Установка доменных служб Active Directory (уровень 100)
В этом разделе объясняется, как установить AD DS в Windows Server 2012 с помощью любого из следующих методов:
Требования к учетным данным для запуска Adprep.exe и установки служб домен Active Directory
Выполнение поэтапной установки RODC с помощью графического пользовательского интерфейса
Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory
Для запуска Adprep.exe и установки доменных служб Active Directory необходимы следующие учетные данные.
Чтобы установить новый лес, необходимо войти с учетной записью локального администратора компьютера.
Чтобы установить новый дочерний домен или новое доменное дерево, необходимо войти в систему с учетной записью участника группы администраторов предприятия.
Для установки дополнительного контроллера домена в существующем домене необходимо быть членом группы администраторов домена.
Примечание.
Если команда adprep.exe не выполняется отдельно, и вы устанавливаете первый контроллер домена под управлением Windows Server 2012 в существующем домене или лесу, вам будет предложено указать учетные данные для выполнения команд Adprep. Требуются следующие учетные данные.
Чтобы представить первый контроллер домена Windows Server 2012 в лесу, необходимо указать учетные данные для члена группы "Администраторы предприятия", группы "Администраторы схемы" и группы "Администраторы домена" в домене, на котором размещен главный элемент схемы.
Чтобы представить первый контроллер домена Windows Server 2012 в домене, необходимо указать учетные данные для члена группы администраторов домена.
Для установки первого контроллера домена только для чтения (RODC) в лесу необходимо ввести учетные данные члена группы администраторов предприятия.
Примечание.
Если вы уже выполнили adprep /rodcprep в Windows Server 2008 или Windows Server 2008 R2, вам не нужно снова запускать его для Windows Server 2012.
Установка AD DS с использованием Windows PowerShell
Начиная с Windows Server 2012, можно установить AD DS с помощью Windows PowerShell. Dcpromo.exe устарел, начиная с Windows Server 2012, но вы по-прежнему можете запускать dcpromo.exe с помощью файла ответов (dcpromo /unattend:<answerfile> или dcpromo /answer:<answerfile>). Возможность продолжить выполнение dcpromo.exe с файлом ответов в организациях, в которых инвестированы ресурсы в существующие средства автоматизации, дает им время на преобразование автоматизации с dcpromo.exe на Windows PowerShell. Дополнительные сведения о выполнении dcpromo.exe с файлом ответа см. в статье https://support.microsoft.com/kb/947034.
Дополнительные сведения об удалении AD DS с помощью Windows PowerShell см. в статье "Удаление AD DS" с помощью Windows PowerShell.
Начните с добавления роли с помощью Windows PowerShell. Эта команда служит для установки роли сервера доменных служб Active Directory и средств администрирования серверов AD DS и AD LDS, включая такие средства на базе графического интерфейса пользователя, как "Пользователи и компьютеры Active Directory", а также программы командной строки (например, dcdia.exe). При использовании Windows PowerShell средства администрирования сервера не устанавливаются по умолчанию. Необходимо указать "IncludeManagementTools для управления локальным сервером или установки средств удаленного администрирования сервера для управления удаленным сервером.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Перезагрузка потребуется только после завершения установки доменных служб Active Directory.
После этого можно выполнить данную команду, чтобы просмотреть доступные командлеты в модуле ADDSDeployment.
Get-Command -Module ADDSDeployment
Чтобы просмотреть список аргументов, которые можно указывать для командлетов, и их синтаксис, выполните следующие действия.
Get-Help <cmdlet name>
Например, чтобы просмотреть аргументы для создания незанятой учетной записи контроллера домена только для чтения (RODC), введите следующее.
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Дополнительные аргументы приведены в квадратных скобках.
Можно также загрузить новые примеры и общие понятия справки для командлетов Windows PowerShell. Дополнительные сведения см. в статье about_Updatable_Help.
Командлеты Windows PowerShell можно выполнять на удаленных серверах:
В Windows PowerShell используйте командлет Invoke-Command с командлетом ADDSDeployment. Например, чтобы установить доменные службы Active Directory на удаленном сервере с именем ConDC3 в домене contoso.com, введите следующее:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
–или–
- В диспетчере серверов создайте группу серверов, включающую удаленный сервер. Щелкните имя удаленного сервера правой кнопкой мыши и выберите Windows PowerShell.
В следующем разделе описан способ выполнения командлетов модуля ADDSDeployment для установки доменных служб Active Directory.
Установка нового корневого домена леса с помощью Windows PowerShell
Установка нового дочернего или дерева домена с помощью Windows PowerShell
Установка дополнительного контроллера домена (реплики) с помощью Windows PowerShell
Аргументы командлета ADDSDeployment
В следующей таблице перечислены аргументы командлетов ADDSDeployment в Windows PowerShell. Аргументы, выделенные жирным шрифтом, являются обязательными. Эквивалентные аргументы для dcpromo.exe указаны в скобках, если в Windows PowerShell они называются по-другому.
Допускается использование в параметрах Windows PowerShell аргументов $TRUE и $FALSE. Аргументы, которые $TRUE по умолчанию, не нужно указывать.
Для переопределения значений по умолчанию можно указать аргумент со значением $False. Например, так как -InstallDNS автоматически запускается для новой установки леса, если она не указана, единственный способ предотвратить установку DNS при установке нового леса — использовать:
-InstallDNS:$False
Аналогичным образом, так как -InstallDNS имеет значение по умолчанию $False если вы устанавливаете контроллер домена в среде, в которой не размещается DNS-сервер Windows Server, необходимо указать следующий аргумент, чтобы установить DNS-сервер:
-InstallDNS:$True
Аргумент | Description |
---|---|
Примечание учетных данных > ADPrepCredential <PS. Обязательно, если вы устанавливаете первый контроллер домена Windows Server 2012 в домене или лесу, а учетные данные текущего пользователя недостаточно для выполнения операции. | Указывает учетную запись члена группы администраторов предприятия и администраторов схемы, которая может подготовить лес, в соответствии с правилами Get-Credential и объектом PSCredential. Если значение не указано, используется значение аргумента учетных данных . |
AllowDomainControllerReinstall | Указывает, следует ли продолжать установку этого записываемого контроллера домена, хотя обнаружена другая записываемая учетная запись контроллера домена с тем же именем. Используйте значение $True только если полностью уверены, что учетная запись в настоящее время не используется другим контроллером домена, доступным для записи. Значение по умолчанию $False. Этот аргумент неприменим для контроллера домена только для чтения. |
AllowDomainReinstall | Указывает, воссоздается ли существующий домен. Значение по умолчанию $False. |
Строка AllowPasswordReplicationAccountName <[]> | Имена учетных записей пользователей, групп и компьютеров, чьи пароли могут быть реплицированы на данный контроллер домена только для чтения. Используйте пустую строку "", если значение должно быть пустым. По умолчанию разрешена только группа с разрешением репликации паролей RODC, которая изначально создается пустой. Введите значения в виде строкового массива. Например: Код -AllowPasswordReplicationAccountName "JSmith", "JSmithPC", "Branch Users" |
Строка ApplicationPartitionsToReplicate <[]>Примечание. В пользовательском интерфейсе нет эквивалентного параметра. Если установка выполняется через пользовательский интерфейс или с носителя, то все разделы приложений будут реплицированы. | Указывает разделы каталога приложений, которые следует реплицировать. Этот аргумент применяется только в том случае, если указан аргумент -InstallationMediaPath для установки с носителя (IFM). По умолчанию все разделы приложений реплицируются на основании собственных областей. Введите значения в виде строкового массива. Например: Код- -ApplicationPartitionsToReplicate "partition1", "partition2", "partition3" |
Confirm | Запрос подтверждения перед выполнением командлета. |
CreateDnsDelegation Note. Этот аргумент нельзя указать при запуске командлета Add-ADDReadOnlyDomainController. | Указывает, следует ли создавать делегирование DNS со ссылкой на новый DNS-сервер, устанавливаемый вместе с контроллером домена. Допустимо только для Active Directory с интегрированным DNS. Записи делегирования можно создавать только на DNS-серверах Майкрософт, которые подключены к сети и доступны. Записи делегирования невозможно создавать для доменов уровня, следующего непосредственно после таких доменов верхнего уровня, как .com, gov, .biz, .edu или доменов двухбуквенных кодов стран, например .nz и .au. Значение по умолчанию определяется автоматически на основании среды. |
Примечание учетных данных > PS. < Обязательно, только если учетные данные текущего пользователя недостаточно для выполнения операции. | Указывает учетную запись домена, которая может входить в домен, в соответствии с правилами Get-Credential и объектом PSCredential. Если значение не указано, используются учетные данные текущего пользователя. |
CriticalReplicationOnly | Указывает, следует ли операции установки доменных служб Active Directory выполнить только критичную репликацию перед перезагрузкой, после чего продолжить работу. Некритическая репликация выполняется после завершения установки и перезагрузки компьютера. Использовать этот аргумент не рекомендуется. В пользовательском интерфейсе эквивалента для этого параметра нет. |
Строка DatabasePath <> | Указывает полный путь к каталогу на фиксированном диске локального компьютера, содержащего базу данных домена, например C:\Windows\NTDS. Значение по умолчанию %SYSTEMROOT%\NTDS. Важно. Хотя вы можете хранить базу данных AD DS и файлы журналов в томах, отформатированных с помощью отказоустойчивой файловой системы (ReFS), нет конкретных преимуществ для размещения AD DS в ReFS, кроме обычных преимуществ устойчивости, которые вы получаете для размещения любых данных в ReFS. |
Строка DelegatedAdministratorAccountName <> | Указывает имя пользователя или группы, которые могут устанавливать и администрировать контроллер домена только для чтения. По умолчанию администрирование контроллера домена только для чтения разрешено только для членов группы администраторов домена. |
Строка DenyPasswordReplicationAccountName <[]> | Имена учетных записей пользователей, групп и компьютеров, чьи пароли не реплицируются на этот контроллер домена только для чтения. Используйте пустую строку "", если не нужно запрещать репликацию учетных данных всех пользователей или компьютеров. По умолчанию запрет распространяется на администраторов, операторов сервера, операторов архива, операторов учета и на группу с запрещением репликации паролей RODC. По умолчанию группа с запрещением репликации паролей RODC включает издателей сертификатов, администраторов домена, администраторов предприятия, Domain Controllers предприятия, Domain Controllers предприятия — только чтение, владельцев-создателей групповой политики, учетную запись krbtgt и администраторов схемы. Введите значения в виде строкового массива. Например: Код- -DenyPasswordReplicationAccountName "RegionalAdmins", "AdminPCs" |
Примечание учетных данных>DNSDelegationCredential <PS. Этот аргумент нельзя указать при запуске командлета Add-ADDReadOnlyDomainController. | Указывает имя пользователя и пароль для создания делегирования DNS в соответствии с правилами Get-Credential и объектом PSCredential. |
DomainMode DomainMode <> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Or DomainMode DomainMode <> {2 | 3 | 4 | 5 | 6} |
Указывает режим работы во время создания нового домена. Режим работы домена не может быть ниже режима работы леса, но может быть выше него. Значение по умолчанию определяется автоматически и устанавливается на уровне существующего режима работы леса, либо в соответствии со значением, заданным для аргумента -ForestMode. |
DomainName Обязательно для командлетов Install-ADDSForest и Install-ADDSDomainController. |
Полное доменное имя домена, в котором необходимо установить дополнительный контроллер домена. |
Строка DomainNetbiosName <> Обязательно для Install-ADDSForest, если имя префикса полного доменного имени превышает 15 символов. |
Используется с Install-ADDSForest. Присваивает NetBIOS-имя новому корневому домену леса. |
DomainType <> {ChildDomain | TreeDomain} или {child | tree} | Указывает тип создаваемого домена: новое дерево домена в существующем лесе, дочерний в существующем домене или новый лес. По умолчанию для DomainType принимается значение ChildDomain. |
Force | Если указан этот параметр, любые предупреждения, которые могут обычно отображаться во время установки и добавления контроллера домена, будут блокироваться, чтобы разрешить командлету завершить выполнение. Этот параметр можно использовать при создании сценария установки. |
ForestMode ForestMode <> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Or ForestMode ForestMode <> {2 | 3 | 4 | 5 | 6} |
Указывает режим работы при создании нового леса. Значение по умолчанию: Win2012. |
InstallationMediaPath | Расположение установочного носителя, который будет использоваться для установки нового контроллера домена. |
InstallDns | Указывает, следует ли установить и настроить в контроллере домена службу DNS-сервера. Для нового леса значение по умолчанию $True, и DNS-сервер устанавливается. В случае нового дочернего домена или доменного дерева, если родительский домен (или корневой домен леса в случае доменного дерева) уже содержит и хранит DNS-имена домена, то по умолчанию для этого параметра принимается значение $True. В случае установки контроллера домена в существующий домен, если значение этого параметра не указано и текущий домен уже содержит и хранит DNS-имена домена, то для этого параметра по умолчанию принимается значение $True. В противном случае, если доменные имена DNS размещаются вне Active Directory, то значение по умолчанию $False, и DNS-сервер не устанавливается. |
Строка LogPath <> | Полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:\Windows\Logs. Значение по умолчанию %SYSTEMROOT%\NTDS. Важно. Не сохраняйте файлы журнала Active Directory в томе данных, форматируемом с помощью отказоустойчивой файловой системы (ReFS). |
MoveInfrastructureOperationMasterRoleIfNecessary | Указывает, следует ли передавать роль главного узла инфраструктуры (также известную как гибкие отдельные главные операции или FSMO) на контроллер домена, который создается "в случае, если в настоящее время он размещен на глобальном сервере каталога", и вы не планируете создавать контроллер домена, который создается на глобальном сервере каталога. Укажите этот параметр для переноса роли хозяина инфраструктуры в создаваемый контроллер домена, если такой перенос необходим; в этом случае укажите параметр NoGlobalCatalog, если требуется оставить роль хозяина инфраструктуры в прежнем месте. |
Примечание строки > NewDomainName<: требуется только для Install-ADDSDomain. | Указывает одно доменное имя DNS-имя нового домена. Например, если необходимо создать новый дочерний домен с именем emea.corp.fabrikam.com, то в качестве значения этого аргумента следует указать emea. |
Строка NewDomainNetbiosName <> Обязательно для Install-ADDSDomain, если имя префикса полного доменного имени превышает 15 символов. |
Используется с Install-ADDSDomain. Присваивает NetBIOS-имя новому домену. Значение по умолчанию является производным от значения NewDomainName. |
NoDnsOnNetwork | Служба DNS отсутствует в сети. Этот параметр используется только в том случае, если для параметра IP сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Это значение означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае необходимо предварительно настроить в параметрах IP сетевого адаптера адрес DNS-сервера. Пропуск этого параметра (по умолчанию) указывает на то, что для обращения к DNS-серверу будут использоваться параметры клиента TCP/IP в сетевом адаптере на этом сервере. Следовательно, если не указывается данный параметр, необходимо предварительно настроить параметры клиента TCP/IP, указав адрес основного DNS-сервера. |
NoGlobalCatalog | Указывает, что контроллер домена не должен выполнять роль сервера глобального каталога. Контроллеры домена под управлением Windows Server 2012 устанавливаются с глобальным каталогом по умолчанию. Другими словами, эта процедура выполняется автоматически без вспомогательных вычислений, если не указано следующее: Код- -NoGlobalCatalog |
NoRebootOnCompletion | Указывает, перезагружать ли компьютер после завершения выполнения команды независимо от результата. По умолчанию компьютер перезагружается. Чтобы блокировать перезагрузку сервера, укажите следующее: Код- -NoRebootOnCompletion:$True В пользовательском интерфейсе эквивалента для этого параметра нет. |
Примечание строки > ParentDomainName<: обязательный для командлета Install-ADDSDomain | Указывает полное доменное имя существующего родительского домена. Этот аргумент используется при установке дочернего домена или нового доменного дерева. Например, если необходимо создать новый дочерний домен с именем emea.corp.fabrikam.com, то в качестве значения этого аргумента следует указать corp.fabrikam.com. |
ReadOnlyReplica | Указывает, следует ли устанавливать контроллер домена только для чтения (RODC). |
Строка ReplicationSourceDC <> | Полное доменное имя партнерского контроллера домена, с которого реплицируется информация домена. Значение по умолчанию вычисляется автоматически. |
Securestring SafeModeAdministratorPassword <> | Создает пароль учетной записи администратора, которая используется при загрузке компьютера в безопасном режиме или разновидности безопасного режима, например в режиме восстановления служб каталогов. По умолчанию используется пустой пароль. Необходимо ввести пароль. Пароль следует вводить в формате System.Security.SecureString, например так, как указывается в параметрах read-host -assecurestring или ConvertTo-SecureString. Аргумент SafeModeAdministratorPassword действует особым образом: если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета. Если задано без значения и нет других аргументов, указанных в командлете, командлет запрашивает ввод маскированного пароля без подтверждения. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. Например, можно вручную запрашивать пароль с помощью командлета Read-Host для запроса пользователя к безопасной строке:-safemodeadministratorpassword (read-host -query "Password:" -assecurestring). Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
Строка SiteName <> Является обязательным для командлета Add-addsreadonlydomaincontrolleraccount |
Указывает сайт, на котором устанавливается контроллер домена. При запуске Install-ADDSForest нет аргумента имени сайта, так как первый созданный сайт имеет значение Default-First-Site-Name. Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет этот сайт не создает. |
SkipAutoConfigureDNS | Пропуск автоматической настройки параметров клиента DNS, серверов пересылки и корневых ссылок. Данный аргумент действует только в том случае, если служба DNS-сервера уже установлена или устанавливается автоматически с аргументом -InstallDNS. |
Строка SystemKey <> | Системный ключ для носителя, с которого реплицируются данные. Значение по умолчанию none. Данные должны быть в формате, предоставленном командой read-host -assecurestring или ConvertTo-SecureString. |
Строка SysvolPath <> | Полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:\Windows\SYSVOL. Значение по умолчанию %SYSTEMROOT%\SYSVOL. Важно: SYSVOL не может храниться в томе данных, форматируемом с помощью отказоустойчивой файловой системы (ReFS). |
SkipPreChecks | Не запускает проверку необходимых компонентов до начала установки. Использовать этот параметр не рекомендуется. |
WhatIf | Показывает, что произойдет при запуске командлета. Командлет не выполняется. |
Указание учетных данных Windows PowerShell
С помощью Get-credential можно указать учетные данные, не отображая их в виде простого текста на экране.
Аргументы -SafeModeAdministratorPassword и LocalAdministratorPassword действуют особым образом:
Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Предупреждение
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Предупреждение
Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Зная пароль, они смогут персонифицировать сам контроллер домена и повысить уровень собственных привилегий в лесу Active Directory до максимального уровня.
Использование тестовых командлетов
Для каждого командлета ADDSDeployment предусмотрен соответствующий тестовый командлет. Тестовые командлеты выполняют только проверку необходимых компонентов для проведения установки; настройка параметров установки не осуществляется. Аргументы для каждого тестового командлета совпадают с соответствующим командлетом установки, но "SkipPreChecks недоступен для тестовых командлетов.
Тестовый командлет | Description |
---|---|
Test-ADDSForestInstallation | Запускает проверку предварительных требований для установки нового леса Active Directory. |
Test-ADDSDomainInstallation | Запускает проверку предварительных требований для установки нового домена в Active Directory. |
Test-ADDSDomainControllerInstallation | Запускает проверку предварительных требований для установки контроллера домена в Active Directory. |
Test-ADDSReadOnlyDomainControllerAccountCreation | Запускает проверку предварительных требований для добавления учетной записи контроллера домена только для чтения (RODC). |
Установка нового корневого домена леса с использованием Windows PowerShell
Синтаксис команд для установки нового леса следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Примечание.
Аргумент -DomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Например, чтобы установить новый лес с именем corp.contoso.com и запрашивать пароль DSRM для доступа к нему, введите следующее:
Install-ADDSForest -DomainName "corp.contoso.com"
Примечание.
DNS-сервер устанавливается по умолчанию при выполнении командлета Install-ADDSForest.
Чтобы установить новый лес с именем corp.contoso.com, создайте делегирование DNS в домене contoso.com, задайте режим работы домена Windows Server 2008 R2 и режим работы леса Windows Server 2008, установите базу данных Active Directory и SYSVOL на диск D:\, установите файлы журнала на диск E:\, дождитесь запроса на ввод пароля для режима восстановления служб каталогов и введите следующее:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Установка нового дочернего домена или домена дерева с использованием Windows PowerShell
Синтаксис команд для установки нового домена следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Примечание.
Аргумент -credential является обязательным только в том случае, если пользователь на данный момент не вошел в систему как член группы администраторов предприятия.
Аргумент -NewDomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Например, чтобы использовать учетные данные corp\EnterpriseAdmin1 для создания нового дочернего домена с именем child.corp.contoso.com, установите DNS-сервер, создайте делегирование DNS в домене corp.contoso.com, задайте режим работы домена Windows Server 2003, сделайте контроллер домена сервером глобального каталога на сайте с именем Houston, используйте DC1.corp.contoso.com в качестве контроллера домена источника репликации, установите базу данных Active Directory и SYSVOL на диск D:\, установите файлы журнала на диск E:\ и дождитесь запроса на ввод пароля для режима восстановления служб каталогов, но не дожидайтесь подтверждения команды, после чего введите следующее:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Установка дополнительного контроллера домена (реплики) с использованием Windows PowerShell
Синтаксис команд для установки дополнительного контроллера домена следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Чтобы установить контроллер домена и DNS-сервер в домене corp.contoso.com и получить запрос на ввод учетных данных администратора домена и пароля DSRM, введите следующее:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Если компьютер уже подключен к домену и пользователь является членом группы администраторов домена, можно использовать следующее:
Install-ADDSDomainController -DomainName "corp.contoso.com"
Чтобы получить запрос на ввод имени домена, введите следующее:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
Следующая команда использует учетные данные Contoso\EnterpriseAdmin1 для установки контроллера домена, доступного для записи, и сервера глобального каталога на сайт под именем Boston, установки DNS-сервера, создания делегирования DNS в домене contoso.com, установки с носителя, хранящегося в папке c:\ADDS IFM, установки базы данных Active Directory и SYSVOL на диск D:\, установки файлов журнала на диск E:\, автоматической перезагрузки сервера после завершения установки AD DS и получения запроса на ввод пароля для режима восстановления служб каталогов:
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Выполнение поэтапной установки контроллера домена только для чтения с использованием Windows PowerShell
Синтаксис команд для создания учетной записи RODC следующий. Дополнительные аргументы приведены в квадратных скобках.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
Синтаксис команд для прикрепления сервера к учетной записи RODC следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Например, чтобы создать учетную запись контроллера домена только для чтения с именем RODC1, выполните следующие действия:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Затем выполните следующие команды на сервере, который следует прикрепить к учетной записи RODC1. Сервер невозможно присоединить к домену. Сначала установите роль сервера и средства управления AD DS:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Затем выполните следующую команду, чтобы создать RODC:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Нажмите клавишу Y , чтобы подтвердить или включить аргумент подтверждения , чтобы предотвратить запрос подтверждения.
Установка доменных служб Active Directory с использованием диспетчера серверов
AD DS можно установить в Windows Server 2012 с помощью мастера добавления ролей в диспетчер сервера, а затем мастера настройки служб домен Active Directory, который начинается с Windows Server 2012. Мастер установки служб домен Active Directory (dcpromo.exe) устарел, начиная с Windows Server 2012.
В следующих разделах разъясняется способ создания пулов серверов для установки и управления доменными службами Active Directory на нескольких серверах, а также порядок использования мастеров для установки доменных служб Active Directory.
Создание пулов серверов
Диспетчер серверов может объединять в пул другие серверы сети при условии, что они доступны с компьютера, на котором запущен диспетчер серверов. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере серверов. Компьютер с запущенным диспетчером серверов автоматически включает себя в пул. Подробнее о пулах серверов см. в статье Добавление серверов в диспетчер сервера.
Примечание.
Для управления подключенным к домену компьютером с помощью диспетчера серверов на сервере рабочей группы или наоборот необходимы дополнительные действия по настройке. Дополнительные сведения см. в разделе "Добавление серверов и управление ими в рабочих группах" в разделе "Добавление серверов в диспетчер сервера".
Установка доменных служб Active Directory
Учетные данные администратора
Требования к учетным данным для установки доменных служб Active Directory могут отличаться в зависимости от выбранной конфигурации развертывания. Дополнительные сведения см. в разделе Credential requirements to run Adprep.exe and install Active Directory Domain Services.
Воспользуйтесь следующей процедурой, чтобы установить доменные службы Active Directory с использованием графического интерфейса пользователя. Шаги можно выполнять локально или удаленно. Более подробные объяснения этих шагов см. в следующих разделах:
Установка доменных служб Active Directory с использованием диспетчера серверов
В диспетчере сервера щелкните Управление и выберите Добавить роли и компоненты, чтобы запустить мастер добавления ролей.
На странице Перед началом работы нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, затем нажмите кнопку Далее.
На странице Выбор конечного сервера щелкните Выберите сервер из пула серверов, щелкните имя сервера, на который требуется установить доменные службы Active Directory, и нажмите кнопку Далее.
Чтобы выбрать удаленные серверы, предварительно создайте пул серверов и добавьте в него удаленные серверы. Подробнее о создании пулов серверов см. в статье Добавление серверов к диспетчеру серверов.
На странице Выбор ролей сервера щелкните Доменные службы Active Directory, затем в диалоговом окне Мастер добавления ролей и компонентов выберите Добавить компоненты и нажмите кнопку Далее.
На странице Выбор компонентов выберите дополнительные компоненты, которые следует установить, и нажмите кнопку Далее.
На странице Доменные службы Active Directory просмотрите информацию и нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки щелкните Установить.
На странице Результаты убедитесь в успешном завершении установки и щелкните Повысить роль этого сервера до уровня контроллера домена, чтобы запустить мастер настройки доменных служб Active Directory.
Внимание
Если в этот момент закрыть мастер добавления ролей без запуска мастера настройки доменных служб Active Directory, его можно перезапустить, щелкнув "Задачи" в диспетчере серверов.
На странице Конфигурация развертывания выберите один из вариантов:
Если вы устанавливаете дополнительный контроллер домена в существующем домене, нажмите кнопку "Добавить контроллер домена" в существующий домен и введите имя домена (например, emea.corp.contoso.com) или нажмите кнопку "Выбрать" , чтобы выбрать домен и учетные данные (например, указать учетную запись, которая является членом группы "Администраторы домена") и нажмите кнопку "Далее".
Примечание.
Имя домена и учетные данные текущего пользователя предоставляются по умолчанию, только если машина подключена к домену и выполняется локальная установка. Если доменные службы Active Directory устанавливаются на удаленный сервер, необходимо указать учетные данные. Если учетные данные текущего пользователя недостаточно для установки, нажмите кнопку "Изменить", чтобы указать разные учетные данные.
Дополнительные сведения см. в разделе "Установка контроллера домена Windows Server 2012" в существующем домене (уровень 200).
Если выполняется установка нового дочернего домена, щелкните Добавить новый домен в существующий лес, для параметра Выбор типа домена выберите значение Дочерний домен, введите или найдите DNS-имя родительского домена (например, corp.contoso.com), введите относительное имя нового дочернего домена (например, emea), введите учетные данные, необходимые для создания нового домена, затем нажмите кнопку Далее.
Дополнительные сведения см. в разделе "Установка нового дочернего домена Active Directory Active Directory 2012 Active Directory" или "Дерево" (уровень 200).
Если выполняется установка нового доменного дерева, щелкните Добавить новый домен в существующий лес, для параметра Выбор типа домена выберите значение Домен дерева, введите имя корневого домена (например, corp.contoso.com), DNS-имя нового домена (например, fabrikam.com) и учетные данные для создания нового домена, после чего нажмите кнопку Далее.
Дополнительные сведения см. в разделе "Установка нового дочернего домена Active Directory Active Directory 2012 Active Directory" или "Дерево" (уровень 200).
Если выполняется установка нового леса, щелкните Добавить новый лес и введите имя корневого домена (например, corp.contoso.com).
Дополнительные сведения см. в статье "Установка нового леса Active Directory в Windows Server 2012 (уровень 200)".
На странице Параметры контроллера домена выберите один из вариантов:
В случае создания нового леса или домена выберите режим работы домена и леса, щелкните DNS-сервер, укажите пароль DSRM и нажмите кнопку Далее.
Если выполняется добавление контроллера домена в существующий домен, щелкните DNS-сервер, Глобальный каталог (GC) или Контроллер домена только для чтения (RODC), выберите имя сайта и введите пароль DSRM, после чего нажмите кнопку Далее.
Дополнительные сведения о том, какие параметры на этой странице доступны или недоступны в различных условиях, см. в разделе "Параметры контроллера домена".
На странице Параметры DNS (которая отображается только в случае установки DNS-сервера) щелкните Обновить DNS-делегирование (при необходимости). В этом случае введите учетные данные с уровнем разрешений, достаточным для создания записей DNS-делегирования в родительской зоне DNS.
Если не удается связаться с сервером DNS, на котором располагается родительская зона, параметр Обновить DNS-делегирование будет недоступен.
Дополнительные сведения о необходимости обновления DNS-делегирования см. в статье Общее представление о делегировании зоны. Если вы попытаетесь обновить делегирование DNS и столкнулись с ошибкой, см . раздел "Параметры DNS".
На странице Параметры RODC (которая отображается только в случае установки контроллера домена только для чтения) укажите имя группы или пользователя, который будет управлять RODC, добавьте учетные записи в группы, которым разрешена или запрещена репликация паролей (либо удалите записи из этих групп), затем нажмите кнопку Далее.
Подробнее см. в разделе Политика репликации паролей.
На странице Дополнительные параметры выберите один из вариантов:
В случае создания нового домена введите новое NetBIOS-имя или проверьте NetBIOS-имя домена, предложенное по умолчанию, а затем нажмите кнопку Далее.
Если выполняется добавление контроллера домена в существующий домен, выберите контроллер домена, с которого следует реплицировать данные установки доменных служб Active Directory (или разрешите мастеру выбрать любой контроллер домена). В случае установки с носителя щелкните тип Путь установки с носителя и проверьте путь к исходным файлам установки, затем нажмите кнопку Далее.
Выполнять установку первого контроллера домена в домене с носителя (IFM) нельзя. IFM не работает в разных версиях операционных систем. Другими словами, чтобы установить дополнительный контроллер домена под управлением Windows Server 2012 с помощью IFM, необходимо создать резервный носитель на контроллере домена Windows Server 2012. Дополнительные сведения об IFM см. в разделе Установка дополнительного контроллера домена с использованием IFM.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL (либо примите расположения, предлагаемые по умолчанию) и нажмите кнопку Далее.
Внимание
Не храните базу данных Active Directory, файлы журнала и папку SYSVOL на томе данных, отформатированном для файловой системы ReFS.
На странице Параметры подготовки введите учетные данные, достаточные для выполнения команды adprep. Дополнительные сведения см. в разделе Credential requirements to run Adprep.exe and install Active Directory Domain Services.
На странице Просмотреть параметры подтвердите свой выбор, щелкните Просмотреть сценарий, если необходимо экспортировать параметры в сценарий Windows PowerShell, затем нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
На странице Результаты убедитесь, что сервер успешно настроен в качестве контроллера домена. Сервер будет автоматически перезагружен для завершения установки доменных служб Active Directory.
Выполнение поэтапной установки контроллера домена только для чтения с использованием графического пользовательского интерфейса
Поэтапная установка контроллера домена только для чтения позволяет создать RODC в два этапа. На первом этапе член группы администраторов домена создает учетную запись контроллера домена только для чтения. На втором этапе сервер прикрепляется к учетной записи контроллера домена только для чтения. Второй этап может выполнить член группы администраторов домена либо делегированный пользователь домена или группы.
Создание учетной записи контроллера домена только для чтения с использованием средств управления Active Directory
Создать учетную запись контроллера домена только для чтения можно с использованием пунктов "Центр администрирования Active Directory" или "Пользователи и компьютеры Active Directory".
Щелкните Пуск, Администрирование и Центр администрирования Active Directory.
В области навигации (левая панель) щелкните имя домена.
В списке "Управление" (центральная панель) щелкните организационное подразделение Domain Controllers.
На панели задач (правая панель) щелкните Предварительное создание учетной записи контроллера домена только для чтения.
-или-
На начальном экране выберите Администрирование, а затем выберите пункт Пользователи и компьютеры Active Directory.
Щелкните правой кнопкой мыши либо подразделение Domain Controllers, либо Domain Controllers, а затем выберите пункт Действие.
Выберите пункт Создать заранее учетную запись контроллера домена только для чтения.
На странице Вас приветствует мастер установки доменных служб Active Directory, если нужно изменить политику репликации паролей по умолчанию, установите флажок Использовать расширенный режим установки, а затем нажмите кнопку Далее.
На странице Сетевые учетные данные в разделе Укажите учетные данные для выполнения установки выберите пункт Мои текущие учетные данные или Альтернативные учетные данные и нажмите кнопку Установить. В диалоговом окне Безопасность Windows укажите имя пользователя и пароль учетной записи, которая обладает возможностью установки дополнительного контроллера домена. Чтобы установить дополнительный контроллер домена, необходимо быть членом группы "Администраторы предприятия" или "Администраторы домена". По завершении ввода учетных данных нажмите кнопку Далее.
На странице Задайте имя компьютера введите имя сервера, который будет контроллером домена только для чтения.
На странице Выбор сайта выберите сайт из списка либо выберите установку контроллера домена на сайте, соответствующем IP-адресу компьютера, на котором запущен мастер, и нажмите кнопку Далее.
На странице Дополнительные параметры контроллера домена выберите указанные ниже параметры и нажмите кнопку Далее.
DNS-сервер: этот параметр выбран по умолчанию, что дает контроллеру домена возможность работать в качестве DNS-сервера. Если контроллер домена не должен работать в качестве DNS-сервера, снимите флажок. Однако если не установить роль DNS-сервера на контроллере домена только для чтения, который является единственным контроллером домена в филиале, пользователи филиала не смогут выполнять разрешение имен при отсутствии соединения по глобальной сети с узловым сайтом.
Глобальный каталог: этот параметр выбран по умолчанию. Он добавляет глобальный каталог (доступные только для чтения разделы) в контроллер домена и позволяет использовать поиск по глобальному каталогу. Если контроллер домена не должен выполнять роль сервера глобального каталога, снимите флажок. Однако если не установить сервер глобального каталога в филиале или не включить возможность кэширования членства в универсальных группах для сайта, содержащего контроллер домена только для чтения, пользователи филиала не смогут входить в домен при отсутствии соединения по глобальной сети с узловым сайтом.
Контроллер домена только для чтения. При создании учетной записи контроллера домена только для чтения этот флажок устанавливается по умолчанию и снять его нельзя.
Если на странице Приветствие был установлен флажок Использовать расширенный режим установки, откроется страница Задайте политику репликации паролей. По умолчанию пароли учетных записей не реплицируются на контроллер домена только для чтения, а репликация паролей учетных записей, чувствительных к безопасности (таких как члены группы администраторов домена), на контроллере домена только для чтения явным образом запрещается.
Чтобы добавить к политике другие учетные записи, нажмите кнопку Добавить, затем выберите Разрешить репликацию паролей учетной записи на этот RODC либо Запретить репликацию паролей учетной записи на этот RODC, после чего выберите учетные записи.
Выполнив эти действия (или оставив настройку по умолчанию), нажмите кнопку Далее.
На странице Делегирование установки и администрирования RODC введите имя пользователя или группы, которые будут связывать сервер с создаваемой учетной записью контроллера домена только для чтения. Можно ввести имя только одного субъекта безопасности.
Чтобы найти в каталоге определенного пользователя или группу, нажмите кнопку Установить. В диалоговом окне Выбор пользователя или группы введите имя пользователя или группы. Рекомендуется делегировать права установки и администрирования контроллера домена только для чтения группе, а не пользователю.
После установки этот пользователь или группа также получат права локального администратора контроллера домена только для чтения. Если пользователь или группа не заданы, связать сервер с учетной записью может только член группы "Администраторы домена" или "Администраторы предприятия".
После завершения нажмите кнопку Далее.
На странице Сводка просмотрите выбранные параметры. Если требуется изменить какие-либо параметры, нажмите кнопку Назад.
Чтобы сохранить выбранные параметры установки в файл ответов, который можно использовать для автоматизации последующей работы доменных служб Active Directory, нажмите кнопку Экспорт параметров. Введите имя файла ответов и нажмите кнопку Сохранить.
Убедившись в правильности параметров, нажмите кнопку Далее, чтобы создать учетную запись контроллера домена только для чтения.
На странице Завершение мастера установки доменных служб Active Directory нажмите кнопку Готово.
После создания учетной записи RODC можно подключить сервер к учетной записи, чтобы завершить установку контроллера домена только для чтения. Данный второй этап можно выполнить в филиале, в котором будет находиться контроллер домена только для чтения. Сервер, на котором выполняется эта процедура, не должен быть подключен к домену. Начиная с Windows Server 2012, вы используете мастер добавления ролей в диспетчер сервера для подключения сервера к учетной записи RODC.
Связывание сервера с учетной записью контроллера домена только для чтения с использованием диспетчера серверов
Войдите в систему, используя учетную запись локального администратора.
В диспетчере серверов щелкните Добавить роли и компоненты.
На странице Перед началом работы нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, затем нажмите кнопку Далее.
На странице Выбор конечного сервера щелкните Выберите сервер из пула серверов, щелкните имя сервера, на который требуется установить доменные службы Active Directory, и нажмите кнопку Далее.
На странице Выбор ролей сервера щелкните Доменные службы Active Directory, выберите Добавить компоненты и нажмите кнопку Далее.
На странице Выбор компонентов выберите дополнительные компоненты, которые следует установить, и нажмите кнопку Далее.
На странице Доменные службы Active Directory просмотрите информацию и нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки щелкните Установить.
На странице Результаты убедитесь в наличии сообщения Установка прошла успешно и щелкните Повысить роль этого сервера до уровня контроллера домена, чтобы запустить мастер настройки доменных служб Active Directory.
Внимание
Если в этот момент закрыть мастер добавления ролей без запуска мастера настройки доменных служб Active Directory, его можно перезапустить, щелкнув "Задачи" в диспетчере серверов.
(media/Install-Active-Directory-Domain-Services-Level-100-/ADDS_SMI_Tasks.gif)
На странице Конфигурация развертывания щелкните Добавить контроллер домена в существующий домен, введите имя домена (например, emea.contoso.com) и учетные данные (например, укажите учетную запись, делегированную для управления и установки контроллера домена только для чтения), затем нажмите кнопку Далее.
На странице Параметры контроллера домена щелкните Использовать существующую учетную запись RODC, введите и подтвердите пароль для режима восстановления служб каталогов, затем нажмите кнопку Далее.
Если установка осуществляется с носителя, на странице Дополнительные параметры щелкните тип Путь для установки с носителя и проверьте путь к исходным файлам установки, выберите контроллер домена, с которого следует реплицировать данные установки доменных служб Active Directory (или разрешите мастеру выбрать любой контроллер домена), затем нажмите кнопку Далее.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL либо примите расположения, предлагаемые по умолчанию, и нажмите кнопку Далее.
На странице Просмотреть параметры подтвердите свой выбор, щелкните Просмотреть сценарий, чтобы экспортировать параметры в сценарий Windows PowerShell, и нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
Чтобы завершить установку AD DS, сервер будет автоматически перезагружен.
См. также
Устранение неполадок при развертыванииконтроллера домена установите новый лес Active Directory Windows Server 2012 (уровень 200)Установите новый дочерний домен Active Directory Windows Server 2012 Active Directory (уровень 200)Установите реплику контроллера домена Windows Server 2012 в существующем домене (уровень 200).