Поделиться через


Установка контроллера домена только для чтения (RODC) Active Directory в Windows Server 2012 (уровень 200)

В этой статье объясняется, как создать промежуточную учетную запись RODC, а затем подключить сервер к этой учетной записи во время установки RODC. В этой статье также объясняется, как установить RODC без выполнения поэтапной установки.

Рабочий процесс поэтапной установки RODC

Поэтапная установка контроллера домена только для чтения (RODC) состоит из двух отдельных этапов:

  1. подготовка незанятой учетной записи компьютера;

  2. подключение контроллера домена только для чтения к этой учетной записи во время повышения роли.

На схеме ниже показан процесс поэтапного создания контроллера домена только для чтения в доменных службах Active Directory, при котором пустая учетная запись компьютера RODC создается в домене с помощью центра администрирования Active Directory (Dsac.exe).

Схема, на которой показан промежуточный процесс промежуточного контроллера домена домен Active Directory служб только для чтения.

Этап RODC Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Add-addsreadonlydomaincontrolleraccount -SkipPreChecks

-DomainControllerAccountName

-DomainName

-SiteName

-AllowPasswordReplicationAccountName

-Мандат

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-NoGlobalCatalog

-InstallDNS

-ReplicationSourceDC

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Рабочий процесс подключения RODC

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы уже установили роль доменных служб Active Directory, подготовили учетную запись RODC и запустили процесс Повысить роль этого сервера до уровня контроллера домена с помощью диспетчера сервера для создания контроллера RODC в существующем домене и его подключения к промежуточной учетной записи компьютера.

Схема, на которой показан процесс конфигурации служб домен Active Directory, описанный выше.

Подключение RODC Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomaincontroller -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Мандат

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-InstallationMediaPath

-LogPath

-Norebootoncompletion

-ReplicationSourceDC

-SystemKey

-SYSVOLPath

-UseExistingAccount

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Промежуточная

Снимок экрана: Центр администрирования Active Directory, показывающий параметр учетной записи контроллера домена только для чтения, выделенный в области задач.

Чтобы выполнить поэтапное создание учетной записи компьютера для контроллера домена только для чтения, откройте центр администрирования Active Directory (Dsac.exe). Выберите имя домена в области навигации. В списке управления дважды щелкните элемент Контроллеры домена . Выберите учетную запись контроллера домена только для чтения в области задач.

Дополнительные сведения о Центре администрирования Active Directory см. в статье "Расширенный центр администрирования AD DS с помощью Центра администрирования Active Directory "Уровень 200" и обзор Центра администрирования Active Directory: начало работы.

Если у вас есть опыт создания контроллеров домена только для чтения, вы обнаружите, что мастер установки имеет тот же графический интерфейс, что и при использовании старой оснастки Пользователи и компьютеры Active Directory из Windows Server 2008 и использует тот же код, который включает экспорт конфигурации в формате автоматического файла, используемом устаревшим dcpromo.

Windows Server 2012 представляет новый командлет ADDSDeployment для этапов учетных записей компьютеров RODC, но мастер не использует командлет для своей операции. В следующих разделах приводится эквивалентный командлет и его аргументы, что позволит лучше понять связанную с ними информацию.

Предварительная создание ссылки учетной записи контроллера домена только для чтения в области задач Центра администрирования Active Directory эквивалентна командлету ADDSDeployment Windows PowerShell:

Add-addsreadonlydomaincontrolleraccount

Приветствие

Снимок экрана: страница приветствия мастера установки доменных служб Azure Directory с выбранным параметром

В диалоговом окне Вас приветствует мастер установки доменных служб Active Directory есть один параметр под названием Использовать расширенный режим установки. Выберите этот параметр и нажмите кнопку "Далее ", чтобы отобразить параметры политики репликации паролей. Чтобы использовать значения по умолчанию для параметров политики репликации паролей (рассматриваются подробнее далее в этом разделе), отключите этот параметр.

Сетевые учетные данные

Снимок экрана: страница

В диалоговом окне Сетевые учетные данные в поле доменного имени указан целевой домен по умолчанию для центра администрирования Active Directory. По умолчанию используются ваши текущие учетные данные. Если они не включают членство в группе "Администраторы домена", выберите "Альтернативные учетные данные" и выберите "Задать ", чтобы предоставить мастеру имя пользователя и пароль, который является членом администраторов домена.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-credential <pscredential>

Помните, что промежуточная система является прямым портом из Windows Server 2008 R2 и не предоставляет новые функции Adprep. Если вы планируете развернуть промежуточные учетные записи RODC, сначала необходимо сначала развернуть незамеченный RODC в этом домене, чтобы выполнить автоматическую операцию rodcprep или вручную запустить adprep.exe /rodcprep.

В противном случае вы получите ошибку. Вы не сможете установить контроллер домена только для чтения в этом домене, так как adprep /rodcprep еще не запущен.

Снимок экрана: предупреждение мастера установки доменных служб Azure Directory с сообщением о том, что adprep /rodcprep еще не запущен.

Задайте имя компьютера

Снимок экрана: страница

В диалоговом окне "Указать имя компьютера" необходимо ввести имя компьютера с одной меткой контроллера домена, который не существует. Контроллер домена, настроенный и присоединенный к этой учетной записи, должен иметь то же имя, или операция повышения не обнаружит промежуточной учетной записи.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-domaincontrolleraccountname <string>

Выберите сайт

Снимок экрана: страница

В диалоговом окне Выберите сайт приводится список сайтов Active Directory для текущего леса. Операция поэтапного создания контроллера домена только для чтения требует выбора одного сайта из списка. Контроллер RODC использует эту информацию для создания собственного объекта параметров NTDS в разделе конфигурации и подключения к соответствующему сайту при первом запуске после развертывания.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-sitename <string>

Дополнительные параметры контроллера домена

Снимок экрана: страница

В диалоговом окне Дополнительные параметры контроллера домена можно указать, что контроллер домена должен также выступать в роли DNS-сервера и глобального каталога. Корпорация Майкрософт рекомендует предоставлять службы DNS и GC только для чтения, поэтому оба контроллера домена устанавливаются по умолчанию; одно из намерений роли RODC — это сценарии филиала, в которых широкая сеть может быть недоступна и без этих служб DNS и глобальных каталогов, компьютеры в филиале не смогут использовать ресурсы и функциональные возможности AD DS.

Параметр Контроллер домена только для чтения (RODC) выбран по умолчанию, и отключить его нельзя. Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

Примечание.

По умолчанию значение -NoGlobalCatalog $false, что означает, что контроллер домена будет глобальным сервером каталога, если аргумент не указан.

Задайте политику репликации паролей

Снимок экрана: страница

Диалоговое окно Задайте политику репликации паролей позволяет изменить список учетных записей по умолчанию, которым разрешено кэшировать пароли в этом контроллере домена только для чтения. Учетные записи в списке, настроенные с помощью "Запретить " или неявные (неявные) не кэшируют свой пароль. Учетные записи, которые не разрешены кэшировать пароли в RODC и не могут подключаться и проходить проверку подлинности на контроллере домена, доступ к записываемому контроллеру домена не может получить доступ к ресурсам или функциям, предоставляемым Active Directory.

Внимание

Это диалоговое окно мастера выводится только в том случае, если на экране приветствия был установлен флажок Использовать расширенный режим установки . Если этот флажок снят, то в мастере используются следующие группы и значения по умолчанию:

  • Администраторы — Запретить
  • Операторы сервера — Запретить
  • Операторы архива — Запретить
  • Операторы учета — Запретить
  • Группа с запрещением репликации паролей RODC — Запретить
  • Группа с разрешением репликации паролей RODC — Разрешить

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Снимок экрана: диалоговое окно

Делегирование установки и администрирования RODC

Снимок экрана: страница

Диалоговое окно Делегирование установки и администрирования RODC позволяет настроить пользователя, которому разрешено подключать сервер к учетной записи компьютера RODC, или группу таких пользователей. Выберите "Задать" , чтобы просмотреть домен для пользователя или группы. Пользователь или группа, указанные в этом диалоговом окне, получают доступ к RODC с разрешениями локального администратора. Указанный пользователь или члены указанной группы могут выполнять операции в RODC с привилегиями, эквивалентными группе администраторов компьютера. Они не являются членами групп администраторов домена или встроенных администраторов домена.

С помощью этого параметра можно делегировать права на администрирование филиала, не предоставляя администраторам филиала членство в группе администраторов домена. Делегирование администрирования RODC не требуется.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-delegatedadministratoraccountname <string>

Итоги

Снимок экрана: страница сводки мастера установки доменных служб Azure Directory.

Диалоговое окно Сводка позволяет подтвердить параметры. Это последняя возможность прервать установку, прежде чем мастер создаст промежуточную учетную запись. Нажмите кнопку "Далее", когда вы будете готовы к созданию промежуточной учетной записи компьютера RODC. Выберите "Экспорт параметров" , чтобы сохранить файл ответа в устаревшем формате автоматического файла dcpromo.

Создание

Снимок экрана: страница хода выполнения мастера установки доменных служб Azure Directory.

Мастер установки доменных служб Active Directory поэтапно создает контроллер домена только для чтения в Active Directory. Отменить эту операцию после запуска невозможно.

Снимок экрана: последняя страница мастера установки доменных служб Azure Directory.

Чтобы поэтапно создать учетную запись компьютера для контроллера домена только для чтения с помощью модуля Windows PowerShell ADDSDeployment, используйте следующий командлет:

Add-addsreadonlydomaincontrolleraccount

См. информацию об обязательных и необязательных аргументах в разделе Stage RODC Windows PowerShell .

Так как add-add-addreadonlydomaincontrolleraccount имеет только одно действие с двумя этапами (проверка готовности и установка), на следующих снимках экрана показан этап установки с минимальными необходимыми аргументами.

Снимок экрана: окно PowerShell с полным командлетом Add-add-addreadonlydomaincontrolleraccount.

Снимок экрана: окно PowerShell с результатом командлета Add-add-addonlydomaincontrolleraccount.

Операция поэтапной установки контроллера RODC создает учетную запись компьютера RODC в Active Directory. В центре администрирования Active Directory свойство Тип контроллера домена имеет значение Незанятая учетная запись контроллера домена. Этот тип контроллера домена указывает на то, что промежуточная учетная запись RODC готова к подключению сервера в качестве контроллера домена только для чтения.

Снимок экрана: Центр администрирования Active Directory с выделенной выделенной учетной записью контроллера домена.

Внимание

Центр администрирования Active Directory больше не нужен для подключения сервера к учетной записи контроллера домена только для чтения. Чтобы подключить контроллер RODC к промежуточной учетной записи, используйте диспетчер сервера и мастер настройки доменных служб Active Directory или командлет Install-AddsDomainController из модуля Windows PowerShell ADDSDeployment. Порядок действий при этом тот же, что и при добавлении нового доступного для чтения контроллера домена в существующий домен, за тем исключением, что предварительно подготовленная учетная запись RODC содержит параметры конфигурации, заданные при поэтапном создании учетной записи компьютера RODC.

присоединения

Конфигурация развертывания

Снимок экрана: страница

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы добавить контроллер домена только для чтения в существующий домен, нажмите кнопку "Добавить контроллер домена" в существующий домен и нажмите кнопку "Выбрать", чтобы указать сведения о домене для этого домена. диспетчер сервера автоматически запрашивает допустимые учетные данные или вы можете выбрать Изменение.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Мастер настройки служб домен Active Directory предложит вам позже, если у ваших текущих учетных данных нет достаточных разрешений или членства в группах.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Параметры контроллера домена

Снимок экрана: страница

На странице "Параметры контроллера домена" показаны параметры контроллера домена для нового контроллера домена. При загрузке этой страницы мастер настройки доменных служб Active Directory отправляет существующему контроллеру домена запрос LDAP для проверки незанятых учетных записей. Если запрос находит незанятую учетную запись компьютера контроллера домена, которая использует то же имя, что и текущий компьютер, мастер отображает информационное сообщение в верхней части страницы, которая считывает созданную учетную запись RODC, соответствующую имени целевого сервера, существует в каталоге. Выберите, следует ли использовать эту существующую учетную запись RODC или переустановить этот контроллер домена. Мастер использует существующую учетную запись RODC в качестве конфигурации по умолчанию.

Внимание

Если в контроллере домена произошла физическая неполадка и он не может восстановить работоспособность, вы можете использовать параметр Переустановить этот контроллер домена . Это позволит сэкономить время при настройке контроллера домена для замены благодаря тому, что учетная запись компьютера контроллера домена и метаданные объекта остаются в Active Directory. Установите новый компьютер с тем же именемповысьте его роль до контроллера домена. Параметр переустановки этого контроллера домена недоступен, если вы удалили метаданные объекта контроллера домена из Active Directory (очистка метаданных).

Невозможно настроить параметры контроллера домена при присоединении сервера к учетной записи компьютера RODC. Параметры контроллера домена настраиваются при создании предварительно подготовленной учетной записи компьютера RODC.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Внимание

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не предпочтительное использование при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Дополнительные параметры

Снимок экрана: страница

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). Флажок "Установить из носителя " предоставляет параметр обзора после выбора, и необходимо выбрать "Проверить", чтобы убедиться , что указанный путь является допустимым.

Рекомендации по источнику IFM:

  • Носитель, используемый параметром IFM, создается с помощью резервного копирования Windows Server или Ntdsutil.exe из другого существующего контроллера домена Windows Server с той же версией операционной системы. Например, нельзя использовать windows Server 2008 R2 или предыдущую операционную систему для создания носителя для контроллера домена Windows Server 2012.
  • Исходные данные IFM должны быть из записываемого контроллера домена. Хотя источник из RODC технически работает для создания нового RODC, существуют ложные положительные предупреждения репликации о том, что источник RODC источника IFM не реплицирует.

Дополнительные сведения об изменениях в IFM см. в разделе Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Снимок экрана: окно командной строки с результатами выполнения ntdsutil.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Пути

Снимок экрана: страница

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана: страница

Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Это не последняя возможность остановить установку с помощью диспетчер сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации. На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Снимок экрана: окно PowerShell с результатами командлета Install-ADDSDomainController.

Проверка необходимых компонентов

Снимок экрана: страница проверки необходимых компонентов мастера настройки служб домен Active Directory.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Процесс установки контроллера домена не может продолжаться до тех пор, пока не будут пройдены все предварительные тесты.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. Дополнительные сведения о проверках соблюдения предварительных условий см. в разделе Prerequisite Checking.

Невозможно обойти проверку готовности при использовании диспетчер сервера, но при использовании командлета развертывания AD DS можно пропустить этот процесс с помощью следующего аргумента:

-skipprechecks

Предупреждение

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Выберите " Установить", чтобы начать процесс продвижения контроллера домена. Это последняя возможность отменить установку. Вы не можете отменить процесс продвижения после начала. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Снимок экрана: страница установки мастера настройки служб домен Active Directory.

При отображении страницы установки конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

См. информацию об обязательных и необязательных аргументах в разделе Attach RODC Windows PowerShell .

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -useexistingaccountи -credential. Обратите внимание на то, что командлет Install-ADDSDomainController , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Снимок экрана: окно PowerShell с результатом командлета Install-addsdomaincontroller.

Снимок экрана: окно PowerShell, показывающее ход выполнения проверки и установки.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Результаты

Снимок экрана: страница

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Процесс создания RODC без предварительной подготовки

На следующей схеме показан процесс настройки служб домен Active Directory, когда вы ранее установили роль AD DS и запустили мастер настройки служб домен Active Directory с помощью диспетчер сервера Создание нового контроллера домена, не относящемся только для чтения, в существующем домене Windows Server 2012.

Схема, показывающая процесс контроллера домена только для чтения домен Active Directory служб, как описано выше, без промежуточного рабочего процесса.

Создание RODC без предварительной подготовки с помощью Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Мандат

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-DNSOnNetwork

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SystemKey

-SYSVOLPath

-AllowPasswordReplicationAccountName

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-ReadOnlyReplica

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Развертывание RODC без предварительной подготовки

Конфигурация развертывания

Снимок экрана: страница

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы добавить контроллер домена только для чтения в существующий домен Windows Server 2012, выберите "Добавить контроллер домена" в существующий домен и нажмите кнопку "Выбрать", чтобы указать сведения о домене для этого домена. диспетчер сервера автоматически запрашивает допустимые учетные данные или вы можете выбрать Изменение.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Мастер настройки служб домен Active Directory предложит вам позже, если у ваших текущих учетных данных нет достаточных разрешений или членства в группах.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Параметры контроллера домена

Снимок экрана: страница

На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбирается сайт с наиболее подходящей подсетью. Если есть только один сайт, он выбирает этот сайт автоматически.

Внимание

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Всегда выбирайте надежный, сложный пароль или, что еще лучше, парольную фразу. Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Внимание

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не предпочтительное использование при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Параметры RODC

Снимок экрана: страница параметров RODC мастера настройки служб домен Active Directory при отсутствии промежуточного развертывания.

На странице Параметры RODC можно изменить следующие параметры:

  • Делегированная учетная запись администратора.

  • Учетные записи, которым разрешено реплицировать пароли в RODC.

  • Учетные записи, которым запрещено реплицировать пароли в RODC.

Делегированные учетные записи администратора получают локальные права администратора для RODC. Эти пользователи могут работать с привилегиями, эквивалентными группе администраторов локального компьютера. Они не являются членами администраторов домена или встроенных групп администраторов домена. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. Настройка делегирования администрирования не требуется.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-delegatedadministratoraccountname <string>

Учетные записи, которые не разрешены кэшировать пароли в RODC и не могут подключаться и проходить проверку подлинности на контроллере домена, доступ к записываемому контроллеру домена не может получить доступ к ресурсам или функциям, предоставляемым Active Directory.

Внимание

Если параметр не изменяется, используются группы и значения по умолчанию:

  • Администраторы — Запретить
  • Операторы сервера — Запретить
  • Операторы архива — Запретить
  • Операторы учета — Запретить
  • Группа с запрещением репликации паролей RODC — Запретить
  • Группа с разрешением репликации паролей RODC — Разрешить

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Снимок экрана: диалоговое окно выбора пользователя, компьютера, учетной записи службы.

Дополнительные параметры

Снимок экрана: страница

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). Флажок "Установить из носителя " предоставляет параметр обзора после выбора, и необходимо выбрать "Проверить", чтобы убедиться , что указанный путь является допустимым.

Рекомендации по источнику IFM:

  • Носитель, используемый параметром IFM, создается с помощью резервного копирования Windows Server или Ntdsutil.exe из другого существующего контроллера домена Windows Server с той же версией операционной системы. Например, нельзя использовать windows Server 2008 R2 или предыдущую операционную систему для создания носителя для контроллера домена Windows Server 2012.
  • Исходные данные IFM должны быть из записываемого контроллера домена. Хотя источник из RODC технически работает для создания нового RODC, существуют ложные положительные предупреждения репликации о том, что источник RODC источника IFM не реплицирует.

Дополнительные сведения об изменениях в IFM см. в разделе Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Снимок экрана: окно командной строки с результатами выполнения ntdsutil при отсутствии промежуточного развертывания.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Пути

Снимок экрана: страница

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Параметры подготовки

Снимок экрана: страница

На странице Параметры подготовки выводится оповещение о том, что настройка доменных служб Active Directory включает в себя расширение схемы (forestprep) и обновление домена (domainprep). Эта страница отображается только в том случае, если лес или домен не был подготовлен предыдущей установкой контроллера домена Windows Server 2012 или вручную запущен Adprep.exe. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новую реплику контроллера домена в существующий корневой домен леса Windows Server 2012.

Расширение схемы и обновление домена не происходит при нажатии кнопки "Далее". Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.

На этой странице также проверяется, является ли текущий пользователь членом групп "Администраторы схемы" и "Администраторы предприятия". Членство в этих группах необходимо для расширения схемы и подготовки домена. Выберите "Изменить ", чтобы предоставить соответствующие учетные данные пользователя, если страница сообщает о том, что текущие учетные данные не предоставляют достаточных разрешений.

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

-adprepcredential <pscredential>

Внимание

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена в Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную.

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана: страница

Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Это не последняя возможность остановить установку с помощью диспетчер сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Снимок экрана: окно PowerShell с результатами командлета Install-ADDSDomainController при отсутствии промежуточного развертывания.

Проверка необходимых компонентов

Снимок экрана: страница проверки предварительных требований мастера настройки служб домен Active Directory при отсутствии промежуточного развертывания.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Процесс контроллера домена не может продолжаться до тех пор, пока не будут пройдены все предварительные тесты.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Невозможно обойти проверку готовности при использовании диспетчер сервера, но при использовании командлета развертывания AD DS можно пропустить этот процесс с помощью следующего аргумента:

-skipprechecks

Выберите " Установить", чтобы начать процесс продвижения контроллера домена. Это последняя возможность отменить установку. Вы не можете отменить процесс продвижения после начала. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Снимок экрана: страница установки мастера настройки служб домен Active Directory при отсутствии промежуточного развертывания.

При отображении страницы установки конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

Дополнительные и необязательные аргументы см. в таблице командлетов ADDSDeployment в начале этого раздела.

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -readonlyreplica, -sitenameи -credential. Обратите внимание на то, что командлет Install-ADDSDomainController , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Снимок экрана: окно PowerShell с результатом командлета Install-addsdomaincontroller при отсутствии промежуточного развертывания.

Снимок экрана: окно PowerShell, показывающее ход выполнения проверки и установки при отсутствии промежуточного развертывания.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться. Если выйти из контроллера домена, то снова войти в него в интерактивном режиме не удастся, пока он не будет перезапущен.

Результаты

Снимок экрана: страница

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.