Installieren von Active Directory-Domänendiensten (Stufe 100)

Gilt für: Windows Server 2012 R2, Windows Server 2012

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="de-DE">In diesem Thema wird die Installation von AD DS in Windows Server 2012 mithilfe einer der folgenden Methoden erläutert:Credential requirements to run Adprep.exe and install Active Directory Domain Services Installing AD DS by Using Windows PowerShell Installing AD DS by using Server Manager Performing a Staged RODC Installation using the Graphical User Interface Anforderungen an die Anmeldeinformationen für die Ausführung von "Adprep.exe" und die Installation der Active Directory-DomänendiensteZum Ausführen von "Adprep.exe" und Installieren von AD DS sind die folgenden Anmeldeinformationen erforderlich.Zum Installieren einer neuen Gesamtstruktur müssen Sie als lokaler Administrator für den Computer angemeldet sein.Zum Installieren einer neuen untergeordneten Domäne oder einer neuen Domänenstruktur müssen Sie als Mitglied der Gruppe "Organisations-Admins" angemeldet sein.Zum Installieren eines zusätzlichen Domänencontrollers in einer vorhandenen Domäne müssen Sie ein Mitglied der Gruppe "Domänen-Admins" sein.Wenn Sie den Befehl "adprep.exe" nicht separat ausführen und Sie den ersten Domänencontroller, auf dem Windows Server 2012 ausgeführt wird, in einer vorhandenen Domäne oder Gesamtstruktur installieren, werden Sie zum Angeben von Anmeldeinformationen zum Ausführen von Adprep-Befehlen aufgefordert. Die Anforderungen an die Anmeldeinformationen lauten wie folgt:Zum Einfügen des ersten Windows Server 2012-Domänencontrollers in die Gesamtstruktur müssen Sie Anmeldeinformationen für ein Mitglied der Gruppe "Organisations-Admins", "Schema-Admins" und "Domänen-Admins" in der Domäne angeben, die den Schemamaster hostet.Zum Einfügen des ersten Windows Server 2012-Domänencontrollers in eine Domäne müssen Sie Anmeldeinformationen für ein Mitglied der Gruppe "Domänen-Admins" angeben.Zum Einfügen des ersten schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) in die Gesamtstruktur müssen Sie Anmeldeinformationen für ein Mitglied der Gruppe "Organisations-Admins" angeben.Wenn Sie "adprep /rodcprep" bereits in Windows Server 2008 oder Windows Server 2008 R2 ausgeführt haben, ist keine erneute Ausführung für Windows Server 2012 erforderlich.Installieren von AD DS mithilfe von Windows PowerShellAb Windows Server 2012 können Sie AD DS mit Windows PowerShell installieren. „Dcpromo.exe“ gilt zwar ab Windows Server 2012 als veraltet, Sie können „Dcpromo.exe“ jedoch weiterhin mithilfe einer Antwortdatei (dcpromo /unattend:<Antwortdatei> oder dcpromo /answer:<Antwortdatei>) ausführen. Die Möglichketi der weiteren Ausführung von "dcpromo.exe" mithilfe einer Antwortdatei gibt Organisationen, die Ressoucen in die vorhandene Automatisierung investiert haben, Zeit zum Konvertieren der Automatisierung von "dcpromo.exe" in Windows PowerShell. Weitere Informationen zum Ausführen von Antwortdatei mit einer Antwortdatei finden Sie unter https://support.microsoft.com/kb/947034https://support.microsoft.com/kb/947034.Weitere Informationen zum Entfernen von AD DS mit Windows PowerShell finden Sie unter Remove AD DS using Windows PowerShell.Beginnen Sie mit dem Hinzufügen der Rolle mithilfe von Windows PowerShell. Über diesen Befehl werden die AD DS-Serverolle und die AD LDS-Serververwaltungstools installiert, einschließlich GUI-basierter Tools wie Active Directory-Benutzer und -Computer und Befehlszeilentools wie "dcdia.exe". Serververwaltungstools werden bei Verwendung von Windows PowerShell nicht standardmäßig installiert. Zum Verwalten des lokalen Servers müssen Sie –IncludeManagementTools angeben, und zum Verwalten eines Remoteservers müssen Sie Remoteserver-Verwaltungstoolshttps://www.microsoft.com/download/details.aspx?id=28972 installieren.Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools <<Windows PowerShell cmdlet and arguments>>Ein Neustart ist erst nach Abschluss der AD DS-Installation erforderlich.Anschließend können Sie diesen Befehl ausführen, um die verfügbaren Cmdlets im Modul "ADDSDeployment" anzuzeigen.Get-command –module ADDSDeploymentSo zeigen Sie die Liste der Argumente an, die für Cmdlets und eine Syntax angegeben werden kann Get-help <cmdlet name>Wenn Sie beispielsweise die Argumente zum Erstellen eines nicht belegten, schreibgeschützten RODC-Kontos anzeigen möchten, geben Sie Folgendes ein:Get-help Add-ADDSReadOnlyDomainControllerAccountOptionale Argumente werden in viereckigen Klammern angezeigt.Sie können auch die neuesten Hilfebeispiele und Konzepte für Windows PowerShell-Cmdlets herunterladen. Weitere Informationen finden Sie unter about_Updatable_Helphttps://technet.microsoft.com/library/hh847735.aspx.Sie können Windows PowerShell-Cmdlets für Remoteserver ausführen: Verwenden Sie in Windows PowerShell "invoke-command" zusammen mit dem Cmdlet "ADDSDeployment". Wenn Sie beispielsweise AD DS auf einem Remoteserver mit der Bezeichnung "ConDC3" in der Domäne "contoso.com" installieren möchten, geben Sie Folgendes ein:invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3– oder –Erstellen Sie in Server-Manager eine Servergruppe, die den Remoteserver beinhaltet. Klicken Sie mit der rechten Maustaste auf den Namen des Remoteservers, und klicken Sie auf Windows PowerShell.In den nächsten Abschnitten wird die Ausführung des Moduls "ADDSDeployment" zum Installieren von AD DS erläutert.ADDSDeployment cmdlet arguments Specifying Windows PowerShell Credentials Using test cmdlets Installing a new forest root domain using Windows PowerShell Installing a new child or tree domain using Windows PowerShell Installing an additional (replica) domain controller using Windows PowerShell Argumente für das Cmdlet "ADDSDeployment"In der folgenden Tabelle sind die Argument für die Cmdlets "ADDSDeployment" in Windows PowerShell aufgeführt. Erforderliche Argumente sind fett markiert. Äquivalente Argumente für "dcpromo.exe" werden in Klammern aufgelistet, wenn sie in Windows PowerShell anders bezeichnet werden.Für Windows PowerShell-Switches sind die Argumente $TRUE oder $FALSE zulässig. Argumente, die standardmäßig "$True" sind, müssen nicht angegeben werden.Wenn Sie Standardwerte überschreiben möchten, können Sie das Argument mit dem Wert "$False" angeben. Beispiel: Da -installdns auch bei fehlender Angabe während der Installation einer neuen Gesamtstruktur automatisch ausgeführt wird, können Sie die DNS-Installation beim Installieren einer neuen Gesamtstruktur nur verhindern, indem Sie das folgende Argument verwenden:-InstallDNS:$falseDa –installdns den Standardwert "$False" hat, müssen Sie beim Installieren eines Domänencontrollers in einer Umgebung, in der kein Windows Server-DNS-Server gehostet wird, für die DNS-Server-Installation gleichermaßen das folgende Argument angeben:-InstallDNS:$trueArgumentBeschreibungADPrepCredential <PS-Anmeldeinformationen>Erforderlich, wenn Sie den ersten Windows Server 2012-Domänencontroller in einer Domäne oder Gesamtstruktur installieren und die Anmeldeinformationen des aktuellen Benutzers zum Ausführen des Vorgangs unzureichend sind.Gibt das in den Gruppen „Organisations-Admins“ und „Schema-Admins“ enthaltene Konto an, mit dem die Gesamtstruktur vorbereitet werden kann, (gemäß den Regeln von Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx) und ein PSCredential-Objekt an.Wenn kein Wert angegeben wird, wird der Wert des Arguments –credential verwendet.AllowDomainControllerReinstallGibt an, ob die Installation dieses beschreibbaren Domänencontrollers fortgesetzt werden soll, obwohl ein weiteres beschreibbares Domänencontrollerkonto mit demselben Namen erkannt wird.Verwenden Sie den Wert $True nur dann, wenn Sie sicher sind, dass das Konto derzeit von keinem anderen beschreibbaren Domänencontroller verwendet wird.Der Standardwert lautet $False.Für einen RODC ist dieses Argument nicht gültig.AllowDomainReinstallGibt an, ob eine vorhandene Domäne neu erstellt wird.Der Standardwert lautet $False.AllowPasswordReplicationAccountName <Zeichenfolge []>Gibt die Namen der Benutzer-, Gruppen- und Computerkonten an, deren Kennwörter auf diesen RODC repliziert werden können. Verwenden Sie eine leere Zeichenfolge "", wenn Sie keinen Wert angeben möchten. Standardmäßig ist nur die "Zulässige RODC-Kennwortreplikationsgruppe" zulässig, und sie wird ursprünglich leer erstellt.Geben Sie die Werte als Zeichenfolgenarray an. Beispiel:-AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users"ApplicationPartitionsToReplicate <Zeichenfolge []>Die UI enthält keine äquivalente Option. Wenn Sie die Installation mithilfe der UI oder mit IFM vornehmen, werden alle Anwendungspartitionen repliziert.Gibt die zu replizierenden Anwendungsverzeichnispartitionen an. Dieses Argument wird nur dann bereitgestellt, wenn Sie für das Argument -InstallationMediaPath die Installation von einem Medium (IFM) angeben. Standardmäßig werden alle Anwendungspartitionen basierend auf ihrem eigenen Bereich repliziert.Geben Sie die Werte als Zeichenfolgenarray an. Beispiel:-ApplicationPartitionsToReplicate "partition1","partition2","partition3"ConfirmSie werden vor dem Ausführen des Cmdlets zur Bestätigung aufgefordert.CreateDNSDelegationWenn Sie das Cmdlet "Add-ADDSReadOnlyDomainController" ausführen, können Sie dieses Argument nicht angeben.Gibt an, ob eine DNS-Delegierung mit Verweis auf den neuen DNS-Server erstellt werden soll, den Sie zusammen mit dem Domänencontroller installieren. Nur gültig für in Active Directory integriertes DNS. Delegierungseinträge können nur auf Microsoft DNS-Servern erstellt werden, die online sind und auf die zugegriffen werden kann. Delegierungseinträge können nicht für Domänen erstellt werden, die Domänen auf höchster Ebene wie ".com", ".gov", ".biz", ".edu" oder Domänen mit zweistelligem Ländercode wie ".nz" und ".au" direkt untergeordnet sind.Der Standardwert wird auf Grundlage der Umgebung automatisch berechnet.Credential < PS-Anmeldeinformationen >Nur erforderlich, wenn die Anmeldeinformationen des aktuellen Benutzers zum Ausführen des Vorgangs unzureichend sind.Gibt das Domänenkonto an, unter dem eine Anmeldung bei der Domäne gemäß den Regeln von Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx und eines PSCredential-Objekts möglich ist.Wenn kein Wert angegeben wird, werden die Anmeldeinformationen des aktuellen Benutzers verwendet.CriticalReplicationOnlyGibt an, ob der AD DS-Installationsvorgang vor dem Neustart nur eine kritische Replikation ausführt und dann fortgesetzt wird. Die nicht kritische Replikation erfolgt, nachdem die Installation abgeschlossen und der Computer neu gestartet wurde.Die Verwendung dieses Arguments wird nicht empfohlen.Die Benutzeroberfläche (User Interface, UI) enthält keine äquivalente Option.DatabasePath <Zeichenfolge>Gibt den vollqualifizierten, Nicht-UNC-Pfad (Universal Naming Convention) zu einem Verzeichnis auf einem festen Datenträger auf dem lokalen Computer an, der die Domänendatenbank enthält, z. B. C:\Windows\NTDS.Der Standardwert lautet %SYSTEMROOT%\NTDS.Sie können die AD DS-Datenbank und -Protokolldateien zwar auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatierten Volume speichern, das Hosten von AD DS unter ReFS bietet jedoch abgesehen von den gewohnten Vorteilen der Stabilität beim Hosten von Daten unter ReFS keine besonderen Vorzüge.DelegatedAdministratorAccountName <Zeichenfolge>Gibt den Namen des Benutzers oder der Gruppe an, der bzw. die den RODC installieren und verwalten kann.Standardmäßig kann der RODC nur von Mitgliedern der Gruppe "Domänen-Admins" verwaltet werden.DenyPasswordReplicationAccountName <Zeichenfolge []>Gibt die Namen von Benutzer-, Gruppen- und Computerkonten an, deren Kennwörter nicht auf diesen RODC repliziert werden sollen. Geben Sie eine leere Zeichenfolge "" an, wenn Sie die Replikation von Anmeldeinformationen von Benutzern oder Computern nicht verweigern möchten. Standardmäßig erfolgt eine Verweigerung für "Administratoren", "Server-Operatoren", "Sicherungs-Operatoren", "Konten-Operatoren" und die "Abgelehnte RODC-Kennwortreplikationsgruppe". Standardmäßig beinhaltet die "Abgelehnte RODC-Kennwortreplikationsgruppe" die Gruppen "Zertifikatherausgeber", "Domänen-Admins", "Organisations-Admins", "Domänencontroller der Organisation", "Schreibgeschützte Domänencontroller der Organisation", "Richtlinien-Ersteller-Besitzer", das krbtgt-Konto sowie die Gruppe "Schema-Admins".Geben Sie die Werte als Zeichenfolgenarray an. Beispiel:-DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs"DnsDelegationCredential <PS-Anmeldeinformationen>Wenn Sie das Cmdlet "Add-ADDSReadOnlyDomainController" ausführen, können Sie dieses Argument nicht angeben.Gibt den Benutzernamen und das Kennwort zum Erstellen der DNS-Delegierung gemäß den Regeln von Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx und eines „PSCredential“-Objekts an.DomainMode <Domänenmodus> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OderDomainMode <Domänenmodus> {2 | 3 | 4 | 5 | 6}Gibt die Domänenfunktionsebene während der Erstellung einer neuen Domäne an.Die Domänenfunktionsebene kann nicht niedriger als die Funktionsebene der Gesamtstruktur sein. Sie kann jedoch höher sein.Der Standardwert wird automatisch berechnet und auf die vorhandene Gesamtstruktur-Funktionsebene oder auf den für -ForestMode definierten Wert festgelegt.DomainNameErforderlich für die Cmdlets "Install-ADDSForest" und "Install-ADDSDomainController".Gibt den FQDN der Domäne an, in der Sie einen zusätzlichen Domänencontroller installieren möchten.DomainNetbiosName <Zeichenfolge>Erforderlich für "Install-ADDSForest", wenn der FQDN-Präfixname mehr als 15 Zeichen umfasst.Verwenden Sie dieses Argument zusammen mit "Install-ADDSForest". Weist der neuen Gesamtstruktur-Stammdomäne einen NetBIOS-Namen zu.DomainType <Domänentyp> {ChildDomain | TreeDomain} oder {child | tree}Gibt den Typ der zu erstellenden Domäne an: eine neue Domänengesamtstruktur in einer vorhandenen Gesamtstruktur, ein untergeordnetes Element einer vorhandenen Domäne oder eine neue Gesamtstruktur.Der Standardwert für "DomainType" lautet "ChildDomain".ForceBei Angabe dieses Parameters werden Warnungen, die normalerweise während der Installation und dem Hinzufügen des Domänencontrollers angezeigt werden, unterdrückt, um den Abschluss der Cmdlet-Ausführung zu ermöglichen. Die Einfügung dieses Parameters kann beim Skripting der Installation hilfreich sein.ForestMode <Gesamtstrukturmodus> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OderForestMode <Gesamtstrukturmodus> {2 | 3 | 4 | 5 | 6}Gibt beim Erstellen einer neuen Gesamtstruktur die zugehörige Funktionsebene an.Der Standardwert lautet "Win2012".InstallationMediaPathGibt den Speicherort des Installationsmediums an, das zum Installieren eines neuen Domänencontrollers verwendet wird.InstallDNSGibt an, ob der DNS-Serverdienst auf dem Domänencontroller installiert und konfiguriert werden soll.Bei einer neuen Gesamtstruktur lautet der Standardwert $True, und DNS-Server wird installiert.Wenn es sich um eine neue untergeordnete Domäne oder Domänengesamtstruktur handelt und in der übergeordneten Domäne (oder Gesamtstruktur-Stammdomäne für eine Domänenstruktur) die DNS-Namen für die Domäne bereits gehostet werden und gespeichert sind, lautet der Standardwert für diesen Parameter "$True".Wenn es sich um eine Domänencontrollerinstallation in einer vorhandenen Domäne handelt, dieser Parameter nicht angegeben wird und die DNS-Namen für die Domäne bereits in der aktuellen Domäne gehostet werden und gespeichert sind, lautet der Standardwert für diesen Parameter $True. Wenn DNS-Domänennamen außerhalb von Active Directory gehostet werden, lautet der Standardwert anderenfalls $False, und es wird kein DNS-Server installiert.LogPath <Zeichenfolge>Gibt den vollqualifizierten, Nicht-UNC-Pfad zu einem Verzeichnis auf einem festen Datenträger auf dem lokalen Computer an, der die Domänenprotokolldateien enthält, z. B. C:\Windows\Logs.Der Standardwert lautet %SYSTEMROOT%\NTDS.Speichern Sie auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatiierten Datenvolume keinesfalls die Active Directory-Protokolldateien.MoveInfrastructureOperationMasterRoleIfNecessaryGibt an, ob die Betriebsmasterrolle des Infrastrukturmasters (auch als flexible einfache Mastervorgänge oder FSMO bezeichnet) auf den von Ihnen erstellten Domänencontroller übertragen werden – sofern er derzeit auf einem globalen Katalogserver gehostet wird und der von Ihnen erstellte Domänencontroller nicht als globaler Katalogserver vorgesehen ist. Geben Sie diesen Parameter an, um die Infrastrukturmasterrolle auf den von Ihnen erstellten Domänencontroller zu übertragen, sofern die Übertragung erforderlich ist. Geben Sie in diesem Fall die Option NoGlobalCatalog an, wenn die Infrastrukturmasterrolle nicht übertragen werden soll.NewDomainName <Zeichenfolge>Nur für "Install-ADDSDomain" erforderlich.Gibt den einfachen Domänennamen für die neue Domäne an.Wenn Sie beispielsweise eine neue untergeordnete Domäne mit der Bezeichnung emea.corp.fabrikam.com erstellen möchten, sollten Sie emea für den Wert dieses Arguments angeben.NewDomainNetbiosName <Zeichenfolge>Erforderlich für "Install-ADDSDomain", wenn der FQDN-Präfixname mehr als 15 Zeichen umfasst.Verwenden Sie dieses Argument zusammen mit "Install-ADDSDomain". Weist der neuen Domäne einen NetBIOS-Namen zu. Der Standardwert wird vom Wert für –NewDomainName abgeleitet.NoDnsOnNetworkGibt an, dass der DNS-Dienst im Netzwerk nicht verfügbar ist. Dieser Parameter wird nur verwendet, wenn die IP-Einstellung des Netzwerkadapters für diesen Computer nicht mit dem Namen eines DNS-Servers für die Namensauflösung konfiguriert ist. Er gibt an, dass ein DNS-Server auf diesem Computer für die Namensauflösung installiert wird. Anderenfalls müssen die IP-Einstellungen des Netzwerkadapters zunächst mit der Adresse eines DNS-Servers konfiguriert werden.Das Auslassen dieses Parameters (Standard) gibt an, dass die TCP/IP-Clienteinstellungen des Netzwerkadapters auf diesem Computer zum Kontaktieren eines DNS-Servers verwendet werden. Wenn Sie diesen Parameter nicht angeben, stellen Sie daher sicher, dass die TCP/IP-Clienteinstellungen zunächst mit einer bevorzugten DNS-Serveradresse konfiguriert werden.NoGlobalCatalogGibt an, dass der Domänencontroller kein globaler Katalogserver sein soll.Domänencontroller, auf denen Windows Server 2012 ausgeführt wird, werden standardmäßig mit dem globalen Katalog installiert. Mit anderen Worten erfolgt diese Ausführung automatisch, sofern Sie nicht Folgendes angeben:-NoGlobalCatalogNoRebootOnCompletionGibt an, ob der Computer nach Abschluss des Befehls unabhängig von dessen Erfolg neu gestartet werden soll. Standardmäßig wird der Computer neu gestartet. Wenn Sie einen Neustart des Servers verhindern möchten, geben Sie Folgendes an:-NoRebootOnCompletion:$TrueDie Benutzeroberfläche (User Interface, UI) enthält keine äquivalente Option.ParentDomainName <Zeichenfolge>Erforderlich für das Cmdlet "Install-ADDSDomain"Gibt den FQDN einer vorhandenen übergeordneten Domäne an. Dieses Argument wird beim Installieren einer untergeordneten Domäne oder einer neuen Domänenstruktur verwendet.Wenn Sie z. B. eine neue untergeordnete Domäne mit dem Namen emea.corp.fabrikam.com erstellen möchten, sollten Sie corp.fabrikam.com für den Wert dieses Arguments angeben.ReadOnlyReplicaGibt an, ob ein schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) installiert werden soll.ReplicationSourceDC <Zeichenfolge>Gibt den FQDN des Partnerdomänencontrollers an, von dem Sie die Domäneninformationen replizieren. Laut Standardwert erfolgt die Berechnung automatisch.SafeModeAdministratorPassword <sichere Zeichenfolge>Gibt das Kennwort des Administratorkontos an, das zum Starten des Computers im abgesicherten Modus oder in einer Variante des abgesicherten Modus verwendet wird, z. B. im Verzeichnisdienst-Wiederherstellungsmodus (Directory Service Restore Mode, DSRM).Standardmäßig ist das Kennwort leer. Sie müssen ein Kennwort angeben. Das Kennwort muss in einem System.Security.SecureString-Format angegeben werden, beispielsweise wie das von "read-host -assecurestring" oder "ConvertTo-SecureString" bereitgestellte Kennwort.Die Funktion des Arguments "SafeModeAdministratorPassword" ist insofern speziell, dass Sie vom Cmdlet zur Eingabe und Bestätigung eines maskierten Kennworts aufgefordert werden, wenn es nicht als Argument angegeben wird. Dies entspricht der bevorzugten Verwendung bei einer interaktiven Cmdlet-Ausführung. Wenn das Argument ohne Wert angegeben wird und für das Cmdlet keine anderen Argumente angegeben werden, fordert Sie das Cmdlet zur Eingabe eines maskierten Kennworts ohne Bestätigung auf. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung. Erfolgt die Angabe mit einem Wert, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung. Sie können die Eingabeaufforderung für das Kennwort beispielsweise mithilfe des Cmdlets "Read-Host" ausführen, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern:-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). Sie können auch eine sichere Zeichenfolge als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)SiteName <Zeichenfolge>Erfoderlich für das Cmdlet "Add-addsreadonlydomaincontrolleraccount"Gibt den Standort an, an dem der Domänencontroller installiert wird. Das Argument –sitename ist bei der Ausführung von Install-ADDSForest nicht vorhanden, weil der zuerst erstellte Standort "Default-First-Site-Name" lautet.Der Standortname muss bei der Angabe als Argument für -sitename bereits vorhanden sein. Der Standort wird nicht vom Cmdlet erstellt.SkipAutoConfigureDNSÜberspringt die automatische Konfiguration von DNS-Clienteinstellungen, Weiterleitungen und Stammhinweisen. Dieses Argument ist nur dann wirksam, wenn der DNS-Serverdienst bereits installiert ist oder mit -InstallDNS automatisch installiert wird.SystemKey <Zeichenfolge>Gibt den Systemschlüssel für das Medium an, von dem Sie Daten replizieren.Der Standardwert lautet none.Die Daten müssen in dem von "read-host -assecurestring" oder "ConvertTo-SecureString" bereitgestellten Format vorliegen.SysvolPath <Zeichenfolge>Gibt den vollqualifizierten Nicht-UNC-Pfad zu einem Verzeichnis auf einem festen Datenträger auf dem lokalen Computer an, z. B. C:\Windows\SYSVOL.Der Standardwert lautet %SYSTEMROOT%\SYSVOL.SYSVOL kann nicht auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatierten Datenvolume gespeichert werden.SkipPreChecksFührt vor dem Starten der Installation keine Voraussetzungsüberprüfungen aus. Von der Verwendung dieser Einstellung wird abgeraten.WhatIfZeigt, was geschieht, wenn das Cmdlet ausgeführt wird. Das Cmdlet wird nicht ausgeführt.Angeben von Windows PowerShell-AnmeldeinformationenMithilfe von Get-credentialhttps://technet.microsoft.com/library/dd315327.aspx können Sie Anmeldeinformationen angeben, ohne Sie im Nur-Text-Format auf dem Bildschirm offenzulegen.Die Argumente "SafeModeAdministratorPassword" und "LocalAdministratorPassword" haben eine spezielle Funktionsweise:Wenn sie nicht als Argument angegeben werden, fordert Sie das Cmdlet zur Eingabe und Bestätigung eines maskierten Kennworts auf. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.Bei Angabe mit einem Wert muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern.-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)Da mit der vorherigen Option das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: das Kennwort ist nicht sichtbar.Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird:-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)Das Bereitstellen oder Speichern eines Klartextkennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen zusehen, kennen dann das DSRM-Kennwort dieses Domänencontrollers. Mit diesem Wissen können sie einen Identitätswechsel für den Domänencontroller selbst ausführen und ihre Rechte in einer Active Directory-Gesamtstruktur auf die höchste Stufe heraufstufen.Verwenden von Test-CmdletsFür jedes Cmdlet "ADDSDeployment" ist ein entsprechendes Test-Cmdlet vorhanden. Mithilfe des Test-Cmdlets werden lediglich die Voraussetzungsüberprüfungen für den Installationsvorgang ausgeführt. Es werden keine Installationseinstellungen konfiguriert. Die Argumente für die einzelnen Test-Cmdlets sind identisch mit denen für die entsprechenden Installations-Cmdlets, –SkipPreChecks ist für Test-Cmdlets jedoch nicht verfügbar.Test-Cmdlet BeschreibungTest-ADDSForestInstallationFührt die Voraussetzungen zum Installieren einer neuen Active Directory-Gesamtstruktur aus.Test-ADDSDomainInstallationFührt die Voraussetzungen zum Installieren einer neuen Domäne in Active Directory aus.Test-ADDSDomainControllerInstallationFührt die Voraussetzungen zum Installieren eines neuen Domänencontrollers in Active Directory aus.Test-ADDSReadOnlyDomainControllerAccountCreationFührt die Voraussetzungen zum Hinzufügen eines RODC-Kontos aus.Installieren einer neuen Gesamtstruktur-Stammdomäne mithilfe von Windows PowerShellDie Befehlssyntax zum Installieren einer neuen Gesamtstruktur lautet wie folgt. Optionale Argumente werden in viereckigen Klammern angezeigt.Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Das Argument "-DomainNetBIOSName" ist erforderlich, wenn Sie den 15-stelligen Namen ändern möchten, der basierend auf dem DNS-Domänennamenspräfix automatisch generiert wird, oder wenn der Name mehr als 15 Zeichen umfasst.Wenn Sie beispielsweise eine neue Gesamtstruktur mit der Bezeichnung "corp.contoso.com" installieren möchten und eine sichere Aufforderung zur Angabe des DSRM-Kennworts erfolgen soll, geben Sie Folgendes ein: Install-ADDSForest –domainname "corp.contoso.com" DNS-Server wird standardmäßig installiert, wenn Sie "Install-ADDSForest" ausführen.Wenn Sie eine neue Gesamtstruktur mit der Bezeichnung "corp.contoso.com" installieren möchten, erstellen Sie eine DNS-Delegierung in der Domäne "contoso.com" legen Sie die Funktionsebene der Domäne auf Windows Server 2008 R2 fest, und legen Sie die Funktionsebene der Gesamtstruktur auf Windows Server 2008 fest. Installieren Sie die Active Directory-Datenbank und SYSVOL auf dem Laufwerk "D:\", und installieren Sie die Protokolldateien auf dem Laufwerk "E:\". Wenn Sie möchten, dass eine Aufforderung zur Angabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus erfolgt, geben Sie Folgendes ein:Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Installieren einer neuen untergeordneten Domäne oder Strukturdomäne mithilfe von Windows PowerShellDie Befehlssyntax zum Installieren einer neuen Domäne lautet wie folgt. Optionale Argumente werden in viereckigen Klammern angezeigt.Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Das Argument -credential ist nur erforderlich, wenn Sie derzeit nicht als Mitglied der Gruppe "Organisations-Admins" angemeldet sind.Das Argument -NewDomainNetBIOSName ist erforderlich, wenn Sie den automatisch generierten 15-stelligen Namen, der auf dem DNS-Domänennamenspräfix basiert, ändern möchten oder wenn der Name mehr als 15 Zeichen umfasst.Wenn Sie beispielsweise mithilfe der Anmeldeinformationen für "corp\EnterpriseAdmin1" eine neue untergeordnete Domäne mit der Bezeichnung "child.corp.contoso.com" erstellen möchten, installieren Sie DNS-Server, erstellen Sie in der Domäne "corp.contoso.com" eine DNS-Delegierung, und legen Sie die Funktionsebene der Domäne auf Windows Server 2003 fest. Definieren Sie den Domänencontroller an einem Standort mit der Bezeichnung "Houston" als globalen Katalogserver, und verwenden Sie "DC1.corp.contoso.com" als Replikationsquellen-Domänencontroller. Installieren Sie die Active Directory-Datenbank und SYSVOL auf dem Laufwerk "D:\", und installieren Sie die Protokolldateien auf dem Laufwerk "E:\". Wenn Sie möchten, dass eine Aufforderung zur Angabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus, jedoch keine Aufforderung zur Bestätigung des Befehls erfolgt, geben Sie Folgendes ein:Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$FalseInstallieren eines zusätzlichen (replizierten) Domänencontrollers mithilfe von Windows PowerShellDie Befehlssyntax zum Installieren eines zusätzlichen Domänencontrollers lautet wie folgt. Optionale Argumente werden in viereckigen Klammern angezeigt.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Wenn Sie einen Domänencontroller und DNS-Server in der Domäne "corp.contoso.com" installieren möchten und eine Aufforderung zur Angabe der Anmeldeinformationen des Domänenadministrators und des DSRM-Kennworts erfolgen soll, geben Sie Folgendes ein: Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com" Wenn der Computer bereits einer Domäne hinzugefügt wurde und Sie Mitglied der Gruppe "Domänen-Admins" sind, können Sie den folgenden Befehl verwenden:Install-ADDSDomainController -domainname "corp.contoso.com"Wenn eine Aufforderung zur Angabe des Domänennamens erfolgen soll, geben Sie Folgendes ein:Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")Für den folgenden Befehl werden Anmeldeinformationen von "Contoso\EnterpriseAdmin1" für Folgendes verwendet: Installieren eines beschreibbaren Domänencontrollers und eines globalen Katalogservers an einem Standort mit der Bezeichnung "Boston", Installieren von DNS-Server, Erstellen einer DNS-Delegierung in der Domäne "contoso.com", Installieren von im Ordner "c:\ADDS IFM" gespeicherten Medien, Installieren von der Active Directory-Datenbank und von SYSVOL auf dem Laufwerk "D:\", Installieren der Protokolldateien auf dem Laufwerk "E:\", automatischer Neustart des Servers nach Abschluss der AD DS-Installation und Aufforderung zur Angabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus:Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Durchführen einer bereitgestellten RODC-Installation mithilfe von Windows PowerShellDie Befehlssyntax zum Erstellen eines RODC-Kontos lautet wie folgt. Optionale Argumente werden in viereckigen Klammern angezeigt.Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]Die Befehlssyntax zum Anbinden eines Servers an ein RODC-Konto lautet wie folgt. Optionale Argumente werden in viereckigen Klammern angezeigt.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]So erstellen Sie beispielsweise ein RODC-Konto mit der Bezeichnung "RODC1": Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarAFühren Sie dann die folgenden Befehle auf dem Server aus, den Sie an das RODC1-Konto binden möchten. Der Server kann der Domäne nicht hinzugefügt werden. Installieren Sie zunächst die AD DS-Serverrolle und Verwaltungstools:install-windowsfeature –name AD-Domain-Services -includemanagementtoolsFühren Sie anschließend den folgenden Befehl aus, um den RODC zu erstellen:Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccountDrücken Sie J, um zu bestätigen, oder fügen Sie das –confirm-Argument hinzu, damit die Bestätigungseingabeaufforderung nicht angezeigt wird.Installieren von AD DS mithilfe von Server-ManagerAD DS kann in Windows Server 2012 mithilfe des Assistenten zum Hinzufügen von Rollen in Server-Manager, gefolgt vom Konfigurations-Assistenten für die Active Directory-Domänendienste installiert werden. Dieser Assistent ist ab Windows Server 2012 neu. Der Installations-Assistent für die Active Directory-Domänendienste ("dcpromo.exe") gilt in Windows Server 2012 als veraltet.In den folgenden Abschnitten wird das Erstellen von Serverpools zum Installieren und Verwalten von AD DS auf mehreren Servern sowie die Verwendung der Assistenten zum Installieren von AD DS erläutert.Erstellen von ServerpoolsServer-Manager kann andere Server im Netzwerk in einem Pool zusammenfassen, sofern von dem Computer, auf dem Server-Manger ausgeführt wird, auf die Server zugegriffen werden kann. Nach der Zusammenfassung in einem Pool wählen Sie diese Server für die Remoteinstallation von AD DS oder eine andere mögliche Konfigurationsoption in Server-Manager aus. Der Computer, auf dem Server-Manager ausgeführt wird, fügt sich selbst automatisch einem Pool hinzu. Weitere Informationen zu Serverpools finden Sie unter Hinzufügen von Servern zum Server-Managerhttps://technet.microsoft.com/library/hh831453.aspx.Wenn Sie einen Computer, der einer Domäne angehört, mithilfe von Server-Manager auf einem Arbeitsgruppenserver verwalten möchten (oder umgekehrt), sind zusätzliche Konfigurationsschritte erforderlich. Weitere Informationen finden Sie unter „Hinzufügen und Verwalten von Servern in Arbeitsgruppen“ in Hinzufügen von Servern zu Server-Managerhttps://technet.microsoft.com/library/hh831453.aspx.Installieren von AD DSAdministratoranmeldeinformationenDie Anforderungen bezüglich der Anmeldeinformationen zum Installieren von AD DS variieren in Abhängigkeit von der von Ihnen ausgewählten Konfiguration. Weitere Informationen finden Sie unter Credential requirements to run Adprep.exe and install Active Directory Domain Services.Wenden Sie die folgenden Verfahren zum Installieren von AD DS mithilfe der GUI-Methode an. Die Schritte können lokal oder per Remoteverbindung ausgeführt werden. Eine detailliertere Erläuterung dieser Schritte finden Sie unter den folgenden Themen:Deploying a Forest with Server Manager Upgrade Existing AD DS Forests and Add Writable Replica Domain Controllers Create Child and Tree Domains Stage and Attach RODCs, Create RODCs without Staging So installieren Sie AD DS mit Server-ManagerKlicken Sie in Server-Manager auf Verwalten, und klicken Sie auf Rollen und Features hinzufügen, um den Assistenten zum Hinzufügen von Rollen zu starten.Klicken Sie auf der Seite Vorbereitung auf Weiter.Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, klicken Sie auf den Namen des Servers, auf dem Sie AD DS installieren möchten, und klicken Sie dann auf Weiter.Wenn Sie Remoteserver auswählen möchten, erstellen Sie zunächst einen Serverpool, und fügen Sie ihm die Remoteserver hinzu. Weitere Informationen zum Erstellen von Serverpools finden Sie unter Hinzufügen von Servern zu Server-Managerhttps://technet.microsoft.com/library/hh831453.aspx.Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Domänendienste, und klicken Sie dann im Dialogfeld Assistent zum Hinzufügen von Rollen und Features auf Features hinzufügen, und klicken Sie dann auf Weiter.Wählen Sie auf der Seite Features auswählen die zusätzlichen Features aus, die Sie installieren möchten, und klicken Sie auf Weiter.Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste, und klicken Sie auf Weiter.Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.Überprüfen Sie auf der Seite Ergebnisse, ob die Installation erfolgreich war, und klicken Sie auf Server zu einem Domänencontroller heraufstufen, um den Konfigurations-Assistenten für die Active Directory-Domänendienste zu starten.Wenn Sie den Assistenten zum Hinzufügen von Rollen an dieser Stelle schließen, ohne den Konfigurations-Assistenen für die Active Directory-Domänendienste zu starten, können Sie ihn neu starten, indem Sie in Server-Manager auf "Aufgaben" klicken.Wählen Sie auf der Seite Bereitstellungskonfiguration eine der folgenden Optionen aus: Wenn Sie in einer vorhandenen Domäne einen zusätzlichen Domänencontroller installieren, klicken Sie auf Domänencontroller vorhandener Domäne hinzufügen, und geben Sie den Namen der Domäne ein (z. B. "emea.corp.contoso.com"), oder klicken Sie auf Auswählen…, um eine Domäne und Anmeldeinformationen auszuwählen (geben Sie beispielsweise ein Konto an, das Mitglied der Gruppe "Domänen-Admins" ist), und klicken Sie dann auf Weiter.Der Name der Domäne und die aktuellen Benutzeranmeldeinformationen werden standardmäßig bereitgestellt, wenn der Computer einer Domäne hinzugefügt wurde und Sie eine lokale Installation ausführen. Wenn Sie AD DS auf einem Remoteserver ausführen, müssen Sie die Anmeldeinformationen angeben (designbedingt). Wenn die aktuellen Benutzeranmeldeinformationen nicht zum Ausführen der Installation ausreichen, klicken Sie auf Ändern…, um andere Anmeldeinformationen anzugebenWeitere Informationen finden Sie unter Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).Wenn Sie eine neue untergeordnete Domäne installieren, klicken Sie auf Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen, wählen Sie unter Domänentyp auswählen den Eintrag Untergeordnete Domäne aus, geben Sie den DNS-Namen der übergeordneten Domäne ein (z. B. "corp.contoso.com"), oder navigieren Sie zu diesem Namen. Geben Sie den relativen Namen der neuen untergeordneten Domäne ein (z. B. "emea"), geben Sie die zum Erstellen der neuen Domäne zu verwendenden Anmeldeinformationen ein, und klicken Sie dann auf Weiter.Weitere Informationen finden Sie unter Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).Wenn Sie eine neue Domänenstruktur installieren, klicken Sie auf Neue Domäne zu einer vorhandenen Gesamtstruktur hinzufügen, wählen Sie unter Domänentyp auswählen den Eintrag Strukturdomäne aus, und geben Sie den Namen der Stammdomäne ein (z. B. "corp.contoso.com"). Geben Sie den DNS-Namen der neuen Domäne ein (z. B. "farbrikam.com"), geben Sie die zum Erstellen der neuen Domäne zu verwendenden Anmeldeinformationen ein, und klicken Sie dann auf Weiter.Weitere Informationen finden Sie unter Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).Wenn Sie eine neue Gesamtstruktur installieren, klicken Sie auf Neue Gesamtstruktur hinzufügen, und geben Sie dann den Namen der Stammdomäne ein (z. B. "corp.contoso.com").Weitere Informationen finden Sie unter Install a New Windows Server 2012 Active Directory Forest (Level 200).Wählen Sie auf der Seite Domänencontrolleroptionen eine der folgenden Optionen aus: Wenn Sie eine neue Gesamtstruktur oder Domäne erstellen, wählen Sie die Funktionsebenen für die Domäne und Gesamtstruktur aus, klicken Sie auf Domänennamenserver (DNS), geben Sie das DSRM-Kennwort an, und klicken Sie dann auf Weiter.Wenn Sie einer vorhandenen Domäne einen Domänencontroller hinzufügen, klicken Sie auf Domänennamensserver (DNS), Globaler Katalog oder Schreibgeschützter Domänencontroller (RODC) (je nach Bedarf), wählen Sie den Standortnamen aus, und geben Sie das DSRM-Kennwort ein. Klicken Sie anschließend auf Weiter.Weitere Informationen zu den unter verschiedenen Bedingungen verfügbaren oder nicht verfügbaren Optionen auf dieser Seite finden Sie unter Domain Controller Options.Klicken Sie auf der Seite DNS-Optionen (wird nur beim Installieren eines DNS-Servers angezeigt) bei Bedarf auf DNS-Delegierung aktualisieren. Geben Sie in diesem Fall Anmeldeinformationen mit der Berechtigung zum Erstellen von DNS-Delegierungseinträgen in der übergeordneten DNS-Zone an.Wenn keine Verbindung mit einem DNS-Server hergestellt werden kann, der die übergeordnete Zone hostet, ist die Option DNS-Delegierung aktualisieren nicht verfügbar.Weitere Informationen dazu, ob Sie die DNS-Delegierung aktualisieren müssen, finden Sie unter Grundlegendes zur Zonendelegierunghttps://technet.microsoft.com/library/cc771640.aspx. Wenn beim versuchten Aktualisieren der DNS-Delegierung ein Fehler auftritt, schlagen Sie unter DNS Options nach.Geben Sie auf der Seite RODC-Optionen (wird nur beim Installieren eines RODC angezeigt) den Namen einer Gruppe oder eines Benutzers an, die bzw. der den RODC verwalten wird. Fügen Sie den zulässigen oder abgelehnten Kennwortreplikationsgruppen Konten hinzu, oder entfernen Sie Konten aus diesen Gruppen, und klicken Sie dann auf Weiter.Weitere Informationen finden Sie unter Kennwortreplikationsrichtliniehttps://technet.microsoft.com/library/cc730883(v=ws.10).Wählen Sie auf der Seite Weitere Optionen eine der folgenden Optionen aus: Wenn Sie eine neue Domäne erstellen, geben Sie einen neuen NetBIOS-Namen ein, oder überprüfen Sie den standardmäßigen NetBIOS-Namen der Domäne, und klicken Sie dann auf Weiter.Wenn Sie einer vorhandenen Domäne einen Domänencontroller hinzufügen, wählen Sie den Domänencontroller aus, von dem Sie die AD DS-Installationsdaten replizieren möchten (oder lassen Sie den Assistenten einen beliebigen Domänencontroller auswählen). Wenn Sie die Installation von einem Medium ausführen, klicken Sie auf Vom Medienpfad installieren, und überprüfen Sie den Pfad zu den Installationsquelldateien. Klicken Sie anschließend auf Weiter.Zum Installieren des ersten Domänencontrollers in einer Domäne können Sie die Option zum Installieren von einem Medium (Install from Media, IFM) nicht verwenden. IFM funktioniert nicht bei verschiedenen Betriebssystemversionen. Wenn Sie einen zusätzlichen Domänencontroller unter Windows Server 2012 mit der Option "Installieren von Medium" installieren möchten, müssen Sie das Sicherungsmedium folglich auf einem Domänencontroller unter Windows Server 2012 erstellen. Weitere Informationen zu IFM finden Sie unter Installieren eines zusätzlichen Domänencontrollers mit IFMhttps://technet.microsoft.com/library/cc816722(WS.10).aspx.Geben Sie auf der Seite Pfade die Speicherorte für die Active Directory-Datenbanken, -Protokolldateien und den SYSVOL-Ordner an (oder übernehmen Sie die Standardspeicherorte), und klicken Sie auf Weiter.Speichern Sie auf einem mit dem robusten Dateisystem (Resilient File System, ReFS) formatierten Datenvolume keinesfalls die Active Directory-Datenbanken, -Protokolldateien oder SYSVOL.Geben Sie auf der Seite Vorbereitungsoptionen die Anmeldeinformationen ein, die zum Ausführen von Adprep ausreichen. Weitere Informationen finden Sie unter Credential requirements to run Adprep.exe and install Active Directory Domain Services.Bestätigen Sie auf der Seite Optionen prüfen Ihre ausgewählten Einstellungen, klicken Sie auf Skript anzeigen, wenn Sie die Einstellungen in ein Windows PowerShell-Skript exportieren möchten, und klicken Sie dann auf Weiter.Bestätigen Sie auf der Seite Voraussetzungsüberprüfung, dass die Validierung der Voraussetzungen abgeschlossen ist, und klicken Sie dann auf Installieren.Stellen Sie auf der Seite Ergebnisse sicher, dass der Server erfolgreich als Domänencontroller konfiguriert wurde. Der Server wird automatisch neu gestartet, um die AD DS-Installation abzuschließen.Durchführen einer bereitgestellten RODC-Installation mithilfe der grafischen BenutzeroberflächeMithilfe einer bereitgestellten RODC-Installation können Sie einen RODC in zwei Phasen erstellen. In der ersten Phase erstellt ein Mitglied der Gruppe "Domänen-Admins" ein RODC-Konto. In der zweiten Phase wird ein Server an das RODC-Konto gebunden. Die zweite Phase kann von einem Mitglied der Gruppe "Domänen-Admins" oder von einem delegierten Domänenbenutzer oder von einer delegierten Domänenbenutzergruppe ausgeführt werden.So erstellen Sie ein RODC-Konto mithilfe der Active Directory-VerwaltungstoolsSie können das RODC-Konto über das "Active Directory-Verwaltungscenter" oder über "Active Directory-Benutzer und -Computer" erstellen.Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Verwaltungscenter.Klicken Sie im Navigationsbereich (links) auf den Namen der Domäne.Klicken Sie in der Liste "Verwaltung" (mittlerer Bereich) auf die Organisationseinheit der Domänencontroller.Klicken Sie im Aufgabenbereich (rechts) auf Konto für schreibgeschützten Domänencontroller vorab erstellen.– Oder –Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.Klicken Sie entweder mit der rechten Maustaste auf die Organisationseinheit (Organizational Unit, OU) Domain Controllers, oder klicken Sie auf die Organisationseinheit Domain Controllers und dann auf Aktion.Klicken Sie auf Konto für schreibgeschützten Domänencontroller vorbereiten.Falls Sie den Standardwert für die Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) ändern möchten, wählen Sie auf der Seite Willkommen die Option Installation im erweiterten Modus verwenden aus, und klicken Sie dann auf Weiter.Klicken Sie auf der Seite Sicherheitsinformationen für das Netzwerk unter Geben Sie die für die Installation zu verwendenden Anmeldeinformationen an auf Aktuelle Anmeldeinformationen, oder klicken Sie auf Alternative Anmeldeinformationen, und klicken Sie dann auf Festlegen. Geben Sie im Dialogfeld Windows-Sicherheit den Benutzernamen und das Kennwort für ein Konto an, unter dem der zusätzliche Domänencontroller installiert werden kann. Zum Installieren eines zusätzlichen Domänencontrollers müssen Sie ein Mitglied der Gruppe Organisations-Admins oder Domänen-Admins sein. Klicken Sie nach Eingabe der Anmeldeinformationen auf Weiter.Geben Sie auf der Seite Namen des Computers angeben den Computernamen des Servers ein, der als RODC verwendet werden soll.Wählen Sie auf der Seite Standort auswählen einen Standort aus der Liste aus, oder wählen Sie die Option zur Installation des Domänencontrollers an dem Standort aus, der der IP-Adresse des Computers entspricht, auf dem der Assistent ausgeführt wird, und klicken Sie dann auf Weiter.Wählen Sie auf der Seite Weitere Domänencontrolleroptionen die folgenden Optionen aus, und klicken Sie dann auf Weiter:DNS-Server: Diese Option ist standardmäßig aktiviert, sodass der Domänencontroller als DNS-Server verwendet werden kann. Falls der Domänencontroller nicht als DNS-Server verwendet werden soll, können Sie diese Option deaktivieren. Wenn Sie die DNS-Serverrolle nicht auf dem RODC installieren und der RODC der einzige Domänencontroller in der Zweigstelle ist, können die Benutzer in der Zweigstelle keine Namensauflösung ausführen, wenn sich das WAN (Wide Area Network) zum Hubstandort im Offlinemodus befindet.Globaler Katalog: Diese Option ist standardmäßig aktiviert. Damit werden dem Domänencontroller die schreibgeschützten Verzeichnispartitionen des globalen Katalogs hinzugefügt. Außerdem wird die Suchfunktion für den globalen Katalog aktiviert. Falls der Domänencontroller kein globaler Katalogserver sein soll, deaktivieren Sie diese Option. Wenn Sie jedoch keinen globalen Katalogserver in der Zweigstelle installieren oder das Zwischenspeichern der universellen Gruppenmitgliedschaft für den Standort aktivieren, der den RODC einschließt, können sich die Benutzer in der Zweigstelle nicht an der Domäne anmelden, wenn sich das WAN zum Hubstandort im Offlinemodus befindet.Schreibgeschützter Domänencontroller. Beim Erstellen eines RODC-Kontos ist diese Option standardmäßig aktiviert und kann nicht deaktiviert werden.Wenn Sie auf der Seite Willkommen die Option Installation im erweiterten Modus verwenden ausgewählt haben, wird die Seite Kennwortreplikationsrichtlinie angeben angezeigt. Standardmäßig werden Kontokennwörter nicht auf den RODC repliziert, und für sicherheitskritische Konten (z. B. Mitglieder der Gruppe Domänen-Admins) wird das Replizieren von Kennwörtern auf dem RODC explizit verweigert.Um der Richtlinie andere Konten hinzuzufügen, klicken Sie auf Hinzufügen. Klicken Sie dann auf Kennwörter für das Konto auf diesen RODC replizieren oder Kennwörter für das Konto nicht auf diesen RODC replizieren, und wählen Sie die Konten aus.Klicken Sie anschließend (oder zum Übernehmen der Standardeinstellung) auf Weiter.Geben Sie auf der Seite Delegierung der Installation und Verwaltung des RODC den Namen des Benutzers oder der Gruppe ein, von dem bzw. der der Server an das zu erstellende RODC-Konto angefügt wird. Es kann nur der Name eines einzelnen Sicherheitsprinzipals eingegeben werden.Wenn Sie das Verzeichnis nach einem bestimmten Benutzer oder einer Gruppe durchsuchen möchten, klicken Sie auf Festlegen. Geben Sie im Feld Benutzer oder Gruppe auswählen den Namen des Benutzers oder der Gruppe ein. Es wird empfohlen, die RODC-Installation und -verwaltung an eine Gruppe zu delegieren.Dieser Benutzer oder diese Gruppe besitzt nach der Installation auch lokale Administratorrechte auf dem RODC. Wenn Sie keinen Benutzer bzw. keine Gruppe angeben, kann der Server nur von Mitgliedern der Gruppe Domänen-Admins oder Organisations-Admins dem Konto angefügt werden.Klicken Sie danach auf Weiter.Überprüfen Sie die Auswahl auf der Seite Zusammenfassung. Klicken Sie auf Zurück, um ggf. eine Auswahl zu ändern.Klicken Sie auf Einstellungen exportieren, um die von Ihnen ausgewählten Einstellungen in einer Antwortdatei zu speichern, die Sie verwenden können, um nachfolgende AD DS-Vorgänge zu automatisieren. Geben Sie einen Namen für die Antwortdatei ein, und klicken Sie dann auf Speichern.Nachdem Sie sichergestellt haben, dass Ihre Auswahl richtig ist, klicken Sie auf Weiter, um das RODC-Konto zu erstellen.Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.Nachdem ein RODC-Konto erstellt wurde, können Sie einen Server an das Konto binden, um die RODC-Installation abzuschließen. Diese zweite Phase kann in der Zweigstelle ausgeführt werden, in der sich der RODC befinden wird. Der Server, auf dem Sie dieses Verfahren ausführen, muss der Domäne nicht hinzugefügt werden. Ab Windows Server 2012 wird der Assistent zum Hinzufügen von Rollen verwendet, um einen Server einem RODC-Konto zuzuordnen.So binden Sie einen Server mit Server-Manager an ein RODC-Konto anMelden Sie sich als lokaler Administrator an.Klicken Sie in Server-Manager auf Rollen und Features hinzufügen.Klicken Sie auf der Seite Vorbereitung auf Weiter.Klicken Sie auf der Seite Installationstyp auswählen auf Rollenbasierte oder featurebasierte Installation, und klicken Sie anschließend auf Weiter.Klicken Sie auf der Seite Zielserver auswählen auf Einen Server aus dem Serverpool auswählen, klicken Sie auf den Namen des Servers, auf dem Sie AD DS installieren möchten, und klicken Sie dann auf Weiter.Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Domänendienste, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.Wählen Sie auf der Seite Features auswählen die zusätzlichen Features aus, die Sie installieren möchten, und klicken Sie auf Weiter.Überprüfen Sie die Informationen auf der Seite Active Directory-Domänendienste, und klicken Sie auf Weiter.Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.Überprüfen Sie auf der Seite Ergebnisse, ob Installation erfolgreich angezeigt wird, und klicken Sie auf Server zu einem Domänencontroller heraufstufen, um den Konfigurations-Assistenten für die Active Directory-Domänendienste zu starten.Wenn Sie den Assistenten zum Hinzufügen von Rollen an dieser Stelle schließen, ohne den Konfigurations-Assistenen für die Active Directory-Domänendienste zu starten, können Sie ihn neu starten, indem Sie in Server-Manager auf "Aufgaben" klicken.Klicken Sie auf der Seite Bereitstellungskonfiguration auf Domänencontroller vorhandener Domäne hinzufügen, geben Sie den Namen der Domäne (z. B. "emea.contoso.com") und Anmeldeinformationen ein (geben Sie beispielsweise ein Konto an, das zum Verwalten und Installieren des RODC delegiert ist), und klicken Sie dann auf Weiter.Klicken Sie auf der Seite Domänencontrolleroptionen auf Vorhandenes RODC-Konto verwenden, geben Sie das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ein, und bestätigen Sie es, und klicken Sie dann auf Weiter.Wenn Sie die Installation von einem Medium aus durchführen, klicken Sie auf der Seite Weitere Optionen auf Vom Medienpfad installieren, geben Sie den Pfad zu den Installationsquelldateien ein, und überprüfen Sie ihn. Wählen Sie den Domänencontroller aus, von dem Sie die AD DS-Installationsdaten replizieren möchten (oder lassen Sie den Assistenten einen beliebigen Domänencontroller auswählen), und klicken Sie dann auf Weiter.Geben Sie auf der Seite Pfade die Speicherorte für die Active Directory-Datenbanken, -Protokolldateien und den SYSVOL-Ordner an (oder übernehmen Sie die Standardspeicherorte), und klicken Sie dann auf Weiter.Bestätigen Sie auf der Seite Optionen prüfen Ihre ausgewählten Einstellungen, klicken Sie auf Skript anzeigen, um die Einstellungen in ein Windows PowerShell-Skript zu exportieren, und klicken Sie dann auf Weiter.Bestätigen Sie auf der Seite Voraussetzungsüberprüfung, dass die Validierung der Voraussetzungen abgeschlossen ist, und klicken Sie dann auf Installieren.Zum Abschließen der AD DS-Installation wird der Server automatisch neu gestartet.Troubleshooting Domain Controller Deployment Install a New Windows Server 2012 Active Directory Forest (Level 200) Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200) Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200) <_caps3a_sxssource locale="en-US">This topic explains how to install AD DS in Windows Server 2012 by using any of the following methods:Credential requirements to run Adprep.exe and install Active Directory Domain Services Installing AD DS by Using Windows PowerShell Installing AD DS by using Server Manager Performing a Staged RODC Installation using the Graphical User Interface Credential requirements to run Adprep.exe and install Active Directory Domain ServicesThe following credentials are required to run Adprep.exe and install AD DS.To install a new forest, you must be logged on as the local Administrator for the computer.To install a new child domain or new domain tree, you must be logged on as a member of the Enterprise Admins group.To install an additional domain controller in an existing domain, you must be a member of the Domain Admins group.If you do not run adprep.exe command separately and you are installing the first domain controller that runs Windows Server 2012 in an existing domain or forest, you will be prompted to supply credentials to run Adprep commands. The credential requirements are as follows:To introduce the first Windows Server 2012 domain controller in the forest, you need to supply credentials for a member of Enterprise Admins group, the Schema Admins group, and the Domain Admins group in the domain that hosts the schema master.To introduce the first Windows Server 2012 domain controller in a domain, you need to supply credentials for a member of the Domain Admins group.To introduce the first read-only domain controller (RODC) in the forest, you need to supply credentials for a member of the Enterprise Admins group.If you have already run adprep /rodcprep in Windows Server 2008 or Windows Server 2008 R2, you do not need to run it again for Windows Server 2012.Installing AD DS by Using Windows PowerShellBeginning with Windows Server 2012, you can install AD DS using Windows PowerShell. Dcpromo.exe is deprecated beginning with Windows Server 2012, but you can still run dcpromo.exe by using an answer file (dcpromo /unattend:<answerfile> or dcpromo /answer:<answerfile>). The ability to continue running dcpromo.exe with an answer file provides organizations that have resources invested in existing automation time to convert the automation from dcpromo.exe to Windows PowerShell. For more information about running dcpromo.exe with an answer file, see https://support.microsoft.com/kb/947034https://support.microsoft.com/kb/947034.For more information about removing AD DS using Windows PowerShell, see Remove AD DS using Windows PowerShell.Start with adding the role using Windows PowerShell. This command installs the AD DS server role and installs the AD DS and AD LDS server administration tools, including GUI-based tools such as Active Directory Users and Computers and command-line tools such as dcdia.exe. Server administration tools are not installed by default when you use Windows PowerShell. You need to specify –IncludeManagementTools to manage the local server or install Remote Server Administration Toolshttps://www.microsoft.com/download/details.aspx?id=28972 to manage a remote server.Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools <<Windows PowerShell cmdlet and arguments>>There is no reboot required until after the AD DS installation is complete.You can then run this command to see the available cmdlets in the ADDSDeployment module.Get-command –module ADDSDeploymentTo see the list of arguments that can be specified for a cmdlets and syntax: Get-help <cmdlet name>For example, to see the arguments for creating an unoccupied read-only domain controller (RODC) account, typeGet-help Add-ADDSReadOnlyDomainControllerAccountOptional arguments appear in square brackets.You can also download the latest Help examples and concepts for Windows PowerShell cmdlets. For more information, see about_Updatable_Helphttps://technet.microsoft.com/library/hh847735.aspx.You can run Windows PowerShell cmdlets against remote servers: In Windows PowerShell, use invoke-command with the ADDSDeployment cmdlet. For example, to install AD DS on a remote server named ConDC3 in the contoso.com domain, type:invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3-or-In Server Manager, create a server group that includes the remote server. Right-click the name of the remote server and click Windows PowerShell.The next sections explain how to run ADDSDeployment module cmdlets to install AD DS.ADDSDeployment cmdlet arguments Specifying Windows PowerShell Credentials Using test cmdlets Installing a new forest root domain using Windows PowerShell Installing a new child or tree domain using Windows PowerShell Installing an additional (replica) domain controller using Windows PowerShell ADDSDeployment cmdlet argumentsThe following table lists arguments for the ADDSDeployment cmdlets in Windows PowerShell. Arguments in bold are required. Equivalent arguments for dcpromo.exe are listed in parentheses if they are named different in Windows PowerShell.Windows PowerShell switches accept $TRUE or $FALSE arguments. Arguments that are $True by default do not need to be specified.To override default values, you can specify the argument with a $False value. For example, because -installdns is automatically run for a new forest installation if it is not specified, the only way to prevent DNS installation when you install a new forest is to use:-InstallDNS:$falseSimilarly, because –installdns has a default value of $False if you install a domain controller in an environment that does not host Windows Server DNS server, you need to specify the following argument in order to install DNS server:-InstallDNS:$trueArgumentDescriptionADPrepCredential <PS Credential>Required if you are installing the first Windows Server 2012 domain controller in a domain or forest and the credentials of the current user are insufficient to perform the operation.Specifies the account with Enterprise Admins and Schema Admins group membership that can prepare the forest, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.If no value is specified, the value of the –credential argument is used.AllowDomainControllerReinstallSpecifies whether to continue installing this writable domain controller, despite the fact that another writable domain controller account with the same name is detected.Use $True only if you are sure that the account is not currently used by another writable domain controller.The default is $False.This argument is not valid for an RODC.AllowDomainReinstallSpecifies whether an existing domain is recreated.The default is $False.AllowPasswordReplicationAccountName <string []>Specifies the names of user accounts, group accounts, and computer accounts whose passwords can be replicated to this RODC. Use an empty string "" if you want to keep the value empty. By default, only the Allowed RODC Password Replication Group is allowed, and it is originally created empty.Supply values as a string array. For example:-AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users"ApplicationPartitionsToReplicate <string []>There is no equivalent option in the UI. If you install using the UI, or using IFM, then all application partitions will be replicated.Specifies the application directory partitions to replicate. This argument is applied only when you specify the -InstallationMediaPath argument to install from media (IFM). By default, all application partitions will replicate based on their own scopes.Supply values as a string array. For example:-ApplicationPartitionsToReplicate "partition1","partition2","partition3"ConfirmPrompts you for confirmation before running the cmdlet.CreateDnsDelegationYou cannot specify this argument when you run the Add-ADDSReadOnlyDomainController cmdlet.Indicates whether to create a DNS delegation that references the new DNS server that you are installing along with the domain controller. Valid for Active Directory–integrated DNS only. Delegation records can be created only on Microsoft DNS servers that are online and accessible. Delegation records cannot be created for domains that are immediately subordinate to top-level domains such as .com, .gov, .biz, .edu or two-letter country code domains such as .nz and .au.The default is computed automatically based on the environment.Credential <PS Credential>Required only if the credentials of the current user are insufficient to perform the operation.Specifies the domain account that can logon to the domain, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.If no value is specified, the credentials of the current user are used.CriticalReplicationOnlySpecifies whether the AD DS installation operation performs only critical replication before reboot and then continues. The noncritical replication happens after the installation finishes and the computer reboots.Using this argument is not recommended.There is no equivalent for this option in the user interface (UI).DatabasePath <string>Specifies the fully qualified, non–Universal Naming Convention (UNC) path to a directory on a fixed disk of the local computer that contains the domain database, for example, C:\Windows\NTDS.The default is %SYSTEMROOT%\NTDS.While you can store the AD DS database and log files on volume formatted with Resilient File System (ReFS), there are no specific benefits for hosting AD DS on ReFS, other than the normal benefits of resiliency you get for hosting any data on ReFS.DelegatedAdministratorAccountName <string>Specifies the name of the user or group that can install and administer the RODC.By default, only members of the Domain Admins group can administer an RODC.DenyPasswordReplicationAccountName <string []>Specifies the names of user accounts, group accounts, and computer accounts whose passwords are not to be replicated to this RODC. Use an empty string "" if you do not want to deny the replication of credentials of any users or computers. By default, Administrators, Server Operators, Backup Operators, Account Operators, and the Denied RODC Password Replication Group are denied. By default, the Denied RODC Password Replication Group includes Cert Publishers, Domain Admins, Enterprise Admins, Enterprise Domain Controllers, Enterprise Read-Only Domain Controllers, Group Policy Creator Owners, the krbtgt account, and Schema Admins.Supply values as a string array. For example:-DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs"DnsDelegationCredential <PS Credential>You cannot specify this argument when you run the Add-ADDSReadOnlyDomainController cmdlet.Specifies the user name and password for creating DNS delegation, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OrDomainMode <DomainMode> {2 | 3 | 4 | 5 | 6}Specifies the domain functional level during the creation of a new domain.The domain functional level cannot be lower than the forest functional level, but it can be higher.The default value is automatically computed and set to the existing forest functional level or the value that is set for -ForestMode.DomainNameRequired for Install-ADDSForest and Install-ADDSDomainController cmdlets.Specifies the FQDN of the domain in which you want to install an additional domain controller.DomainNetbiosName <string>Required for Install-ADDSForest if FQDN prefix name is longer than 15 characters.Use with Install-ADDSForest. Assigns a NetBIOS name to the new forest root domain.DomainType <DomainType> {ChildDomain | TreeDomain} or {child | tree}Indicates the type of domain that you want to create: a new domain tree in an existing forest, a child of an existing domain, or a new forest.The default for DomainType is ChildDomain.ForceWhen this parameter is specified any warnings that might normally appear during the installation and addition of the domain controller will be suppressed to allow the cmdlet to complete its execution. This parameter can be useful to include when scripting installation.ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OrForestMode <ForestMode> {2 | 3 | 4 | 5 | 6}Specifies the forest functional level when you create a new forest.The default value is Win2012.InstallationMediaPathIndicates the location of the installation media that will be used to install a new domain controller.InstallDnsSpecifies whether the DNS Server service should be installed and configured on the domain controller.For a new forest, the default is $True and DNS Server is installed.For a new child domain or domain tree, if the parent domain (or forest root domain for a domain tree) already hosts and stores the DNS names for the domain, then the default for this parameter is $True.For a domain controller installation in an existing domain, if this parameter is left unspecified and the current domain already hosts and stores the DNS names for the domain, then the default for this parameter is $True. Otherwise, if DNS domain names are hosted outside of Active Directory, the default is $False and no DNS Server is installed.LogPath <string>Specifies the fully qualified, non-UNC path to a directory on a fixed disk of the local computer that contains the domain log files, for example, C:\Windows\Logs.The default is %SYSTEMROOT%\NTDS.Do not store the Active Directory log files on a data volume formatted with Resilient File System (ReFS).MoveInfrastructureOperationMasterRoleIfNecessarySpecifies whether to transfer the infrastructure master operations master role (also known as flexible single master operations or FSMO) to the domain controller that you are creating—in case it is currently hosted on a global catalog server—and you do not plan to make the domain controller that you are creating a global catalog server. Specify this parameter to transfer the infrastructure master role to the domain controller that you are creating in case the transfer is needed; in this case, specify the NoGlobalCatalog option if you want the infrastructure master role to remain where it currently is.NewDomainName <string>Required only for Install-ADDSDomain.Specifies the single domain name for the new domain.For example, if you want to create a new child domain named emea.corp.fabrikam.com, you should specify emea as the value of this argument.NewDomainNetbiosName <string>Required for Install-ADDSDomain if FQDN prefix name is longer than 15 characters.Use with Install-ADDSDomain. Assigns a NetBIOS name to the new domain. The default value is derived from the value of –NewDomainName.NoDnsOnNetworkSpecifies that DNS service is not available on the network. This parameter is used only when the IP setting of the network adapter for this computer is not configured with the name of a DNS server for name resolution. It indicates that a DNS server will be installed on this computer for name resolution. Otherwise, the IP settings of the network adapter must first be configured with the address of a DNS server.Omitting this parameter (the default) indicates that the TCP/IP client settings of the network adapter on this server computer will be used to contact a DNS server. Therefore, if you are not specifying this parameter, ensure that TCP/IP client settings are first configured with a preferred DNS server address.NoGlobalCatalogSpecifies that you do not want the domain controller to be a global catalog server.Domain controllers that run Windows Server 2012 are installed with the global catalog by default. In other words, this runs automatically without computation, unless you specify:-NoGlobalCatalogNoRebootOnCompletionSpecifies whether to restart the computer upon completion of the command, regardless of success. By default, the computer will restart. To prevent the server from restarting, specify:-NoRebootOnCompletion:$TrueThere is no equivalent for this option in the user interface (UI).ParentDomainName <string>Required for Install-ADDSDomain cmdletSpecifies the FQDN of an existing parent domain. You use this argument when you install a child domain or new domain tree.For example, if you want to create a new child domain named emea.corp.fabrikam.com, you should specify corp.fabrikam.com as the value of this argument.ReadOnlyReplicaSpecifies whether to install a read-only domain controller (RODC).ReplicationSourceDC <string>Indicates the FQDN of the partner domain controller from which you replicate the domain information. The default is automatically computed.SafeModeAdministratorPassword <securestring>Supplies the password for the administrator account when the computer is started in Safe Mode or a variant of Safe Mode, such as Directory Services Restore Mode.The default is an empty password. You must supply a password. The password must be supplied in a System.Security.SecureString format, such as that provided by read-host -assecurestring or ConvertTo-SecureString.The SafeModeAdministratorPassword argument's operation is special:If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. This is the preferred usage when running the cmdlet interactively.If specified without a value, and there are no other arguments specified to the cmdlet, the cmdlet prompts you to enter a masked password without confirmation. This is not the preferred usage when running the cmdlet interactively.If specified with a value, the value must be a secure string. This is not the preferred usage when running the cmdlet interactively.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)You can also provide a secure string as a converted clear-text variable, although this is highly discouraged. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)SiteName <string>Required for the Add-addsreadonlydomaincontrolleraccount cmdletSpecifies the site where the domain controller will be installed. There is no –sitename argument when you run Install-ADDSForest because the first site created is Default-First-Site-Name.The site name must already exist when provided as an argument to -sitename. The cmdlet will not create the site.SkipAutoConfigureDNSSkips automatic configuration of DNS client settings, forwarders, and root hints. This argument is in effect only if the DNS Server service is already installed or automatically installed with -InstallDNS.SystemKey <string>Specifies the system key for the media from which you replicate the data.The default is none.Data must be in format provided by read-host -assecurestring or ConvertTo-SecureString.SysvolPath <string>Specifies the fully qualified, non-UNC path to a directory on a fixed disk of the local computer, for example, C:\Windows\SYSVOL.The default is %SYSTEMROOT%\SYSVOL.SYSVOL cannot be stored on a data volume formatted with Resilient File System (ReFS).SkipPreChecksDoes not run the prerequisite checks before starting installation. It is not advisable to use this setting.WhatIfShows what would happen if the cmdlet runs. The cmdlet is not run.Specifying Windows PowerShell CredentialsYou can specify credentials without revealing them in plain text on screen by using Get-credentialhttps://technet.microsoft.com/library/dd315327.aspx.The operation for the -SafeModeAdministratorPassword and LocalAdministratorPassword arguments is special:If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. This is the preferred usage when running the cmdlet interactively.If specified with a value, the value must be a secure string. This is not the preferred usage when running the cmdlet interactively.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)As the previous option does not confirm the password, use extreme caution: the password is not visible.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged:-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)Providing or storing a clear text password is not recommended. Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. With that knowledge, they can impersonate the domain controller itself and elevate their privilege to the highest level in an Active Directory forest.Using test cmdletsEach ADDSDeployment cmdlet has a corresponding test cmdlet. The test cmdlets runs only the prerequisite checks for the installation operation; no installation settings are configured. The arguments for each test cmdlet are the same as for the corresponding installation cmdlet, but –SkipPreChecks is not available for test cmdlets.Test cmdlet DescriptionTest-ADDSForestInstallationRuns the prerequisites for installing a new Active Directory forest.Test-ADDSDomainInstallationRuns the prerequisites for installing a new domain in Active Directory.Test-ADDSDomainControllerInstallationRuns the prerequisites for installing a domain controller in Active Directory.Test-ADDSReadOnlyDomainControllerAccountCreationRuns the prerequisites for adding a read-only domain controller (RODC) account.Installing a new forest root domain using Windows PowerShellThe command syntax for installing a new forest is as follows. Optional arguments appear within square brackets.Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]The -DomainNetBIOSName argument is required if you want to change the 15-character name that is automatically generated based on the DNS domain name prefix or if the name exceeds 15 characters.For example, to install a new forest named corp.contoso.com and be securely prompted to provide the DSRM password, type: Install-ADDSForest –domainname "corp.contoso.com" DNS server is installed by default when you run Install-ADDSForest.To install a new forest named corp.contoso.com, create a DNS delegation in the contoso.com domain, set domain functional level to Windows Server 2008 R2 and set forest functional level to Windows Server 2008, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, and be prompted to provide the Directory Services Restore Mode password and type:Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Installing a new child or tree domain using Windows PowerShellThe command syntax for installing a new domain is as follows. Optional arguments appear within square brackets.Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.For example, to use credentials of corp\EnterpriseAdmin1 to create a new child domain named child.corp.contoso.com, install DNS server, create a DNS delegation in the corp.contoso.com domain, set domain functional level to Windows Server 2003, make the domain controller a global catalog server in a site named Houston, use DC1.corp.contoso.com as the replication source domain controller, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, and be prompted to provide the Directory Services Restore Mode password but not prompted to confirm the command, type:Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$FalseInstalling an additional (replica) domain controller using Windows PowerShellThe command syntax for installing an additional domain controller is as follows. Optional arguments appear within square brackets.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]To install a domain controller and DNS server in the corp.contoso.com domain and be prompted to supply the domain Administrator credentials and the DSRM password, type: Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com" If the computer is already domain joined and you are a member of the Domain Admins group, you can use:Install-ADDSDomainController -domainname "corp.contoso.com"To be prompted for the domain name, type:Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")The following command will use credentials of Contoso\EnterpriseAdmin1 to install a writable domain controller and a global catalog server in a site named Boston, install DNS server, create a DNS delegation in the contoso.com domain, install from media that is stored in the c:\ADDS IFM folder, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, have the server automatically restart after AD DS installation is complete, and be prompted to provide the Directory Services Restore Mode password:Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Performing a staged RODC installation using Windows PowerShellThe command syntax to create an RODC account is as follows. Optional arguments appear within square brackets.Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]The command syntax to attach a server to an RODC account is as follows. Optional arguments appear within square brackets.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]For example, to create an RODC account named RODC1: Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarAThen run the following commands on the server that you want to attach to the RODC1 account. The server cannot be joined to the domain. First, install the AD DS server role and management tools:install-windowsfeature –name AD-Domain-Services -includemanagementtoolsThe run the following command to create the RODC:Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccountPress Y to confirm or include the –confirm argument to prevent the confirmation prompt.Installing AD DS by using Server ManagerAD DS can be installed in Windows Server 2012 by using the Add Roles Wizard in Server Manager, followed by the Active Directory Domain Services Configuration Wizard, which is new beginning in Windows Server 2012. The Active Directory Domain Services Installation Wizard (dcpromo.exe) is deprecated beginning in Windows Server 2012.The following sections explain how to create server pools in order to install and manage AD DS on multiple servers, and how to use the wizards to install AD DS.Creating server poolsServer Manager can pool other servers on the network as long as they are accessible from the computer running Server Manager. Once pooled, you choose those servers for remote installation of AD DS or any other configuration options possible within Server Manager. The computer running Server Manager automatically pools itself. For more information about server pools, see Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.In order to manage a domain-joined computer using Server Manager on a workgroup server, or vice-versa, additional configuration steps are needed. For more information, see “Add and manage servers in workgroups” in Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.Installing AD DSAdministrative credentialsThe credential requirements to install AD DS vary depending on which deployment configuration you choose. For more information, see Credential requirements to run Adprep.exe and install Active Directory Domain Services.Use the following procedures to install AD DS using the GUI method. The steps can be performed locally or remotely. For more detailed explanation of these steps, see the following topics:Deploying a Forest with Server Manager Upgrade Existing AD DS Forests and Add Writable Replica Domain Controllers Create Child and Tree Domains Stage and Attach RODCs, Create RODCs without Staging To install AD DS by using Server ManagerIn Server Manager, click Manage and click Add Roles and Features to start the Add Roles Wizard.On the Before you begin page, click Next.On the Select installation type page, click Role-based or feature-based installation and then click Next.On the Select destination server page, click Select a server from the server pool, click the name of the server where you want to install AD DS and then click Next.To select remote servers, first create a server pool and add the remote servers to it. For more information about creating server pools, see Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.On the Select server roles page, click Active Directory Domain Services, then on the Add Roles and Features Wizard dialog box, click Add Features, and then click Next.On the Select features page, select any additional features you want to install and click Next.On the Active Directory Domain Services page, review the information and then click Next.On the Confirm installation selections page, click Install.On the Results page, verify that the installation succeeded, and click Promote this server to a domain controller to start the Active Directory Domain Services Configuration Wizard.If you close Add Roles Wizard at this point without starting the Active Directory Domain Services Configuration Wizard, you can restart it by clicking Tasks in Server Manager.On the Deployment Configuration page, choose one of the following options: If you are installing an additional domain controller in an existing domain, click Add a domain controller to an existing domain, and type the name of the domain (for example, emea.corp.contoso.com) or click Select… to choose a domain, and credentials (for example, specify an account that is a member of the Domain Admins group) and then click Next.The name of the domain and current user credentials are supplied by default only if the machine is domain-joined and you are performing a local installation. If you are installing AD DS on a remote server, you need to specify the credentials, by design. If current user credentials are not sufficient to perform the installation, click Change… in order to specify different credentials.For more information, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).If you are installing a new child domain, click Add a new domain to an existing forest, for Select domain type, select Child Domain, type or browse to the name of the parent domain DNS name (for example, corp.contoso.com), type the relative name of the new child domain (for example emea), type credentials to use to create the new domain, and then click Next.For more information, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).If you are installing a new domain tree, click Add new domain to an existing forest, for Select domain type, choose Tree Domain, type the name of the root domain (for example, corp.contoso.com), type the DNS name of the new domain (for example, fabrikam.com), type credentials to use to create the new domain, and then click Next.For more information, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).If you are installing a new forest, click Add a new forest and then type the name of the root domain (for example, corp.contoso.com).For more information, see Install a New Windows Server 2012 Active Directory Forest (Level 200).On the Domain Controller Options page, choose one of the following options: If you are creating a new forest or domain, select the domain and forest functional levels, click Domain Name System (DNS) server, specify the DSRM password, and then click Next.If you are adding a domain controller to an existing domain, click Domain Name System (DNS) server, Global Catalog (GC), or Read Only Domain Controller (RODC) as needed, choose the site name, and type the DSRM password and then click Next.For more information about which options on this page are available or not available under different conditions, see Domain Controller Options.On the DNS Options page (which appears only if you install a DNS server), click Update DNS delegation as needed. If you do, provide credentials that have permission to create DNS delegation records in the parent DNS zone.If a DNS server that hosts the parent zone cannot be contacted, the Update DNS Delegation option is not available.For more information about whether you need to update the DNS delegation, see Understanding Zone Delegationhttps://technet.microsoft.com/library/cc771640.aspx. If you attempt to update the DNS delegation and encounter an error, see DNS Options.On the RODC Options page (which appears only if you install an RODC), specify the name of a group or user who will manage the RODC, add accounts to or remove accounts from the Allowed or Denied password replication groups, and then click Next.For more information, see Password Replication Policyhttps://technet.microsoft.com/library/cc730883(v=ws.10).On the Additional Options page, choose one of the following options: If you are creating a new domain, type a new NetBIOS name or verify the default NetBIOS name of the domain, and then click Next.If you are adding a domain controller to an existing domain, select the domain controller that you want to replicate the AD DS installation data from (or allow the wizard to select any domain controller). If you are installing from media, click Install from media path type and verify the path to the installation source files, and then click Next.You cannot use install from media (IFM) to install the first domain controller in a domain. IFM does not work across different operating system versions. In other words, in order to install an additional domain controller that runs Windows Server 2012 by using IFM, you must create the backup media on a Windows Server 2012 domain controller. For more information about IFM, see Installing an Additional Domain Controller by Using IFMhttps://technet.microsoft.com/library/cc816722(WS.10).aspx.On the Paths page, type the locations for the Active Directory database, log files, and SYSVOL folder (or accept default locations), and click Next.Do not store the Active Directory database, log files, or SYSVOL folder on a data volume formatted with Resilient File System (ReFS).On the Preparation Options page, type credentials that are sufficient to run adprep. For more information, see Credential requirements to run Adprep.exe and install Active Directory Domain Services.On the Review Options page, confirm your selections, click View script if you want to export the settings to a Windows PowerShell script, and then click Next.On the Prerequisites Check page, confirm that prerequisite validation completed and then click Install.On the Results page, verify that the server was successfully configured as a domain controller. The server will be restarted automatically to complete the AD DS installation.Performing a Staged RODC Installation using the Graphical User InterfaceA staged RODC installation allows you to create an RODC in two stages. In the first stage, a member of the Domain Admins group creates an RODC account. In the second stage, a server is attached to the RODC account. The second stage can be completed by a member of the Domain Admins group or a delegated domain user or group.To create an RODC account by using the Active Directory management toolsYou can create the RODC account using Active Directory Administrative Center or Active Directory Users and Computers.Click Start, click Administrative Tools, and then click Active Directory Administrative Center.In the navigation pane (left pane), click the name of the domain.In the Management list (center pane), click the Domain Controllers OU.In the Tasks Pane (right pane), click Pre-create a read-only domain controller account.-Or-Click Start, click Administrative Tools, and then click Active Directory Users and Computers.Either right-click the Domain Controllers organizational unit (OU) or click the Domain Controllers OU, and then click Action.Click Pre-create Read-only Domain Controller account.On the Welcome to the Active Directory Domain Services Installation Wizard page, if you want to modify the default the Password Replication Policy (PRP), select Use advanced mode installation, and then click Next.On the Network Credentials page, under Specify the account credentials to use to perform the installation, click My current logged on credentials or click Alternate credentials, and then click Set. In the Windows Security dialog box, provide the user name and password for an account that can install the additional domain controller. To install an additional domain controller, you must be a member of the Enterprise Admins group or the Domain Admins group. When you are finished providing credentials, click Next.On the Specify the Computer Name page, type the computer name of the server that will be the RODC.On the Select a Site page, select a site from the list or select the option to install the domain controller in the site that corresponds to the IP address of the computer on which you are running the wizard, and then click Next.On the Additional Domain Controller Options page, make the following selections, and then click Next:DNS server: This option is selected by default so that your domain controller can function as a Domain Name System (DNS) server. If you do not want the domain controller to be a DNS server, clear this option. However, if you do not install the DNS server role on the RODC and the RODC is the only domain controller in the branch office, users in the branch office will not be able to perform name resolution when the wide area network (WAN) to the hub site is offline.Global catalog: This option is selected by default. It adds the global catalog, read-only directory partitions to the domain controller, and it enables global catalog search functionality. If you do not want the domain controller to be a global catalog server, clear this option. However, if you do not install a global catalog server in the branch office or enable universal group membership caching for the site that includes the RODC, users in the branch office will not be able to log on to the domain when the WAN to the hub site is offline.Read-only domain controller. When you create an RODC account, this option is selected by default and you cannot clear it.If you selected the Use advanced mode installation check box on the Welcome page, the Specify the Password Replication Policy page appears. By default, no account passwords are replicated to the RODC, and security-sensitive accounts (such as members of the Domain Admins group) are explicitly denied from ever having their passwords replicated to the RODC.To add other accounts to policy, click Add, then click Allow passwords for the account to replicate to this RODC or click Deny passwords for the account from replicating to this RODC and then select the accounts.When complete (or to accept the default setting), click Next.On the Delegation of RODC Installation and Administration page, type the name of the user or the group who will attach the server to the RODC account that you are creating. You can type the name of only one security principal.To search the directory for a specific user or group, click Set. In Select User or Group, type the name of the user or group. We recommend that you delegate RODC installation and administration to a group.This user or group will also have local administrative rights on the RODC after the installation. If you do not specify a user or group, only members of the Domain Admins group or the Enterprise Admins group will be able to attach the server to the account.When you are finished, click Next.On the Summary page, review your selections. Click Back to change any selections, if necessary.To save the settings that you selected to an answer file that you can use to automate subsequent AD DS operations, click Export settings. Type a name for your answer file, and then click Save.When you are sure that your selections are accurate, click Next to create the RODC account.On the Completing the Active Directory Domain Services Installation Wizard page, click Finish.After an RODC account is created, you can attach a server to account to complete the RODC installation. This second stage can be completed in the branch office where the RODC will be located. The server where you perform this procedure must not be joined to the domain. Beginning in Windows Server 2012, you use the Add Roles Wizard in Server Manager to attach a server to an RODC account.To attach a server to an RODC account using Server ManagerLog on as local Administrator.In Server Manager, click Add roles and features.On the Before you begin page, click Next.On the Select installation type page, click Role-based or feature-based installation and then click Next.On the Select destination server page, click Select a server from the server pool, click the name of the server where you want to install AD DS and then click Next.On the Select server roles page, click Active Directory Domain Services, click Add Features and then click Next.On the Select features page, select any additional features that you want to install and click Next.On the Active Directory Domain Services page, review the information and then click Next.On the Confirm installation selections page, click Install.On the Results page, verify Installation succeeded, and click Promote this server to a domain controller to start the Active Directory Domain Services Configuration Wizard.If you close Add Roles Wizard at this point without starting the Active Directory Domain Services Configuration Wizard, you can restart it by clicking Tasks in Server Manager.On the Deployment Configuration page, click Add a domain controller to an existing domain, type the name of the domain (for example, emea.contoso.com) and credentials (for example, specify an account that is delegated to manage and install the RODC), and then click Next.On the Domain Controller Options page, click Use existing RODC account, type and confirm the Directory Services Restore Mode password, and then click Next.On the Additional Options page, if you are installing from media, click Install from media path type and verify the path to the installation source files, select the domain controller that you want to replicate the AD DS installation data from (or allow the wizard to select any domain controller) and then click Next.On the Paths page, type the locations for the Active Directory database, log files, and SYSVOL folder, or accept default locations, and then click Next.On the Review Options page, confirm your selections, click View Script to export the settings to a Windows PowerShell script, and then click Next.On the Prerequisites Check page, confirm that prerequisite validation completed and then click Install.To complete the AD DS installation, the server will restart automatically.Troubleshooting Domain Controller Deployment Install a New Windows Server 2012 Active Directory Forest (Level 200) Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200) Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200)