Поделиться через


Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200)

В этом разделе описывается, как добавить дочерние домены и домены дерева в существующий лес Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell.

Процесс добавления дочернего домена и домена дерева

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать домен в существующем лесу.

Схема, демонстрирующая процесс настройки служб домен Active Directory при установке роли AD DS ранее.

Добавление дочернего домена и домена дерева с помощью Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Мандат

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Примечание.

Аргумент -credential требуется только в том случае, если текущий пользователь не является членом группы "Администраторы предприятия". Аргумент -NewDomainNetBIOSName требуется, если вы хотите изменить имя из 15 символов, автоматически создаваемое на основе префикса доменного имени DNS, или если длина имени превышает 15 символов.

Развертывание

Конфигурация развертывания

На следующем снимке экрана показаны параметры добавления дочернего домена:

Снимок экрана: параметры добавления дочернего домена.

На следующем снимке экрана показаны параметры добавления домена дерева:

Снимок экрана: параметры добавления домена дерева.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

В этом разделе совместно рассматриваются две отдельные операции: повышение роли дочернего домена и повышение роли домена дерева. Единственное различие между ними заключается в выбираемом для создания типе домена. Все остальные действия идентичны.

  • Чтобы создать дочерний домен, установите переключатель в положение Добавить домен в существующий лес и выберите тип Дочерний домен. Введите или выберите имя родительского домена. Затем введите имя нового домена в поле Новое имя домена. Укажите допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям к DNS-имени домена.

  • Чтобы создать домен дерева в существующем лесу, установите переключатель в положение Добавить домен в существующий лес и выберите тип Домен дерева. Введите имя корневого домена леса, а затем введите имя нового домена. Укажите допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям к DNS-имени домена.

Дополнительные сведения об именах DNS см. в разделе Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

Мастер настройки доменных служб Active Directory в диспетчере сервера запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Чтобы указать учетные данные для операции повышения роли, нажмите кнопку Изменить.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Параметры контроллера домена

Снимок экрана: страница

На странице Параметры контроллера домена приведены параметры нового контроллера домена. Настраиваемые параметры контроллера домена включают в себя DNS-сервер и Глобальный каталог, причем нельзя назначить контроллер домена только для чтения первым контроллером нового домена.

Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Также необходимо указать режим работы домена. Режим работы по умолчанию — Windows Server 2012. Вы можете выбрать любое другое значение не ниже текущего режима работы леса.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбран сайт с наиболее правильной подсетью. Если существует только один сайт, он выбирается автоматически.

Внимание

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Внимание

Имя сайта уже должно существовать на момент ввода в качестве значения аргумента sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы командлета Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать дочерний домен с именем NorthAmerica в домене Contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Модуль ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера такой возможности нет. Этот аргумент имеет значение только в том случае, если служба DNS-сервера уже была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS

Параметры DNS и учетные данные для делегирования DNS

Снимок экрана: страница

На странице Параметры DNS можно указать альтернативные учетные данные администратора DNS для делегирования.

При установке нового домена в существующем лесу, то есть если вы выбрали установку DNS на странице Параметры контроллера домена, никакие параметры настроить нельзя — делегирование выполняется автоматически, и отменить его нельзя. Вы можете указать альтернативные учетные данные администратора DNS с правами на обновление этой структуры.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры DNS:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Дополнительные сведения о делегировании DNS см. в разделе Общее представление о делегировании зоны.

Дополнительные параметры

Снимок экрана: страница

На странице Дополнительные параметры приводится NetBIOS-имя домена, которое вы можете переопределить. По умолчанию NetBIOS-имя домена совпадает с крайним левым компонентом полного доменного имени, указанного на странице Конфигурация развертывания. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.

Дополнительные сведения об именах DNS см. в разделе Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

Если аргументы Install-AddsDomain не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. Аргумент DomainNetBIOSName действует особым образом.

  1. Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени.

  2. Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли.

  3. Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени.

  4. Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли.

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

-newdomainnetbiosname <string>

Пути

Снимок экрана: страница

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана: страница

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest. Это позволит просмотреть явные и неявные значения аргументов командлета.

Установка нового дочернего элемента AD

Проверка необходимых компонентов

Снимок экрана: страница проверки необходимых компонентов в мастере настройки служб домен Active Directory.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового домена доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Подробнее о проверках предварительных требований см. в разделе Prerequisite Checking.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:

-skipprechecks

Предупреждение

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Снимок экрана: страница установки в мастере настройки служб домен Active Directory.

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый домен Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomain

См. раздел Child and Tree Domain Windows PowerShell , чтобы ознакомиться с обязательными и дополнительными аргументами. Командлет Install-addsdomain имеет только две фазы (проверка предварительных условий и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domaintype, -newdomainname, -parentdomainname и -credential. Обратите внимание на то, что командлет Install-ADDSDomain, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Снимок экрана: окно терминала, на котором показан этап установки с минимальными обязательными аргументами типа -domaintype, -newdomainname, -parentdomainname и -credential.

Снимок экрана: окно терминала, на котором показан ход установки с минимальными обязательными аргументами типа -domaintype, -newdomainname, -parentdomainname и -credential.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Результаты

Снимок экрана: страница

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.