Установка нового леса Active Directory в Windows Server 2012 (уровень 200)
В этом разделе на базовом уровне описывается новая функция повышения роли контроллера домена в доменных службах Active Directory Windows Server 2012. В доменных службах Active Directory в Windows Server 2012 средство Dcpromo заменено диспетчером сервера и системой развертывания на основе Windows PowerShell.
Упрощенное администрирование доменных служб Active Directory
В Windows Server 2012 реализовано упрощенное администрирование доменных служб Active Directory нового поколения, которое представляет собой наиболее радикальную модернизацию системы управления доменами с момента выпуска Windows Server 2000. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.
Что такое упрощенное администрирование доменных служб Active Directory?
Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов. Ниже перечислены некоторые новые возможности.
Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.
Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании графического интерфейса установки.
При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.
В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.
Назначение и преимущества
Может показаться, что эти изменения лишь повысили сложность. Однако при переработке процесса развертывания доменных служб Active Directory появилась возможность объединить многие этапы и рекомендации, сократив число необходимых действий и упростив их. Это означает, например, что при настройке новой реплики контроллера домена с помощью графического интерфейса теперь требуются восемь диалоговых окон вместо двенадцати. Для создания леса Active Directory требуется одна команда Windows PowerShell со всего лишь одним аргументом: именем домена.
Почему в Windows Server 2012 сделан упор на Windows PowerShell? По мере развития распределенных вычислений среда Windows PowerShell обеспечивает единый модуль для настройки и обслуживания как с помощью графического интерфейса, так и с помощью интерфейса командной строки. Она обеспечивает создание полнофункциональных сценариев для любого компонента, предоставляя ИТ-специалистам те же первоклассные возможности, какие интерфейсы API дают разработчикам. По мере широкого распространения облачных вычислений среда Windows PowerShell также дает возможность удаленного администрирования сервера. При этом компьютером без графического интерфейса можно управлять так же эффективно, как и компьютером с монитором и мышью.
Опытный администратор доменных служб Active Directory сможет с успехом применять накопленные знания. Для начинающего администратора кривая обучения стала гораздо более пологой.
технический обзор
Что следует знать перед началом работы
В этом разделе предполагается, что вы знакомы с предыдущими выпусками доменных служб Active Directory, поэтому в нем не приводятся базовые сведения об их назначении и функциональных возможностях. Дополнительную информацию о доменных службах Active Directory можно найти на страницах портала TechNet, ссылки на которые приведены ниже:
Описания функций
Установка роли доменных служб Active Directory
Для установки доменных служб Active Directory, так же как для установки всех остальных ролей сервера и компонентов в Windows Server 2012, используются диспетчер сервера и среда Windows PowerShell. Программа Dcpromo.exe больше не предоставляет графический интерфейс пользователя с параметрами настройки.
Графический мастер в диспетчере сервера или модуль ServerManager для Windows PowerShell используются как для локальной, так и для удаленной установки. Запуская несколько экземпляров этого мастера или командлетов для разных серверов, можно одновременно развертывать доменные службы Active Directory в нескольких контроллерах домена из единой консоли. Хотя эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более ранними операционными системами, вы по-прежнему можете использовать программу Dism.exe, появившуюся в Windows Server 2008 R2, для локальной установки роли из классической командной строки.
Настройка роли доменных служб Active Directory
конфигурация служб домен Active Directory "ранее известная как DCPROMO" теперь является дискретной операцией из установки ролей. После установки роли доменных служб Active Directory администратор настраивает сервер в качестве контроллера домена с помощью отдельного мастера в диспетчере сервера или с помощью модуля Windows PowerShell ADDSDeployment.
Настройка роли доменных служб Active Directory осуществляется на основе двенадцатилетнего практического опыта. Контроллеры домена настраиваются в соответствии с новейшими рекомендациями Майкрософт. Например, служба доменных имен (DNS) и глобальные каталоги устанавливаются по умолчанию в каждом контроллере домена.
Мастер настройки диспетчер сервера AD DS объединяет множество отдельных диалогов в меньшее количество запросов и больше не скрывает параметры в режиме "дополнительно". Весь процесс повышения роли осуществляется в ходе установки с помощью одного раскрывающегося диалогового окна. Мастер и модуль Windows PowerShell ADDSDeployment выводят информацию о существенных изменениях и проблемах безопасности, а также ссылки на дополнительные материалы.
Программа Dcpromo.exe сохранена в Windows Server 2012 только для автоматической установки посредством командной строки. Она больше не используется для запуска графического мастера установки. Настоятельно рекомендуется отказаться от использования программы Dcpromo.exe в целях автоматической установки, заменив ее модулем ADDSDeployment, так как соответствующий исполняемый файл не будет включен в следующую версию Windows.
Эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более поздними операционными системами.
Внимание
Программа Dcpromo.exe больше не предоставляет графический мастер и не используется для установки двоичных файлов роли или компонента. При попытке запустить Dcpromo.exe из проводника происходит ошибка:
Мастер установки служб домен Active Directory перемещается в диспетчер сервера. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220921."
При попытке выполнить команду Dcpromo.exe /unattend двоичные файлы по-прежнему устанавливаются, как в предыдущих операционных системах, но выводится предупреждение:
"Автоматическая операция dcpromo заменяется модулем ADDSDeployment для Windows PowerShell. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220924."
В Windows Server 2012 использовать программу dcpromo.exe не рекомендуется. Она не будет включена в будущие версии Windows и не будет улучшаться далее в текущей. Администраторам следует прекратить ее использование и перейти на поддерживаемые модули Windows PowerShell для создания контроллеров домена из командной строки.
Проверка предварительных требований
Настройка контроллера домена также включает этап проверки предварительных требований, на котором проводится оценка леса и домена перед повышением роли контроллера домена. При этом проверяются доступность роли FSMO, права пользователей, совместимость расширенной схемы и другие требования. Новая структура процесса позволяет уменьшить число проблем, при которых повышение роли контроллера домена прерывается посередине из-за неустранимой ошибки конфигурации. Это снижает вероятность образования потерянных метаданных контроллеров домена в лесу или возникновения серверов, которые считают себя контроллерами домена, хотя не являются ими.
Развертывание леса с использованием диспетчера серверов
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью диспетчера сервера на компьютере Windows Server 2012 с графическим интерфейсом.
Процесс установки роли доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска ServerManager.exe и заканчивая моментом перед повышением роли контроллера домена.
Пул серверов и добавление ролей
Объединить в пул можно любые компьютеры с ОС Windows Server 2012, доступные с компьютера, на котором запущен диспетчер сервера. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере сервера.
Чтобы добавить серверы, выполните одно из указанных ниже действий.
На плитке приветствия на информационной панели щелкните Добавить другие серверы для управления .
В меню Управление выберите пункт Добавление серверов.
Щелкните правой кнопкой мыши Все серверы и выберите пункт Добавление серверов.
Откроется диалоговое окно "Добавление серверов".
В нем можно добавить серверы в пул для использования или группировки тремя способами:
поиск в Active Directory (используется LDAP, компьютеры должны принадлежать к домену, разрешена фильтрация ОС, поддерживаются подстановочные знаки);
Поиск по DNS (используется DNS-псевдоним или IP-адрес посредством передачи ARP или NetBIOS либо просмотра WINS; операционной системе запрещена фильтрация и поддержка подстановочных знаков);
Импорт (используется список серверов в виде текстового файла с разделителями CR/LF)
Щелкните Найти для получения списка серверов из домена Active Directory, к которому присоединен компьютер, а затем щелкните одно или несколько имен серверов в списке. Нажмите кнопку со стрелкой вправо, чтобы добавить серверы в список Выбранные . Используйте диалоговое окно Добавление серверов для добавления выбранных серверов в группы ролей на информационной панели. Чтобы создать настраиваемые группы серверов, выберите в меню Управлениепункт Создание группы серверовили щелкните элемент Создание группы серверов на плитке Вас приветствует диспетчер серверов информационной панели.
Примечание.
Процедура "Добавление серверов" не выполняет проверку подключения сервера или его доступности. Однако при следующем обновлении недоступные серверы будут помечены в представлении "Управляемость" диспетчера сервера.
Вы можете установить роли удаленно на любые компьютеры Windows Server 2012, добавленные в пул, как показано на снимке экрана:
Вы не можете полностью управлять серверами с более ранними операционными системами, чем Windows Server 2012. При выборе пункта Добавить роли и компоненты выполняется командлет Install-WindowsFeatureиз модуля Windows PowerShell ServerManager.
Вы также можете выбрать установку доменных служб Active Directory на удаленном сервере с предварительно выбранной ролью с помощью информационной панели диспетчера сервера на существующем контроллере домена, щелкнув плитку на информационной панели правой кнопкой мыши и выбрав пункт Добавить AD DS на другой сервер. Будет вызван командлет Install-WindowsFeature AD-Domain-Services.
Компьютер с запущенным диспетчером сервера автоматически включает себя в пул. Чтобы установить на нем роль доменных служб Active Directory, просто откройте меню Управление и выберите пункт Добавить роли и компоненты.
Тип установки
В диалоговом окне Тип установки есть вариант, при котором доменные службы Active Directory не поддерживаются: Установка на основе служб удаленных рабочих столов. При выборе этого варианта возможно использование только служб удаленных рабочих столов в распределенной среде с несколькими серверами. Установить доменные службы Active Directory в этом случае нельзя.
При установке доменных служб Active Directory всегда оставляйте вариант по умолчанию: Установка ролей или компонентов.
Выбор сервера
В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен автоматически.
Кроме того, вы можете выбрать автономные VHD-файлы Hyper-V с операционной системой Windows Server 2012, и диспетчер сервера добавит в них роль напрямую с помощью системы предоставления компонентов. Таким образом можно предоставлять виртуальным серверам необходимые компоненты перед их дальнейшей настройкой.
"Роли сервера" и "Компоненты"
Если необходимо повысить роль контроллера домена, выберите роль Доменные службы Active Directory . Все функции администрирования Active Directory и необходимые службы устанавливаются автоматически, даже если они являются частью другой роли или не выбраны в интерфейсе диспетчера сервера.
В диспетчере сервера также выводится информационное диалоговое окно, в котором показаны компоненты управления, неявно устанавливаемые вместе с этой ролью. Это равноценно использованию аргумента -IncludeManagementTools .
При необходимости здесь можно добавить дополнительные компоненты .
Доменные службы Active Directory
В диалоговом окне Доменные службы Active Directory приводится ограниченная информация о требованиях и рекомендациях. В основном он выступает в качестве подтверждения того, что вы выбрали роль AD DS " если этот экран не отображается, вы не выбрали AD DS.
Подтверждение
Диалоговое окно Подтверждение — это последний этап перед установкой роли. С его помощью можно указать, что компьютер необходимо перезагрузить после установки роли, однако установка доменных служб Active Directory не требует перезагрузки.
Нажимая кнопку Установить, вы подтверждаете готовность к установке роли. После того как установка роли начнется, отменить ее будет невозможно.
Результаты
В диалоговом окне Результаты показан ход установки и ее текущее состояние. Установка роли продолжится, даже если закрыть диспетчер сервера.
Рекомендуется проверять результат установки. Если вы закрыли диалоговое окно Результаты до того, как установка завершилась, результаты можно проверить с помощью флага уведомления в диспетчере сервера. В диспетчере сервера также выводятся предупреждения для всех серверов, на которых установлена роль доменных служб Active Directory, но которые не были затем настроены как контроллеры домена.
Уведомления о задачах
Сведения о AD DS
Сведения о задаче
Повышение роли до контроллера домена
После того как установка роли доменных служб Active Directory завершится, можно продолжить настройку с помощью ссылки Повысить роль этого сервера до уровня контроллера домена . Это необходимо для того, чтобы сделать сервер контроллером домена, однако мастер настройки запускать сразу необязательно. Например, может потребоваться предоставить серверам двоичные файлы роли доменных служб Active Directory, а затем отправить их в другой филиал для дальнейшей настройки. Добавив роль доменных служб Active Directory перед отправкой, можно сэкономить время, требуемое для настройки на месте назначения. При этом также выполняется рекомендация, в соответствии с которой контроллер домена не следует отключать на несколько дней или недель. Наконец, это позволяет обновить компоненты перед повышением роли контроллера домена и уменьшить число последующих перезагрузок по крайней мере на одну.
При выборе этой ссылки вызываются следующие командлеты ADDSDeployment: install-addsforest, install-addsdomainили install-addsdomaincontroller.
Удаление или отключение
Роль доменных служб Active Directory удаляется так же, как любая другая роль, вне зависимости от того, была ли роль сервера повышена до контроллера домена. Однако по завершении удаления роли доменных служб Active Directory необходимо перезапустить сервер.
Удаление роли доменных служб Active Directory отличается от установки тем, что для его завершения необходимо понизить роль контроллера домена. Это требуется для того, чтобы удаление двоичных файлов роли в контроллере домена сопровождалось надлежащей очисткой метаданных в лесу. Дополнительные сведения см. в разделе "Понижение контроллеров домена" и "Домены" (уровень 200).
Предупреждение
Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.
В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.
Создание корневого домена леса доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера.
Конфигурация развертывания
Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.
Чтобы создать лес Active Directory, установите переключатель в положение Добавить новый лес. Необходимо указать допустимое имя корневого домена. Оно не может быть однокомпонентным (например, имя должно иметь вид contoso.com , а не просто contoso) и должно соответствовать требованиям к разрешенным доменным именам DNS.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Предупреждение
Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если URL-адрес DNS в Интернете имеет https://contoso.comзначение, необходимо выбрать другое имя внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.
В новом лесу не требуются новые учетные данные для учетной записи администратора домена. Процесс повышения роли контроллера домена использует учетные данные встроенной учетной записи администратора из первого контроллера домена, применяемого для создания корневого домена леса. Не существует стандартного способа отключить или заблокировать встроенную учетную запись администратора, и она может быть единственной точкой входа в лес, если другие учетные записи администраторов домена использовать невозможно. Перед развертыванием нового леса необходимо знать пароль.
АргументDomainName обязателен, и ему должно быть присвоено полное доменное имя DNS.
Параметры контроллера домена
На странице Параметры контроллера домена можно настроить режим работы леса и режим работы домена для нового корневого домена леса. По умолчанию эти параметры являются Windows Server 2012 в новом корневом домене леса. Функциональный уровень леса Windows Server 2012 не предоставляет новые функциональные возможности для леса Windows Server 2008 R2. Функциональный уровень домена Windows Server 2012 требуется только для реализации новых параметров Kerberos "всегда предоставлять утверждения" и "Неупорядоченные запросы проверки подлинности". Основное использование функциональных уровней в Windows Server 2012 заключается в ограничении участия в домене контроллерам домена, которые соответствуют минимальным требованиям к операционной системе. Другими словами, можно указать функциональный уровень домена Windows Server 2012 только контроллеры домена под управлением Windows Server 2012, которые могут размещать домен. Windows Server 2012 реализует новый флаг контроллера домена с именем DS_WIN8_REQUIRED в функции DSGetDcName NetLogon, которая исключительно находит контроллеры домена Windows Server 2012. Это позволяет более гибко создавать однородные или разнородные леса с учетом операционных систем, под управлением которых могут работать контроллеры домена.
Подробнее о расположении контроллеров домена см. в статье Функции службы каталогов.
Единственной настраиваемой возможностью контроллера домена является служба DNS-сервера. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS для обеспечения высокой доступности в распределенных средах. Поэтому этот параметр выбран по умолчанию при установке контроллера домена в любом режиме или домене. Параметры "Глобальный каталог" и "Контроллер домена только для чтения" недоступны при создании корневого домена леса, потому что первый контроллер домена должен быть глобальным каталогом и не может быть контроллером домена только для чтения.
Назначаемый пароль режима восстановления служб каталогов должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.
Параметры DNS и учетные данные для делегирования DNS
На странице Параметры DNS можно настроить делегирование DNS и указать альтернативные учетные данные администратора DNS.
Вы не можете настроить параметры или делегирование DNS в мастере настройки доменных служб Active Directory при установке нового корневого домена леса Active Directory, если на странице Параметры контроллера домена был выбран параметр DNS-сервер . Параметр Создать DNS-делегирование доступен при создании корневой зоны DNS леса в существующей инфраструктуре DNS-серверов. Он позволяет указать альтернативные учетные данные администратора DNS с правами на обновление зоны DNS.
Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.
Дополнительные параметры
На странице Дополнительные параметры приводится NetBIOS-имя домена, которое вы можете переопределить. По умолчанию NetBIOS-имя домена совпадает с крайним левым компонентом полного доменного имени, указанного на странице Конфигурация развертывания. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.
Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Пути
Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot% (т. е. C:\Windows).
"Просмотреть параметры" и "Просмотреть скрипт"
Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.
На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Примечание.
Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.
Проверка необходимых компонентов
Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.
При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.
На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.
Подробнее о проверках предварительных требований см. в разделе Prerequisite Checking.
Установка
Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Примечание.
Из одной консоли диспетчера сервера можно одновременно запустить несколько мастеров установки роли и настройки доменных служб Active Directory.
Результаты
На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.
Развертывание леса с помощью Windows PowerShell
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью Windows PowerShell на компьютере с базовыми компонентами Windows Server 2012.
Процесс установки роли доменных служб Active Directory с помощью Windows PowerShell
Включив несколько простых командлетов из модуля ServerManager в процесс развертывания, можно еще более упростить администрирование доменных служб Active Directory.
На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска PowerShell.exe и заканчивая моментом перед повышением роли контроллера домена.
Командлет ServerManager | Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
---|---|
Install-WindowsFeature/Add-WindowsFeature | -Имя -Перезапуск -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Примечание.
Хотя аргумент -IncludeManagementTools необязателен, его настоятельно рекомендуется использовать при установке двоичных файлов роли доменных служб Active Directory.
Модуль ServerManager предоставляет доступ к частям нового модуля DISM для Windows PowerShell, предназначенным для установки, отслеживания состояния и удаления роли. Такая структура упрощает большинство задач и уменьшает потребность в прямом использовании эффективного (но опасного при неправильном применении) модуля DISM.
Для экспорта псевдонимов и командлетов ServerManager используйте командлет Get-Command .
Get-Command -module ServerManager
Например:
Чтобы добавить роль доменных служб Active Directory, просто выполните командлет Install-WindowsFeature с именем этой роли в качестве аргумента. Так же как при использовании диспетчера сервера, все службы, необходимые для роли доменных служб Active Directory, устанавливаются автоматически.
Install-WindowsFeature -name AD-Domain-Services
Если также требуется установить средства управления доменными службами Active Directory (настоятельно рекомендуем сделать это), укажите аргумент -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Например:
Чтобы вывести список всех компонентов и ролей с состоянием их установки, используйте командлет Get-WindowsFeature без аргументов. Чтобы получить состояние установки с удаленного сервера, укажите аргумент -ComputerName .
Get-WindowsFeature
Так как командлет Get-WindowsFeature не имеет механизма фильтрации, чтобы найти определенные компоненты, необходимо использовать командлет Where-Object с конвейером. Конвейер — это канал, по которому данные передаются между несколькими командлетами, а командлет Where-Object выступает в роли фильтра. Встроенная переменная $_ содержит текущий объект со всеми свойствами, передаваемый через конвейер.
Get-WindowsFeature | where-object <options>
Например, чтобы найти все компоненты, в свойстве Отображаемое имя которых имеется строка Active Dir, выполните следующую команду:
Get-WindowsFeature | where displayname -like "*active dir*"
Ниже приведены дополнительные примеры.
Подробнее о дополнительных операциях с конвейерами в Windows PowerShell и командлете Where-Object см. в статье Конвейерная передача и конвейер в Windows PowerShell.
Также обратите внимание на то, что в Windows PowerShell 3.0 значительно упростились аргументы командной строки, необходимые для выполнения этой конвейерной операции. В Windows PowerShell 2.0 потребовалась бы следующая команда:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
С помощью конвейера Windows PowerShell можно получить удобные для восприятия результаты. Например:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Обратите внимание на интересные данные, которые возвращает командлет Select-Object с аргументом -expandproperty :
Примечание.
Аргумент Select-Object -expandproperty немного снижает общую производительность установки.
Создание корневого домена леса доменных служб Active Directory с помощью Windows PowerShell
Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:
Install-addsforest
Выполнение командлета Install-AddsForest включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с единственным необходимым аргументом -domainname.
Командлет ADDSDeployment | Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.) |
---|---|
install-addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Примечание.
Аргумент -DomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Командлет и аргументы модуля ADDSDeployment, эквивалентные параметрам на странице Конфигурация развертывания в диспетчере сервера:
Install-ADDSForest
-DomainName <string>
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Параметры контроллера домена" в диспетчере сервера:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Если аргументы Install-ADDSForest не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.
Аргумент SafeModeAdministratorPassword действует особым образом.
Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Например, чтобы создать лес с именем corp.contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:
Install-ADDSForest "DomainName corp.contoso.com
Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Предупреждение
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Предупреждение
Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.
Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:
-SkipAutoConfigureDNS
Аргумент DomainNetBIOSName также действует особым образом.
Если в аргументе DomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени.
Если в аргументе DomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли.
Если в аргументе DomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени.
Если в аргументе DomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Дополнительные параметры" в диспетчере сервера:
-domainnetbiosname <string>
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути в диспетчере сервера:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest. Это позволит просмотреть явные и неявные значения аргументов командлета.
Например:
При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:
-skipprechecks
Предупреждение
Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.
Обратите внимание на то, что командлет Install-ADDSForest , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:
Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.
Предупреждение
Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.
См. также
службы домен Active Directory (портал TechNet)службы домен Active Directory для Windows Server 2008 R2службы домен Active Directory для Windows Server 2008Технический справочник по Windows Server (Windows Server 2003)Центр администрирования Active Directory: начало работы (Windows Server 2008 R2)Администрирование Active Directory с Помощью Windows PowerShell (Windows Server 2008 R2)Попросите группу служб каталогов (официальный блог технической поддержки Майкрософт)