesz nowe drzewo domeny, kliknij przycisk Dodaj nową domenę do istniejącego lasu, w obszarze Wybierz typ domeny wybierz pozycję Domena drzewa, wpisz nazwę domeny głównej (na przykład corp.contoso.com), wpisz nazwę DNS nowej domeny (na przykład fabrikam.com), wpisz poświadczenia do użycia w celu utworzenia nowej domeny, a następnie kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zapoznaj się z Zainstaluj nową domenę podrzędną lub drzewiastą w Windows Server 2012 Active Directory (Poziom 200).
Jeśli instalujesz nowy las, kliknij przycisk Dodaj nowy las , a następnie wpisz nazwę domeny głównej (na przykład corp.contoso.com).
Aby uzyskać więcej informacji, zobacz Instalowanie nowego lasu usługi Active Directory systemu Windows Server 2012 (poziom 200).
Na stronie Opcje kontrolera domeny wybierz jedną z następujących opcji:
Jeśli tworzysz nowy las lub domenę, wybierz poziomy funkcjonalności domeny i lasu, kliknij Serwer systemu nazw domen (DNS), określ hasło DSRM, a następnie kliknij przycisk Dalej.
Jeśli dodasz kontroler domeny do istniejącej domeny, kliknij pozycję Serwer systemu nazw domen (DNS), wykaz globalny (GC) lub kontroler domeny tylko do odczytu (RODC ) zgodnie z potrzebami, wybierz nazwę lokacji i wpisz hasło DSRM, a następnie kliknij przycisk Dalej.
Aby uzyskać więcej informacji o opcjach na tej stronie, które są dostępne lub niedostępne w różnych warunkach, zobacz Opcje kontrolera domeny.
Na stronie Opcje DNS (która jest wyświetlana tylko w przypadku instalowania serwera DNS) kliknij przycisk Aktualizuj delegowanie DNS zgodnie z potrzebami. Jeśli tak, podaj poświadczenia, które mają uprawnienia do tworzenia rekordów delegowania DNS w nadrzędnej strefie DNS.
Jeśli nie można skontaktować się z serwerem DNS hostujący strefę nadrzędną, opcja Zaktualizuj delegowanie DNS jest niedostępna.
Aby dowiedzieć się, czy należy zaktualizować delegowanie DNS, zapoznaj się z Opis delegowania strefy. Jeśli spróbujesz zaktualizować delegowanie DNS i wystąpi błąd, zobacz Opcje DNS.
Na stronie Opcje kontrolera RODC (która jest wyświetlana tylko w przypadku instalowania kontrolera RODC), określ nazwę grupy lub użytkownika, który będzie zarządzać kontrolerem RODC, dodaj konta do lub usuń konta z grup replikacji haseł Dozwolone lub Odrzucone, a następnie kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz Zasady replikacji haseł.
Na stronie Opcje dodatkowe wybierz jedną z następujących opcji:
Jeśli tworzysz nową domenę, wpisz nową nazwę NetBIOS lub sprawdź domyślną nazwę NetBIOS domeny, a następnie kliknij przycisk Dalej.
Jeśli dodajesz kontroler domeny do istniejącej domeny, wybierz kontroler domeny, z którego chcesz replikować dane instalacji usług AD DS (lub zezwól kreatorowi na wybranie dowolnego kontrolera domeny). Jeśli instalujesz z nośnika, kliknij przycisk Zainstaluj z typu ścieżki nośnika i sprawdź ścieżkę do plików źródłowych instalacji, a następnie kliknij przycisk Dalej.
Nie można użyć instalacji z nośnika (IFM) do zainstalowania pierwszego kontrolera domeny w domenie. IFM nie działa w różnych wersjach systemu operacyjnego. Innymi słowy, aby zainstalować dodatkowy kontroler domeny z systemem Windows Server 2012 przy użyciu narzędzia IFM, należy utworzyć nośnik kopii zapasowej na kontrolerze domeny systemu Windows Server 2012. Aby uzyskać więcej informacji na temat ifm, zobacz Instalowanie dodatkowego kontrolera domeny przy użyciu ifm.
Na stronie Ścieżki wpisz lokalizacje bazy danych usługi Active Directory, plików dziennika i folderu SYSVOL (lub zaakceptuj lokalizacje domyślne), a następnie kliknij przycisk Dalej.
Ważne
Nie należy przechowywać bazy danych usługi Active Directory, plików dziennika ani folderu SYSVOL na woluminie danych sformatowanym przy użyciu systemu plików ReFS (Resilient File System).
Na stronie Opcje przygotowywania wpisz poświadczenia, które są wystarczające do uruchomienia narzędzia adprep. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące poświadczeń do uruchamiania Adprep.exe i instalowania usług Active Directory Domain Services.
Na stronie Przejrzyj opcje potwierdź wybrane opcje, kliknij pozycję Wyświetl skrypt , jeśli chcesz wyeksportować ustawienia do skryptu programu Windows PowerShell, a następnie kliknij przycisk Dalej.
Na stronie Sprawdzanie wymagań wstępnych upewnij się, że weryfikacja wymagań wstępnych została ukończona, a następnie kliknij przycisk Zainstaluj.
Na stronie Wyniki sprawdź, czy serwer został pomyślnie skonfigurowany jako kontroler domeny. Serwer zostanie automatycznie uruchomiony ponownie, aby ukończyć instalację usług AD DS.
Przeprowadzanie instalacji kontrolera RODC etapowego przy użyciu graficznego interfejsu użytkownika
Instalacja etapowa kontrolera RODC umożliwia jego utworzenie w dwóch etapach. W pierwszym etapie członek grupy Administratorzy domen tworzy konto kontrolera RODC. W drugim etapie do konta RODC jest dołączany serwer. Drugi etap można wykonać przez członka grupy Administratorzy domeny lub delegowanego użytkownika lub grupy domeny.
Aby utworzyć konto RODC przy użyciu narzędzi do zarządzania Active Directory.
Konto RODC można utworzyć przy użyciu Centrum administracyjnego Active Directory lub Użytkowników i komputerów Active Directory.
Kliknij przycisk Start, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Centrum administracyjne usługi Active Directory.
W okienku nawigacji (okienko po lewej stronie) kliknij nazwę domeny.
Na liście Zarządzanie (środkowe okienko) kliknij jednostkę organizacyjną kontrolery domeny.
W okienku Zadania (okienko po prawej stronie) kliknij pozycję Wstępnie utwórz konto kontrolera domeny tylko do odczytu.
-Lub-
Kliknij przycisk Start, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.
Kliknij prawym przyciskiem myszy jednostkę organizacyjną Kontrolery domeny (OU) lub kliknij jednostkę organizacyjną Kontrolery domeny, a następnie kliknij przycisk Akcja.
Kliknij pozycję Wstępnie utwórz konto kontrolera domeny tylko do odczytu.
Na stronie powitalnej Kreator instalacji usług domenowych Active Directory, jeśli chcesz zmodyfikować domyślną politykę replikacji haseł (PRP), wybierz opcję Użyj instalacji trybu zaawansowanego, a następnie kliknij Dalej.
Na stronie Poświadczenia sieciowe w obszarze Określ poświadczenia konta, które mają być używane do przeprowadzenia instalacji, kliknij pozycję Moje bieżące zalogowane poświadczenia lub kliknij pozycję Alternatywne poświadczenia, a następnie kliknij przycisk Ustaw. W oknie dialogowym Zabezpieczenia systemu Windows podaj nazwę użytkownika i hasło dla konta, które może zainstalować dodatkowy kontroler domeny. Aby zainstalować dodatkowy kontroler domeny, musisz być członkiem grupy Administratorzy przedsiębiorstwa lub Administratorzy domeny. Po zakończeniu podawania poświadczeń kliknij przycisk Dalej.
Na stronie Określanie nazwy komputera wpisz nazwę komputera serwera, który będzie kontrolerem RODC.
Na stronie Wybierz lokację wybierz lokację z listy lub wybierz opcję zainstalowania kontrolera domeny w lokacji odpowiadającego adresowi IP komputera, na którym jest uruchomiony kreator, a następnie kliknij przycisk Dalej.
Na stronie Dodatkowe opcje kontrolera domeny wybierz następujące opcje, a następnie kliknij przycisk Dalej:
Serwer DNS: ta opcja jest domyślnie wybrana, aby kontroler domeny mógł działać jako serwer systemu nazw domen (DNS). Jeśli nie chcesz, aby kontroler domeny był serwerem DNS, wyczyść tę opcję. Jeśli jednak nie zainstalujesz roli serwera DNS na kontrolerze RODC, a kontroler RODC jest jedynym kontrolerem domeny w oddziale, użytkownicy w oddziale nie będą mogli wykonywać rozpoznawania nazw, gdy sieć rozległa (WAN) do lokacji centrum jest w trybie offline.
Wykaz globalny: ta opcja jest domyślnie zaznaczona. Dodaje on wykaz globalny, partycje katalogu tylko do odczytu do kontrolera domeny i włącza funkcje wyszukiwania wykazu globalnego. Jeśli nie chcesz, aby kontroler domeny był serwerem wykazu globalnego, wyczyść tę opcję. Jeśli jednak nie zainstalujesz serwera wykazu globalnego w oddziale lub nie włączysz buforowania członkostwa w grupie uniwersalnej dla lokacji zawierającej kontroler RODC, użytkownicy w oddziale nie będą mogli logować się do domeny, gdy połączenie WAN do lokacji centralnej jest w trybie offline.
Kontroler domeny tylko do odczytu. Podczas tworzenia konta kontrolera RODC ta opcja jest domyślnie zaznaczona i nie można jej wyczyścić.
W przypadku wybrania pola wyboru Użyj instalacji trybu zaawansowanego na stronie powitalnej zostanie wyświetlona strona Określanie zasad replikacji haseł . Domyślnie żadne hasła kont nie są replikowane do kontrolera RODC, a konta wrażliwe na zabezpieczenia (takie jak członkowie grupy Administratorzy domeny) mają wyraźnie zabronione replikowanie ich haseł do kontrolera RODC.
Aby dodać inne konta do tej polityki, kliknij Dodaj, a następnie Zezwalaj na replikację haseł tego konta do tego RODC lub Odmów replikacji haseł tego konta do tego RODC, a następnie wybierz konta.
Po zakończeniu (lub zaakceptowaniu ustawienia domyślnego) kliknij przycisk Dalej.
Na stronie Delegowania instalacji i administracji RODC wpisz nazwę użytkownika lub grupy, która dołączy serwer do tworzonego konta RODC. Możesz wpisać nazwę tylko jednego podmiotu zabezpieczeń.
Aby wyszukać w katalogu określonego użytkownika lub grupy, kliknij przycisk Ustaw. W obszarze Wybierz użytkownika lub grupę wpisz nazwę użytkownika lub grupy. Zalecamy delegowanie instalacji i administracji RODC do grupy.
Ten użytkownik lub grupa będzie również mieć lokalne uprawnienia administracyjne na kontrolerze RODC po instalacji. Jeśli nie określisz użytkownika lub grupy, tylko członkowie grupy Administratorzy domeny lub Administratorzy przedsiębiorstwa będą mogli dołączyć serwer do konta.
Po zakończeniu kliknij przycisk Dalej.
Na stronie Podsumowanie przejrzyj wybrane opcje. Kliknij przycisk Wstecz , aby w razie potrzeby zmienić wybrane opcje.
Aby zapisać ustawienia wybrane do pliku odpowiedzi, którego można użyć do zautomatyzowania kolejnych operacji usług AD DS, kliknij przycisk Eksportuj ustawienia. Wpisz nazwę pliku odpowiedzi, a następnie kliknij przycisk Zapisz.
Jeśli masz pewność, że Twój wybór jest dokładny, kliknij przycisk Dalej, aby utworzyć konto RODC.
Na stronie Kreatora kończenia instalacji usług domenowych Active Directory, kliknij Zakończ.
Po utworzeniu konta kontrolera RODC można dołączyć serwer do konta w celu ukończenia instalacji kontrolera RODC. Ten drugi etap można wykonać w oddziale, gdzie będzie znajdować się kontroler RODC. Serwer, na którym wykonasz tę procedurę, nie może być przyłączony do domeny. Począwszy od systemu Windows Server 2012, należy użyć Kreatora Dodawania Ról w Menedżerze Serwera, aby przypisać serwer do konta RODC.
Aby dołączyć serwer do konta RODC przy użyciu Menedżera serwera
Zaloguj się jako administrator lokalny.
W Menedżerze serwera kliknij pozycję Dodaj role i funkcje.
Na stronie Przed rozpoczęciem kliknij przycisk Dalej.
Na stronie Wybieranie typu instalacji kliknij pozycję Instalacja oparta na rolach lub oparta na funkcjach , a następnie kliknij przycisk Dalej.
Na stronie Wybierz serwer docelowy kliknij pozycję Wybierz serwer z puli serwerów, kliknij nazwę serwera, na którym chcesz zainstalować usługi AD DS, a następnie kliknij przycisk Dalej.
Na stronie Wybieranie ról serwera kliknij pozycję Active Directory Domain Services, kliknij pozycję Dodaj funkcje , a następnie kliknij przycisk Dalej.
Na stronie Wybieranie funkcji wybierz wszelkie dodatkowe funkcje, które chcesz zainstalować, a następnie kliknij przycisk Dalej.
Na stronie Usługi domenowe Active Directory przejrzyj informacje, a następnie kliknij przycisk Dalej.
Na stronie Potwierdź wybory instalacyjne kliknij pozycję Zainstaluj.
Na stronie Wyniki sprawdź, czy instalacja zakończyła się pomyślnie, a następnie kliknij przycisk Podwyższ poziom tego serwera do kontrolera domeny , aby uruchomić Kreatora konfiguracji usług domenowych Active Directory.
Ważne
Jeśli w tym momencie zamkniesz Kreatora dodawania ról bez uruchamiania Kreatora konfiguracji usług Domenowych Active Directory, możesz go ponownie uruchomić, klikając pozycję Zadania w Menedżerze serwera.
(media/Zainstaluj-usługi-domenowe-Active-Directory-Poziom-100-/ADDS_SMI_Tasks.gif)
Na stronie Konfiguracja wdrożenia kliknij przycisk Dodaj kontroler domeny do istniejącej domeny, wpisz nazwę domeny (na przykład emea.contoso.com) i poświadczenia (na przykład określ konto delegowane do zarządzania i instalowania kontrolera RODC), a następnie kliknij przycisk Dalej.
Na stronie Opcje kontrolera domeny kliknij pozycję Użyj istniejącego konta kontrolera RODC, wpisz i potwierdź hasło trybu przywracania usług katalogowych, a następnie kliknij przycisk Dalej.
Na stronie Dodatkowe opcje, jeśli instalujesz z nośnika, kliknij Zainstaluj z lokalizacji nośnika i zweryfikuj ścieżkę do plików instalacyjnych, wybierz kontroler domeny, z którego chcesz replikować dane instalacji usług AD DS (lub zezwól kreatorowi na wybranie dowolnego kontrolera domeny), a następnie kliknij Dalej.
Na stronie Ścieżki wpisz lokalizacje bazy danych usługi Active Directory, plików dziennika i folderu SYSVOL lub zaakceptuj lokalizacje domyślne, a następnie kliknij przycisk Dalej.
Na stronie Przejrzyj opcje potwierdź wybrane opcje, kliknij pozycję Wyświetl skrypt , aby wyeksportować ustawienia do skryptu programu Windows PowerShell, a następnie kliknij przycisk Dalej.
Na stronie Sprawdzanie wymagań wstępnych upewnij się, że weryfikacja wymagań wstępnych została ukończona, a następnie kliknij przycisk Zainstaluj.
Aby ukończyć instalację usług AD DS, serwer zostanie automatycznie uruchomiony ponownie.
Zobacz też
Rozwiązywanie problemów z wdrożeniem kontrolera domenyInstalacja nowego lasu Active Directory na Windows Server 2012 (poziom 200)Instalacja nowej domeny podrzędnej lub domeny drzewa Active Directory na Windows Server 2012 (poziom 200)Instalacja repliki kontrolera domeny Windows Server 2012 w istniejącej domenie (poziom 200)