Instalar Servicios de dominio de Active Directory (Nivel 100)

Se aplica a: Windows Server 2012 R2, Windows Server 2012

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="es-ES">En este tema se explica cómo instalar AD DS en Windows Server 2012 mediante cualquiera de los siguientes métodos:Credential requirements to run Adprep.exe and install Active Directory Domain Services Installing AD DS by Using Windows PowerShell Installing AD DS by using Server Manager Performing a Staged RODC Installation using the Graphical User Interface Requisitos de credenciales para ejecutar Adprep.exe e instalar los Servicios de dominio de Active DirectorySe necesitan las siguientes credenciales para ejecutar Adprep.exe e instalar AD DS.Para instalar un nuevo bosque, debe iniciar sesión como Administrador local del equipo.Para instalar un nuevo dominio secundario o un nuevo árbol de dominios, debe haber iniciado sesión como miembro del grupo Administradores de empresas.Para instalar un controlador de dominio adicional en un dominio existente, debe ser miembro del grupo Admins. del dominio.Si no ejecuta el comando adprep.exe en forma separada y está instalando el primer controlador de dominio que ejecuta Windows Server 2012 en un dominio o bosque existente, se le pedirá que proporcione las credenciales para ejecutar los comandos Adprep. Los requisitos de credenciales son los siguientes:Para introducir el primer controlador de dominio de Windows Server 2012 en el bosque, debe proporcionar credenciales para un miembro del grupo Administradores de empresas, Administradores de esquema y Admins. del dominio en el dominio que hospeda el maestro de esquema.Para introducir el primer controlador de dominio de Windows Server 2012 en un dominio, debe proporcionar credenciales de un miembro del grupo Admins. del dominio.Para introducir el primer controlador de dominio de solo lectura (RODC) en el bosque, debe proporcionar credenciales para un miembro del grupo Administradores de empresas.Si ya ha ejecutado adprep /rodcprep en Windows Server 2008 o Windows Server 2008 R2, no es necesario que vuelva a ejecutarlo nuevamente para Windows Server 2012.Instalar AD DS mediante Windows PowerShellComenzando con Windows Server 2012, puede instalar AD DS con Windows PowerShell. Dcpromo.exe está en desuso a partir de Windows Server 2012, pero aún puede ejecutar dcpromo.exe mediante un archivo de respuesta (dcpromo /unattend:<archivo_de_respuesta> o dcpromo /answer:<archivo_de_respuesta>). La capacidad de continuar ejecutando dcpromo.exe con un archivo de respuesta les proporciona a las organizaciones que cuentan con los recursos invertidos en automatización existente el tiempo para convertir la automatización de dcpromo.exe a Windows PowerShell. Para obtener más información acerca de la ejecución de dcpromo.exe con un archivo de respuesta, consulte https://support.microsoft.com/kb/947034https://support.microsoft.com/kb/947034.Para obtener más información sobre la eliminación de AD DS con Windows PowerShell, consulte Remove AD DS using Windows PowerShell.Comience por agregar el rol mediante Windows PowerShell. Este comando instala el rol de servidor de AD DS y las herramientas de administración de AD DS y del servidor de AD LDS, incluidas las herramientas basadas en la GUI como Usuarios y equipos de Active Directory y herramientas de la línea de comandos como dcdia.exe. Las herramientas de administración del servidor no se instalan de forma predeterminada al usar Windows PowerShell. Necesita especificar –IncludeManagementTools para administrar el servidor local o instalar Herramientas de administración remota del servidorhttps://www.microsoft.com/download/details.aspx?id=28972 para administrar un servidor remoto.Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools <<Windows PowerShell cmdlet and arguments>>No es necesario reiniciar hasta después de que la instalación de AD DS esté completa.Después podrá ejecutar este comando para ver los cmdlets disponibles en el módulo ADDSDeployment.Get-command –module ADDSDeploymentPara ver la lista de argumentos que se pueden especificar para cmdlets y la sintaxis: Get-help <cmdlet name>Por ejemplo, para ver los argumentos para crear una cuenta de controlador de dominio de solo lectura (RODC) no ocupado, escribaGet-help Add-ADDSReadOnlyDomainControllerAccountLos argumentos opcionales aparecen entre corchetes.También puede descargar los ejemplos de Ayuda más recientes y conceptos para cmdlets de Windows PowerShell. Para obtener más información, consulte about_Updatable_Helphttps://technet.microsoft.com/library/hh847735.aspx.Puede ejecutar los cmdlets de Windows PowerShell contra servidores remotos: En Windows PowerShell, use invoke-command con el cmdlet ADDSDeployment. Por ejemplo, para instalar AD DS en un servidor remoto denominado ConDC3 en el dominio contoso.com, escriba:invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3O bien:En el Administrador del servidor, cree un grupo de servidores que incluya el servidor remoto. Haga clic con el botón secundario en el nombre del servidor remoto y haga clic en Windows PowerShell.En las secciones siguientes se explica cómo ejecutar los cmdlets del módulo ADDSDeployment para instalar AD DS.ADDSDeployment cmdlet arguments Specifying Windows PowerShell Credentials Using test cmdlets Installing a new forest root domain using Windows PowerShell Installing a new child or tree domain using Windows PowerShell Installing an additional (replica) domain controller using Windows PowerShell Argumentos del cmdlet ADDSDeploymentEn la tabla siguiente se muestran los argumentos para los cmdlets ADDSDeployment de Windows PowerShell. Los argumentos en negrita son obligatorios. Los argumentos equivalentes para dcpromo.exe se muestran entre paréntesis en la lista si se denominan de otra manera en Windows PowerShell.Los conmutadores de Windows PowerShell aceptan los argumentos $TRUE o $FALSE. No es necesario especificar los argumentos que son $True de forma predeterminada.Para reemplazar los valores predeterminados, se puede especificar el argumento con un valor $False. Por ejemplo, como -installdns se ejecuta automáticamente para la instalación de un bosque nuevo si no se especifica, la única forma para impedir la instalación de DNS cuando se instala un bosque nuevo consiste en usar :-InstallDNS:$falseDe forma similar, como –installdns tiene un valor predeterminado de $False si se instala un controlador de dominio en un entorno que no hospeda el servidor DNS de Windows Server, es necesario especificar el siguiente argumento para instalar el servidor DNS:-InstallDNS:$trueArgumentoDescripciónADPrepCredential <Credencial de PS>Es obligatorio si se instala el primer controlador de dominio de Windows Server 2012 en un dominio o bosque y las credenciales del usuario actual son insuficientes para realizar la operación.Especifica la cuenta con pertenencia a los grupos Administradores de empresas y Administradores de esquema que pueden preparar el bosque, de acuerdo con las reglas de Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx y un objeto PSCredential.Si no se especifica ningún valor, se usa el valor del argumento –credential.AllowDomainControllerReinstallEspecifica si se debe continuar con la instalación de este controlador de dominio de escritura a pesar de que se detecte otra cuenta de controlador de dominio de escritura con el mismo nombre.Use $True únicamente si está seguro de que la cuenta no se encuentra en uso por otro controlador de dominio de escritura.El valor predeterminado es $False.Este argumento no es válido para un RODC.AllowDomainReinstallEspecifica si se crea de nuevo un dominio existente.El valor predeterminado es $False.AllowPasswordReplicationAccountName <cadena []>Especifica los nombres de las cuentas de usuario, de grupo y de equipo cuyas contraseñas se pueden replicar en este controlador de dominio de solo lectura (RODC). Use una cadena vacía "" si desea mantener el valor vacío. De forma predeterminada, solo se permite el Grupo de replicación de contraseña RODC permitida, y originalmente se crea vacío.Proporcione los valores como una matriz de cadenas. Por ejemplo:-AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users"ApplicationPartitionsToReplicate <cadena []>No existe ninguna opción equivalente en la UI. Si se instala mediante la UI, o con IFM, todas las particiones de la partición se replicarán.Especifica las particiones de directorio de la aplicación que se replicarán. Este argumento se aplica únicamente cuando se especifica el argumento -InstallationMediaPath para instalar desde los medios (IFM). De forma predeterminada, todas las aplicaciones de la partición se replicarán según sus propios ámbitos.Proporcione los valores como una matriz de cadenas. Por ejemplo:-ApplicationPartitionsToReplicate "partition1","partition2","partition3"ConfirmSolicita confirmación antes de ejecutar el cmdlet.CreateDNSDelegationEste argumento no se puede especificar cuando se ejecuta el cmdlet Add-ADDSReadOnlyDomainController.Indica si se creará una delegación DNS que hace referencia al nuevo servidor DNS que se está instalando junto con el controlador de dominio. Solamente es válido para DNS integrado en Active Directory. Los registros de delegación se pueden crear únicamente en servidores DNS de Microsoft DNS que están en línea y son accesibles. Los registros de delegación no se pueden crear para dominios que se subordinan inmediatamente a dominios de nivel superior como .com, .gov, .biz, .edu o dominios de código de país de dos letras como .nz y .au.El valor predeterminado se calcula automáticamente según el entorno.Credencial <Credencial de PS>Es obligatorio únicamente si las credenciales del usuario actual son insuficientes para realizar la operación.Especifica la cuenta de dominio que puede iniciar sesión en el dominio, de acuerdo con las reglas de Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx y un objeto PSCredential.Si no se especifica ningún valor, se usan las credenciales del usuario actual.CriticalReplicationOnlyEspecifica si la operación de instalación de AD DS realiza únicamente una replicación crítica antes del reinicio y después continúa. La replicación no crítica tiene lugar tras finalizar la instalación y reiniciar el equipo.No se recomienda el uso de este argumento.No existe ningún equivalente para esta opción en la interfaz de usuario (UI).DatabasePath <cadena>Especifica la ruta de acceso no UNC (convención de nomenclatura universal) completa del directorio en un disco fijo del equipo local que contiene la base de datos del dominio; por ejemplo, C:\Windows\NTDS.El valor predeterminado es %SYSTEMROOT%\NTDS.Si bien puede almacenar la base de datos de AD DS y archivos de registro en un volumen cuyo formato se aplicó con el Sistema de archivos resistente (ReFS), no existen beneficios específicos para hospedar AD DS en ReFS, más que los beneficios normales de resistencia que puede obtener hospedando cualquier dato en ReFS.DelegatedAdministratorAccountName <cadena>Especifica el nombre del usuario o del grupo que puede instalar y administrar el RODC.De forma predeterminada, únicamente los miembros del grupo Admins. del dominio pueden administrar un RODC.DenyPasswordReplicationAccountName <cadena []>Especifica los nombres de las cuentas de usuario, de grupo y de equipo cuyas contraseñas no se van a replicar en este RODC. Use una cadena vacía "" si no quiere denegar la replicación de credenciales de ningún usuario ni equipo. De forma predeterminada, se deniegan los Administradores, Operadores de servidores, Operadores de copia de seguridad, Operadores de cuentas y el Grupo de replicación de contraseña RODC denegada. De forma predeterminada, el Grupo de replicación de contraseña RODC denegada incluye Publicadores de certificados, Admins. del dominio, Administradores de empresas, Enterprise Domain Controllers, Enterprise Domain Controllers de solo lectura, Propietarios del creador de directivas de grupo, la cuenta krbtgt y los Administradores de esquema.Proporcione los valores como una matriz de cadenas. Por ejemplo:-DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs"DnsDelegationCredential <Credencial de PS>Este argumento no se puede especificar cuando se ejecuta el cmdlet Add-ADDSReadOnlyDomainController.Especifica el nombre de usuario y la contraseña para crear la delegación DNS, de acuerdo con las reglas de Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx y un objeto PSCredential.DomainMode <ModoDominio> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}O bienDomainMode <ModoDominio> {2 | 3 | 4 | 5 | 6}Especifica el nivel funcional del dominio durante la creación de un dominio nuevo.El nivel funcional del dominio no puede ser inferior que el del bosque, pero puede ser superior.El valor predeterminado se calcula automáticamente y se establece en el nivel funcional del bosque existente, o el valor que se establece para -ForestMode.DomainNameObligatorio para los cmdlets Install-ADDSForest e Install-ADDSDomainController.Especifica el FQDN del dominio en el que se quiere instalar un controlador de dominio adicional.DomainNetbiosName <cadena>Obligatorio para Install-ADDSForest si el nombre del prefijo FQDN tiene más de 15 caracteres.Úselo con Install-ADDSForest. Asigna un nombre NetBIOS al nuevo dominio raíz del bosque.DomainType <TipoDominio> {ChildDomain | TreeDomain} o {child | tree}Indica el tipo de dominio que se quiere crear: un nuevo árbol de dominios en un bosque existente, un elemento secundario en un dominio existente, o un bosque nuevo.El valor predeterminado para DomainType es ChildDomain.ForceCuando se especifica este parámetro, todas las advertencias que normalmente aparecerían durante la instalación y adición del controlador de dominio se suprimirán para permitir que el cmdlet complete su ejecución. Puede ser útil incluir este parámetro cuando se automatiza la instalación.ForestMode <ModoBosque> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}O bienForestMode <ModoBosque> {2 | 3 | 4 | 5 | 6}Especifica el nivel funcional del bosque cuando se crea un nuevo bosque.El valor predeterminado es Win2012.InstallationMediaPathIndica la ubicación de los medios de instalación que se usarán para instalar un nuevo controlador de dominio.InstallDnsEspecifica si el servicio del servidor DNS debe instalarse y configurarse en el controlador de dominio.Para un bosque nuevo, el valor predeterminado es $True y el servidor DNS se instala.Para un dominio secundario nuevo o un árbol de dominios, si el dominio primario (o dominio raíz del bosque para un árbol de dominios) ya hospeda y almacena los nombres DNS para el dominio, el valor predeterminado para este parámetro será $True.Para la instalación de un controlador de dominio en un dominio existente, si no se especifica este parámetro y el dominio actual ya hospeda y almacena los nombres DNS para el dominio, el valor predeterminado para este parámetro será $True. De lo contrario, si los nombres de dominio DNS se hospedan fuera de Active Directory, el valor predeterminado es $False y no se instala ningún servidor DNS.LogPath <cadena>Especifica la ruta de acceso no UNC completa del directorio en un disco fijo del equipo local que contiene los archivos de registro del dominio; por ejemplo, C:\Windows\Logs.El valor predeterminado es %SYSTEMROOT%\NTDS.No almacene los archivos de registro de Active Directory en un volumen de datos formateado con el Sistema de archivos resistente (ReFS).MoveInfrastructureOperationMasterRoleIfNecessaryEspecifica si se transferirá el rol maestro de operaciones del maestro de infraestructura (también conocido como operaciones de maestro único flexible o FSMO) al controlador de dominio que está creando (en caso de que se hospede actualmente en un servidor de catálogo global) y no planee hacer que el controlador de dominio que está creando sea un servidor de catálogo global. Especifique este parámetro para transferir el rol maestro de infraestructura al controlador de dominio que se está creando en caso de que sea necesaria la transferencia. En este caso, especifique la opción NoGlobalCatalog si quiere que el rol maestro de infraestructura permanezca donde se encuentra actualmente.NewDomainName <cadena>Obligatoria solo para Install-ADDSDomain.Especifica el nombre de dominio único para el nuevo dominio.Por ejemplo, si quiere crear un dominio secundario nuevo llamado emea.corp.fabrikam.com, debe especificar emea como valor para este argumento.NewDomainNetbiosName <cadena>Obligatorio para Install-ADDSDomain si el nombre del prefijo FQDN tiene más de 15 caracteres.Úselo con Install-ADDSDomain. Asigna un nombre NetBIOS al nuevo dominio. El valor predeterminado se deriva del valor de –NewDomainName.NoDnsOnNetworkEspecifica que el servicio DNS no se encuentra disponible en la red. Este parámetro únicamente se usa cuando la configuración IP del adaptador de red de este equipo no está configurado con el nombre de un servidor DNS para la resolución de nombres. Indica que un servidor DNS se instalará en este equipo para la resolución de nombres. De lo contrario, la configuración IP del adaptador de la red debe configurarse primero con la dirección de un servidor DNS.La omisión de este parámetro (valor predeterminado) indica que la configuración de cliente TCP/IP del adaptador de red en este equipo servidor se usará para establecer contacto con un servidor DNS. Por lo tanto, si no especifica este parámetro, asegúrese de que la configuración de cliente TCP/IP se establezca con una dirección de servidor DNS preferida.NoGlobalCatalogEspecifica que no se quiere que el nuevo controlador de dominio sea un servidor de catálogo global.Los controladores de dominio que ejecutan Windows Server 2012 se instalan con el catálogo global de forma predeterminada. En otras palabras, esto se ejecuta automáticamente sin cálculos, salvo que se especifique:-NoGlobalCatalogNoRebootOnCompletionEspecifica si se va a reiniciar el equipo tras completar el comando, sin tener en cuenta si se ha realizado correctamente. De forma predeterminada, el equipo se reiniciará. Para impedir que el servidor se reinicie, especifique:-NoRebootOnCompletion:$TrueNo existe ningún equivalente para esta opción en la interfaz de usuario (UI).ParentDomainName <cadena>Obligatorio para el cmdlet Install-ADDSDomainEspecifica el FQDN de un dominio primario existente. Este argumento se usa cuando se instala un dominio secundario o un árbol de dominios nuevo.Por ejemplo, si quiere crear un dominio secundario nuevo llamado emea.corp.fabrikam.com, debe especificar corp.fabrikam.com como valor para este argumento.ReadOnlyReplicaEspecifica si se va a instalar el controlador de dominio de solo lectura (RODC).ReplicationSourceDC <cadena>Indica el FQDN del controlador de dominio asociado desde el cual replica la información de dominio. El valor predeterminado se calcula automáticamente.SafeModeAdministratorPassword <cadenaSegura>Proporciona la contraseña de la cuenta de administrador cuando el equipo se inicia en el modo seguro o una variante de este, como el modo de restauración del servicio de directorio.El valor predeterminado es una contraseña vacía. Debe proporcionar una contraseña. La contraseña debe proporcionarse en un formato System.Security.SecureString, como la proporcionada por read-host -assecurestring o ConvertTo-SecureString.La operación del argumento SafeModeAdministratorPassword es especial: si no se especifica como un argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva. Si se especifica sin un valor y no hay otros argumentos especificados para el cmdlet, este le pide que escriba una contraseña enmascarada sin confirmación. Este no es el uso preferido cuando el cmdlet se ejecuta en forma interactiva. Si se especifica con un valor, el valor debe ser una cadena segura. Este no es el uso preferido cuando el cmdlet se ejecuta en forma interactiva. Por ejemplo, puede solicitar en forma manual una contraseña mediante el cmdlet Read-Host para pedirle al usuario una cadena segura: -safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). También puede proporcionar una cadena segura como una variable no cifrada convertida, pero esto no se recomienda. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)SiteName <cadena>Obligatorio para el cmdlet Add-addsreadonlydomaincontrolleraccountEspecifica el sitio en el que se instalará el controlador de dominio. No hay ningún argumento –sitename cuando ejecuta Install-ADDSForest, porque el primer sitio creado es Default-First-Site-Name.El nombre del sitio ya debe existir cuando se proporciona como un argumento para -sitename. El cmdlet no creará el sitio.SkipAutoConfigureDNSOmite la configuración automática de la configuración de cliente DNS, reenviadores y sugerencias de raíz. Este argumento se activa únicamente si el servicio del servidor DNS ya está instalado o se instala automáticamente con -InstallDNS.SystemKey <cadena>Especifica la clave del sistema para los medios desde los que replica los datos.El valor predeterminado es none.Los datos deben estar en el formato proporcionado por read-host -assecurestring o ConvertTo-SecureString.SysvolPath <cadena>Especifica la ruta de acceso no UNC completa del directorio en un disco fijo del equipo local; por ejemplo, C:\Windows\SYSVOL.El valor predeterminado es %SYSTEMROOT%\SYSVOL.SYSVOL no puede almacenarse en un volumen de datos formateado con el Sistema de archivos resistente (ReFS).SkipPreChecksNo ejecuta las comprobaciones de requisitos previos antes de comenzar la instalación. No se recomienda usar esta configuración.WhatIfMuestra lo que sucedería si se ejecutara el cmdlet. El cmdlet no se ejecuta.Especificación de las credenciales de Windows PowerShellPuede especificar las credenciales sin revelarlas en texto sin formato en pantalla mediante Get-credentialhttps://technet.microsoft.com/library/dd315327.aspx.El funcionamiento para los argumentos -SafeModeAdministratorPassword y LocalAdministratorPassword es especial:Si no se especifica como un argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.Si se especifica con un valor, este debe ser una cadena segura. Este no es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.Por ejemplo, puede solicitar una contraseña en forma manual mediante el cmdlet Read-Host para pedirle al usuario una cadena segura-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)Como la opción anterior no confirma la contraseña, tenga mucho cuidado: la contraseña no es visible.También puede proporcionar una cadena segura como una cadena segura como una variable no cifrada convertida, pero esto no se recomienda:-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)No se recomienda proporcionar o almacenar una contraseña no cifrada. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de DSRM de ese controlador de dominio. Si saben esto, podrán suplantar el controlador de dominio y elevar su privilegio al nivel máximo en un bosque de Active Directory.Uso de cmdlets de pruebaCada cmdlet ADDSDeployment tiene un cmdlet de prueba correspondiente. Los cmdlets de prueba ejecutan solo las comprobaciones de requisitos previos para la operación de instalación; no se configura la instalación. Los argumentos para cada cmdlet de prueba son los mismos que para el cmdlet de instalación correspondiente, pero –SkipPreChecks no se encuentra disponible para los cmdlets de prueba.Cmdlet de prueba DescripciónTest-ADDSForestInstallationEjecuta los requisitos previos para la instalación de un bosque nuevo de Active Directory.Test-ADDSDomainInstallationEjecuta los requisitos previos para la instalación de un dominio nuevo de Active Directory.Test-ADDSDomainControllerInstallationEjecuta los requisitos previos para la instalación de un controlador de dominio de Active Directory.Test-ADDSReadOnlyDomainControllerAccountCreationEjecuta los requisitos previos para agregar una cuenta de controlador de dominio de solo lectura (RODC).Instalación de un nuevo dominio raíz del bosque mediante Windows PowerShellLa sintaxis de comando para la instalación de un busque nuevo es la siguiente. Los argumentos opcionales aparecen entre corchetes.Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Se requiere el argumento -DomainNetBIOSName si se quiere cambiar el nombre de 15 caracteres que se genera automáticamente según el prefijo de nombre DNS o si el nombre excede los 15 caracteres.Por ejemplo, para instalar un nuevo bosque llamado corp.contoso.com y que se pida en forma segura que se proporcione la contraseña de DSRM, escriba: Install-ADDSForest –domainname "corp.contoso.com" El servidor DNS se instala de forma predeterminada cuando se ejecuta Install-ADDSForest.Para instalar un bosque nuevo llamado corp.contoso.com, cree una delegación DNS en el dominio contoso.com, configure el nivel funcional del dominio en Windows Server 2008 R2 y establezca el nivel funcional del bosque en Windows Server 2008, instale la base de datos de Active Directory y SYSVOL en la unidad D:\, instale los archivos de registro en la unidad E:\, y ese le pedirá que proporcione la contraseña de modo de restauración de servicios de directorio y escriba:Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Instalación de un nuevo dominio de árbol o secundario mediante Windows PowerShellLa sintaxis de comando para la instalación de un dominio nuevo es la siguiente. Los argumentos opcionales aparecen entre corchetes.Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]El argumento -credential solamente es necesario cuando no se encuentra con una sesión iniciada actualmente como miembro del grupo Administradores de empresas.Se requiere el argumento -NewDomainNetBIOSName si se quiere cambiar el nombre de 15 caracteres que se genera automáticamente según el prefijo de nombre DNS o si el nombre excede los 15 caracteres.Por ejemplo, para usar las credenciales de corp\EnterpriseAdmin1 para crear un nuevo dominio secundario llamado child.corp.contoso.com, instale el servidor DNS, cree una delegación DNS en el dominio corp.contoso.com, establezca el nivel funcional de dominio en Windows Server 2003, convierta el control de dominio en un servidor de catálogo global en un sitio llamado Houston, use DC1.corp.contoso.com como el controlador de dominio de origen de replicación, instale la base de datos de Active Directory y SYSVOL en la unidad D:\, instale los archivos de registro en la unidad E:\, y se le pedirá que proporcione la contraseña de modo de restauración de servicios de directorio, pero no se le pedirá que confirme el comando, escriba:Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$FalseInstalación de un controlador de dominio adicional (réplica) mediante Windows PowerShellLa sintaxis de comando para la instalación de un controlador de dominio adicional es la siguiente. Los argumentos opcionales aparecen entre corchetes.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Para instalar un controlador de dominio y servidor DNS en el dominio corp.contoso.com y se le pida que proporcione las credenciales de Administrador de dominio y la contraseña DSRM, escriba: Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com" Si el equipo ya se ha unido a un dominio y usted es miembro del grupo Admins. del dominio, puede usar:Install-ADDSDomainController -domainname "corp.contoso.com"Para que se le pida el nombre del dominio, escriba:Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")El siguiente comando usará las credenciales de Contoso\EnterpriseAdmin1 para instalar un controlador de dominio de escritura y un servidor de catálogo global en un sitio llamado Boston, instale el servidor DNS, cree una delegación DNS en el dominio contoso.com, instale desde los medios almacenados en la carpeta c:\ADDS IFM, instale la base de datos de Active Directory y SYSVOL en la unidad D:\, instale los archivos de registro en la unidad E:\, haga que el servidor se reinicie automáticamente después de que termine la instalación de AD DS, y se le pedirá que proporcione la contraseña de modo de restauración de servicios de directorio:Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Instalación por fases de un RODC con Windows PowerShellLa sintaxis de comando para crear una cuenta RODC es la siguiente. Los argumentos opcionales aparecen entre corchetes.Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]La sintaxis de comando para adjuntar un servidor a una cuenta RODC es la siguiente. Los argumentos opcionales aparecen entre corchetes.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]Por ejemplo, para crear una cuenta RODC denominada RODC1: Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarAA continuación, ejecute los siguientes comandos en el servidor que quiera adjuntar a la cuenta RODC1. El servidor no se puede unir al dominio. Instale primero el rol de servidor de AD DS y las herramientas de administración:install-windowsfeature –name AD-Domain-Services -includemanagementtoolsPara ejecutar el siguiente comando para crear el RODC:Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccountPresione Y para confirmar o incluir el argumento –confirm y así evitar el mensaje de confirmación.Instalar AD DS mediante el Administrador del servidorAD DS se puede instalar en Windows Server 2012 mediante el Asistente para agregar roles en el Administrador del servidor, seguido del Asistente para configuración de Servicios de dominio de Active Directory, que es nuevo a partir de Windows Server 2012. El Asistente para instalación de Servicios de dominio de Active Directory (dcpromo.exe) está en desuso a partir de Windows Server 2012.En las siguientes secciones se explica cómo crear grupos de servidores para instalar y administrar AD DS en varios servidores, y cómo usar los asistentes para instalar AD DS.Creación de grupos de servidoresEl Administrador del servidor puede agrupar otros servidores de la red siempre y cuando estén accesibles desde el equipo que ejecuta el Administrador del servidor. Una vez agrupados, elige aquellos servidores para la instalación remota de AD DS o cualquier otra opción de configuración posible dentro del Administrador del servidor. El equipo que ejecuta el Administrador del servidor se agrupa automáticamente. Para obtener más información acerca de la creación de grupos de servidores, consulte Adición de servidores al Administrador del servidorhttps://technet.microsoft.com/library/hh831453.aspx.Para administrar un equipo unidos a dominios con el Administrador del servidor en un servidor del grupo de trabajo, o viceversa, se necesitan pasos de configuración adicionales. Para obtener más información, vea "Agregar y administrar servidores en grupos de trabajo" en Adición de servidores al Administrador del servidorhttps://technet.microsoft.com/library/hh831453.aspx.Instalación de AD DSCredenciales administrativasLos requisitos de credenciales para instalar AD DS varían según la configuración de implementación que se elija. Para obtener más información, consulte Credential requirements to run Adprep.exe and install Active Directory Domain Services.Use los siguientes procedimientos para instalar AD DS con el método de la GUI. Los pasos se pueden realizar en forma remota o local. Para obtener una explicación más detallada de estos pasos, consulte los siguientes temas:Deploying a Forest with Server Manager Upgrade Existing AD DS Forests and Add Writable Replica Domain Controllers Create Child and Tree Domains Stage and Attach RODCs, Create RODCs without Staging Para instalar AD DS mediante el Administrador del servidorEn el Administrador del servidor, haga clic en Administrar y en Agregar roles y características para iniciar el Asistente para agregar roles.En la página Antes de comenzar, haga clic en Siguiente.En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles y, a continuación, en Siguiente.En la página Seleccionar servidor de destino, haga clic en Seleccionar un servidor del grupo de servidores, en el nombre del servidor donde quiere instalar AD DS y, a continuación, en Siguiente.Para seleccionar servidores remotos, primero cree un grupo de servidores y agréguele los servidores remotos. Para obtener más información acerca de la creación de grupos de servidores, vea Adición de servidores al Administrador del servidorhttps://technet.microsoft.com/library/hh831453.aspx.En la página Seleccionar roles de servidor, haga clic en Servicios de dominio de Active Directory, después en el cuadro de diálogo Asistente para agregar roles y características, haga clic en Agregar características y, a continuación, en Siguiente.En la página Seleccionar características, seleccione las características adicionales que quiera instalar y haga clic en Siguiente.En la página Servicios de dominio de Active Directory, revise la información y haga clic en Siguiente.En la página Confirmar selecciones de instalación, haga clic en Instalar.En la página Resultados, compruebe que la instalación se haya realizado correctamente y haga clic en Promover este servidor a controlador de dominio para iniciar el Asistente para configuración de Servicios de dominio de Active Directory.Si cierra el Asistente para agregar roles en este momento sin iniciar el Asistente para configuración de Servicios de dominio de Active Directory, podrá hacer clic en Tareas en el Administrador del servidor para reiniciarlo.En la página Configuración de implementación, elija una de las siguientes opciones: Si está instalando un controlador de dominio adicional en un dominio existente, haga clic en Agregar un controlador de dominio a un dominio existente y escriba el nombre del dominio (por ejemplo, emea.corp.contoso.com) o haga clic en Seleccionar… para elegir un dominio, y credenciales (por ejemplo, especifique una cuenta que sea miembro del grupo Admins. del dominio) y, a continuación, haga clic en Siguiente.El nombre del dominio y las credenciales de usuario actuales se proporcionan de forma predeterminada solo si la máquina está unida a un dominio y se está realizando una instalación local. Si está instalando AD DS en un servidor remoto, es necesario que especifique las credenciales, por diseño. Si las credenciales de usuario actuales no son suficientes para realizar la instalación, haga clic en Cambiar… para especificar credenciales distintas.Para obtener más información, consulte Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).Si está instalando un nuevo dominio secundario, haga clic en Agregar un nuevo dominio a un bosque existente, para Seleccionar tipo de dominio, seleccione Dominio secundario, escriba o busque el nombre del dominio DNS primario (por ejemplo, corp.contoso.com), escriba el nombre relativo del dominio secundario nuevo (por ejemplo, emea), escriba las credenciales que quiera usar para crear el dominio nuevo y, a continuación, haga clic en Siguiente.Para obtener más información, consulte Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).Si va a instalar un nuevo árbol de dominios, haga clic en Agregar un nuevo dominio a un bosque existente, en Seleccionar tipo de dominio elija Dominio de árbol, escriba el nombre del dominio raíz (por ejemplo, corp.contoso.com), escriba el nombre de DNS del dominio nuevo (por ejemplo, fabrikam.com), escriba las credenciales que quiera usar para crear el dominio nuevo y, a continuación, haga clic en Siguiente.Para obtener más información, consulte Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).Si está instalando un nuevo bosque, haga clic en Agregar un nuevo bosque y, a continuación, escriba el nombre del dominio raíz (por ejemplo, corp.contoso.com).Para obtener más información, consulte Install a New Windows Server 2012 Active Directory Forest (Level 200).En la página Opciones del controlador de dominio, elija una de las siguientes opciones: Si está creando un nuevo bosque o dominio, seleccione los niveles funcionales del dominio y del bosque, haga clic en Servidor de Sistema de nombres de dominio (DNS), especifique la contraseña DSRM y, a continuación, haga clic en Siguiente.Si está agregando un controlador de dominio a un dominio existente, haga clic en Servidor de Sistema de nombres de dominio (DNS), Catálogo global (GC) o Controlador de dominio de solo lectura (RODC) según sea necesario, elija el nombre del sitio, escriba la contraseña DSRM y, a continuación, haga clic en Siguiente.Para obtener más información acerca de qué opciones de esta página están o no están disponibles en distintas condiciones, vea Domain Controller Options.En la página Opciones de DNS (que solo aparece si instala un servidor DNS), haga clic en Actualizar delegación DNS según sea necesario. Si es necesario, proporcione las credenciales que tengan permiso para crear registros de delegación DNS en la zona DNS primaria.Si no se puede entrar en contacto con un servidor DNS que hospeda la zona primaria, la opción Actualizar delegación DNS no estará disponible.Para obtener más información acerca de si es necesario actualizar la delegación DNS, consulte Descripción de delegación de zonahttps://technet.microsoft.com/library/cc771640.aspx. Si intenta actualizar la delegación DNS y se produce un error, consulte DNS Options.En la página Opciones de RODC (que solo aparece si instala RODC), especifique el nombre de un grupo o usuario a cargo de la administración de RODC, agregue o quite cuentas a los grupos de replicación de contraseña permitida o denegada y, a continuación, haga clic en Siguiente.Para obtener más información, vea Directiva de replicación de contraseñashttps://technet.microsoft.com/library/cc730883(v=ws.10).En la página Opciones adicionales, elija una de las siguientes opciones: Si va a crear un dominio nuevo, escriba un nuevo nombre NetBIOS o compruebe el nombre NetBIOS predeterminado y, a continuación, haga clic en Siguiente.Si está agregando un controlador de dominio a un dominio existente, seleccione el controlador de dominio del que quiere replicar los datos de instalación de AD DS (o permitir que el asistente seleccione cualquier controlador de dominio). Si está efectuando la instalación desde medios, haga clic en Instalar desde ruta de acceso a medios, escriba y compruebe la ruta de acceso a los archivos de origen de la instalación y, a continuación, haga clic en Siguiente.No se puede usar Instalar desde medios (IFM) para instalar el primer controlador de dominio en un dominio. IFM no funciona en diferentes versiones de sistemas operativos. Dicho de otro modo, para instalar un controlador de dominio adicional que ejecute Windows Server 2012 mediante el uso de IFM, deberá crear el medio de copia de seguridad en un controlador de dominio de Windows Server 2012. Para obtener más información acerca de IFM, vea el tema sobre la Installing an Additional Domain Controller by Using IFM (Instalación de un controlador de dominio adicional mediante IFM)https://technet.microsoft.com/library/cc816722(WS.10).aspx.En la página Rutas de acceso, escriba las ubicaciones para la carpeta SYSVOL, archivos de registro o la base de datos de Active Directory (o acepte las ubicaciones predeterminadas) y, a continuación, haga clic en Siguiente.No almacene SYSVOL, archivos de registro o la base de datos de Active Directory en un volumen de datos formateado con el Sistema de archivos resistente (ReFS).En la página Opciones de preparación, escriba las credenciales que sean suficientes para ejecutar adprep. Para obtener más información, consulte Credential requirements to run Adprep.exe and install Active Directory Domain Services.En la página Opciones de revisión, confirme las selecciones, haga clic en Ver script si desea exportar la configuración a un script de Windows PowerShell y, a continuación, haga clic en Siguiente.En la página Comprobación de requisitos previos, confirme que se haya completado la validación de los requisitos previos y, a continuación, haga clic en Instalar.En la página Resultados, verifique que el servidor se haya configurado correctamente como controlador de dominio. El servidor se reiniciará automáticamente para completar la instalación de AD DS.Instalación por fases de un RODC mediante la interfaz gráfica de usuarioUna instalación por fases de un RODC permite la creación de un RODC en dos fases. En la primera fase, un miembro del grupo Admins. del dominio crea una cuenta RODC. En la segunda fase, se adjunta un servidor a la cuenta RODC. Un miembro del grupo Admins. del dominio, un grupo o un usuario del dominio delegado puede completar la segunda fase.Para crear una cuenta RODC mediante las herramientas de administración de Active DirectoryPuede crear la cuenta RODC mediante el Centro de administración de Active Directory o Usuarios y equipos de Active Directory.Haga clic en Inicio, después en Herramientas administrativas y, a continuación, en Centro de administración de Active Directory.En el panel de navegación (panel izquierdo), haga clic en el nombre del dominio.En la lista de administración (panel central), haga clic en la unidad organizativa Domain Controllers.En el panel de tareas (panel derecho), haga clic en Crear previamente una cuenta de controlador de dominio de solo lectura.O bien:Haga clic en Inicio, luego en Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.Haga clic con el botón secundario en la unidad organizativa (OU) Domain Controllers o haga clic en la OU Domain Controllers y, a continuación, en Acción.Haga clic en Crear previamente una cuenta de controlador de dominio de solo lectura.En la página Asistente para la instalación de los Servicios de dominio de Active Directory, si desea modificar la Directiva de replicación de contraseñas (PRP) predeterminada, seleccione Usar la instalación en modo avanzado y, a continuación, haga clic en Siguiente.En la página Credenciales de red, en Especifique las credenciales de cuenta que se usarán para la instalación, haga clic en Mis credenciales de inicio de sesión actuales o en Credenciales alternativas y, a continuación, haga clic en Establecer. En el cuadro de diálogo Seguridad de Windows, escriba el nombre de usuario y la contraseña para una cuenta que pueda instalar el controlador de dominio adicional. Para instalar un controlador de dominio adicional, debe ser miembro del grupo Administradores de empresas o del grupo Administradores de dominio. Cuando termine de proporcionar las credenciales, haga clic en Siguiente.En la página Especifique el nombre del equipo, escriba el nombre del equipo del servidor que será el RODC.En la página Seleccione un sitio, seleccione un sitio de la lista o seleccione la opción para instalar el controlador de dominio en el sitio que corresponda a la dirección IP del equipo en el cual ejecuta el asistente; a continuación, haga clic en Siguiente.En la página Opciones adicionales del controlador de dominio, realice las siguientes selecciones y, a continuación, haga clic en Siguiente:Servidor DNS: esta opción está activada de forma predeterminada para que el controlador de dominio pueda funcionar como un servidor de Sistema de nombres de dominio (DNS). Si no desea que el controlador de dominio sea un servidor DNS, desactive esta opción. Sin embargo, si no instala el rol del servidor DNS en el RODC y este es el único controlador de dominio de la sucursal, los usuarios de esta sucursal no podrán realizar la resolución de nombres cuando la red de área extensa (WAN) conectada al sitio del concentrador esté sin conexión.Catálogo global: esta opción está seleccionada de forma predeterminada. Agregue el catálogo global y las particiones del directorio de solo lectura al controlador de dominio, y activa la funcionalidad de búsqueda del catálogo global. Si no desea que el nuevo controlador de dominio sea un servidor de catálogo global, desactive esta opción. Sin embargo, si no instala un servidor de catálogo global en la sucursal o si no habilita el almacenamiento en caché de la pertenencia al grupo universal para el sitio que incluye el RODC, los usuarios de la sucursal no podrán iniciar sesión en el dominio cuando la WAN conectada al sitio del controlador esté sin conexión.Controlador de dominio de solo lectura: al crear una cuenta RODC, esta opción se selecciona de forma predeterminada y no se puede desactivar.Si seleccionó la casilla Usar la instalación en modo avanzado en la página de Bienvenida, aparece la página Especificar la directiva de replicación de contraseñas. No se replican contraseñas de cuentas en el RODC de manera predeterminada y se impide explícitamente la replicación de las contraseñas de las cuentas que son críticas para la seguridad (como las que son miembros del grupo Admins. del dominio) en el RODC.Para agregar cuentas a la directiva, haga clic en Agregar, después haga clic en Permitir la replicación en este RODC de contraseñas de la cuenta o en Denegar la replicación en este RODC de contraseñas de la cuenta y, a continuación, seleccione las cuentas.Cuando haya terminado (o para aceptar la configuración predeterminada), haga clic en Siguiente.En la página Delegación de instalación y administración de RODC, escriba el nombre del usuario o del grupo que asociará el servidor a la cuenta RODC que cree. Puede escribir el nombre de solo una entidad de seguridad.Para buscar el directorio de un usuario o grupo específico, haga clic en Establecer. En Seleccionar usuario o grupo, escriba el nombre del usuario o grupo. Recomendamos que delegue la instalación y administración del RODC en un grupo.Este usuario o grupo también tendrá derechos administrativos locales en el RODC una vez completada la instalación. Si no se especifica un usuario o un grupo, únicamente podrán asociar el servidor a la cuenta los miembros del grupo Admins. del dominio o Administradores de empresas.Cuando haya terminado, haga clic en Siguiente.En la página Resumen, revise las selecciones realizadas. Haga clic en Atrás para cambiar cualquier selección, si fuera necesario.Para guardar la configuración que seleccionó en un archivo de respuesta que puede usar para automatizar operaciones de AD DS subsiguientes, haga clic en Exportar configuración. Escriba un nombre para el archivo de respuesta y, a continuación, haga clic en Guardar.Cuando esté seguro de que sus selecciones son precisas, haga clic en Siguiente para crear la cuenta RODC.En la página Finalización del Asistente para la instalación de los Servicios de dominio de Active Directory, haga clic en Finalizar.Después de crear una cuenta RODC, se puede adjuntar un servidor a la cuenta para completar la instalación del RODC. Esta segunda fase se puede completar en la sucursal donde se ubicará el RODC. El servidor en el que se realiza este procedimiento no podrá estar unido al dominio. A partir de Windows Server 2012, se usa el Asistente para agregar roles en el Administrador del servidor para adjuntar un servidor a una cuenta RODC.Para asociar un servidor a una cuenta RODC mediante el Administrador del servidorInicie sesión como Administrador local.En el Administrador del servidor, haga clic en Agregar roles y características.En la página Antes de comenzar, haga clic en Siguiente.En la página Seleccionar tipo de instalación, haga clic en Instalación basada en características o en roles y, a continuación, en Siguiente.En la página Seleccionar servidor de destino, haga clic en Seleccionar un servidor del grupo de servidores, en el nombre del servidor donde quiere instalar AD DS y, a continuación, en Siguiente.En la página Seleccionar roles de servidor, haga clic en Servicios de dominio de Active Directory, después en Agregar características y, a continuación, en Siguiente.En la página Seleccionar características, seleccione las características adicionales que quiera instalar y haga clic en Siguiente.En la página Servicios de dominio de Active Directory, revise la información y haga clic en Siguiente.En la página Confirmar selecciones de instalación, haga clic en Instalar.En la página Resultados, compruebe Instalación correcta y haga clic en Promover este servidor a controlador de dominio para iniciar el Asistente para configuración de Servicios de dominio de Active Directory.Si cierra el Asistente para agregar roles en este momento sin iniciar el Asistente para configuración de Servicios de dominio de Active Directory, podrá hacer clic en Tareas en el Administrador del servidor para reiniciarlo.En la página Configuración de implementación, haga clic en Agregar un controlador de dominio a un dominio existente, escriba el nombre del dominio (por ejemplo, emea.contoso.com) y las credenciales (por ejemplo, especifique una cuenta que se delegue para administrar e instalar el RODC) y, a continuación, haga clic en Siguiente.En la página Opciones del controlador de dominio, haga clic en Usar cuenta RODC existente, escriba y confirme la contraseña del modo de restauración de servicios de directorio y, a continuación, haga clic en Siguiente.En la página Opciones adicionales, si está instalando desde medios, haga clic en Instalar desde ruta de acceso a medios, escriba y verifique la ruta de acceso a los archivos de origen de la instalación, seleccione el controlador de dominio desde el que quiera replicar los datos de instalación de AD DS (o permita que el asistente seleccione cualquier controlador de dominio) y, a continuación, haga clic en Siguiente.En la página Rutas de acceso, escriba las ubicaciones para la carpeta SYSVOL, archivos de registro o la base de datos de Active Directory (o acepte las ubicaciones predeterminadas) y, a continuación, haga clic en Siguiente.En la página Opciones de revisión, confirme las selecciones, haga clic en Ver script si desea exportar la configuración a un script de Windows PowerShell y, a continuación, haga clic en Siguiente.En la página Comprobación de requisitos previos, confirme que se haya completado la validación de los requisitos previos y, a continuación, haga clic en Instalar.Para completar la instalación de AD DS, el servidor se reiniciará automáticamente.Troubleshooting Domain Controller Deployment Install a New Windows Server 2012 Active Directory Forest (Level 200) Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200) Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200) <_caps3a_sxssource locale="en-US">This topic explains how to install AD DS in Windows Server 2012 by using any of the following methods:Credential requirements to run Adprep.exe and install Active Directory Domain Services Installing AD DS by Using Windows PowerShell Installing AD DS by using Server Manager Performing a Staged RODC Installation using the Graphical User Interface Credential requirements to run Adprep.exe and install Active Directory Domain ServicesThe following credentials are required to run Adprep.exe and install AD DS.To install a new forest, you must be logged on as the local Administrator for the computer.To install a new child domain or new domain tree, you must be logged on as a member of the Enterprise Admins group.To install an additional domain controller in an existing domain, you must be a member of the Domain Admins group.If you do not run adprep.exe command separately and you are installing the first domain controller that runs Windows Server 2012 in an existing domain or forest, you will be prompted to supply credentials to run Adprep commands. The credential requirements are as follows:To introduce the first Windows Server 2012 domain controller in the forest, you need to supply credentials for a member of Enterprise Admins group, the Schema Admins group, and the Domain Admins group in the domain that hosts the schema master.To introduce the first Windows Server 2012 domain controller in a domain, you need to supply credentials for a member of the Domain Admins group.To introduce the first read-only domain controller (RODC) in the forest, you need to supply credentials for a member of the Enterprise Admins group.If you have already run adprep /rodcprep in Windows Server 2008 or Windows Server 2008 R2, you do not need to run it again for Windows Server 2012.Installing AD DS by Using Windows PowerShellBeginning with Windows Server 2012, you can install AD DS using Windows PowerShell. Dcpromo.exe is deprecated beginning with Windows Server 2012, but you can still run dcpromo.exe by using an answer file (dcpromo /unattend:<answerfile> or dcpromo /answer:<answerfile>). The ability to continue running dcpromo.exe with an answer file provides organizations that have resources invested in existing automation time to convert the automation from dcpromo.exe to Windows PowerShell. For more information about running dcpromo.exe with an answer file, see https://support.microsoft.com/kb/947034https://support.microsoft.com/kb/947034.For more information about removing AD DS using Windows PowerShell, see Remove AD DS using Windows PowerShell.Start with adding the role using Windows PowerShell. This command installs the AD DS server role and installs the AD DS and AD LDS server administration tools, including GUI-based tools such as Active Directory Users and Computers and command-line tools such as dcdia.exe. Server administration tools are not installed by default when you use Windows PowerShell. You need to specify –IncludeManagementTools to manage the local server or install Remote Server Administration Toolshttps://www.microsoft.com/download/details.aspx?id=28972 to manage a remote server.Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools <<Windows PowerShell cmdlet and arguments>>There is no reboot required until after the AD DS installation is complete.You can then run this command to see the available cmdlets in the ADDSDeployment module.Get-command –module ADDSDeploymentTo see the list of arguments that can be specified for a cmdlets and syntax: Get-help <cmdlet name>For example, to see the arguments for creating an unoccupied read-only domain controller (RODC) account, typeGet-help Add-ADDSReadOnlyDomainControllerAccountOptional arguments appear in square brackets.You can also download the latest Help examples and concepts for Windows PowerShell cmdlets. For more information, see about_Updatable_Helphttps://technet.microsoft.com/library/hh847735.aspx.You can run Windows PowerShell cmdlets against remote servers: In Windows PowerShell, use invoke-command with the ADDSDeployment cmdlet. For example, to install AD DS on a remote server named ConDC3 in the contoso.com domain, type:invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3-or-In Server Manager, create a server group that includes the remote server. Right-click the name of the remote server and click Windows PowerShell.The next sections explain how to run ADDSDeployment module cmdlets to install AD DS.ADDSDeployment cmdlet arguments Specifying Windows PowerShell Credentials Using test cmdlets Installing a new forest root domain using Windows PowerShell Installing a new child or tree domain using Windows PowerShell Installing an additional (replica) domain controller using Windows PowerShell ADDSDeployment cmdlet argumentsThe following table lists arguments for the ADDSDeployment cmdlets in Windows PowerShell. Arguments in bold are required. Equivalent arguments for dcpromo.exe are listed in parentheses if they are named different in Windows PowerShell.Windows PowerShell switches accept $TRUE or $FALSE arguments. Arguments that are $True by default do not need to be specified.To override default values, you can specify the argument with a $False value. For example, because -installdns is automatically run for a new forest installation if it is not specified, the only way to prevent DNS installation when you install a new forest is to use:-InstallDNS:$falseSimilarly, because –installdns has a default value of $False if you install a domain controller in an environment that does not host Windows Server DNS server, you need to specify the following argument in order to install DNS server:-InstallDNS:$trueArgumentDescriptionADPrepCredential <PS Credential>Required if you are installing the first Windows Server 2012 domain controller in a domain or forest and the credentials of the current user are insufficient to perform the operation.Specifies the account with Enterprise Admins and Schema Admins group membership that can prepare the forest, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.If no value is specified, the value of the –credential argument is used.AllowDomainControllerReinstallSpecifies whether to continue installing this writable domain controller, despite the fact that another writable domain controller account with the same name is detected.Use $True only if you are sure that the account is not currently used by another writable domain controller.The default is $False.This argument is not valid for an RODC.AllowDomainReinstallSpecifies whether an existing domain is recreated.The default is $False.AllowPasswordReplicationAccountName <string []>Specifies the names of user accounts, group accounts, and computer accounts whose passwords can be replicated to this RODC. Use an empty string "" if you want to keep the value empty. By default, only the Allowed RODC Password Replication Group is allowed, and it is originally created empty.Supply values as a string array. For example:-AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users"ApplicationPartitionsToReplicate <string []>There is no equivalent option in the UI. If you install using the UI, or using IFM, then all application partitions will be replicated.Specifies the application directory partitions to replicate. This argument is applied only when you specify the -InstallationMediaPath argument to install from media (IFM). By default, all application partitions will replicate based on their own scopes.Supply values as a string array. For example:-ApplicationPartitionsToReplicate "partition1","partition2","partition3"ConfirmPrompts you for confirmation before running the cmdlet.CreateDnsDelegationYou cannot specify this argument when you run the Add-ADDSReadOnlyDomainController cmdlet.Indicates whether to create a DNS delegation that references the new DNS server that you are installing along with the domain controller. Valid for Active Directory–integrated DNS only. Delegation records can be created only on Microsoft DNS servers that are online and accessible. Delegation records cannot be created for domains that are immediately subordinate to top-level domains such as .com, .gov, .biz, .edu or two-letter country code domains such as .nz and .au.The default is computed automatically based on the environment.Credential <PS Credential>Required only if the credentials of the current user are insufficient to perform the operation.Specifies the domain account that can logon to the domain, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.If no value is specified, the credentials of the current user are used.CriticalReplicationOnlySpecifies whether the AD DS installation operation performs only critical replication before reboot and then continues. The noncritical replication happens after the installation finishes and the computer reboots.Using this argument is not recommended.There is no equivalent for this option in the user interface (UI).DatabasePath <string>Specifies the fully qualified, non–Universal Naming Convention (UNC) path to a directory on a fixed disk of the local computer that contains the domain database, for example, C:\Windows\NTDS.The default is %SYSTEMROOT%\NTDS.While you can store the AD DS database and log files on volume formatted with Resilient File System (ReFS), there are no specific benefits for hosting AD DS on ReFS, other than the normal benefits of resiliency you get for hosting any data on ReFS.DelegatedAdministratorAccountName <string>Specifies the name of the user or group that can install and administer the RODC.By default, only members of the Domain Admins group can administer an RODC.DenyPasswordReplicationAccountName <string []>Specifies the names of user accounts, group accounts, and computer accounts whose passwords are not to be replicated to this RODC. Use an empty string "" if you do not want to deny the replication of credentials of any users or computers. By default, Administrators, Server Operators, Backup Operators, Account Operators, and the Denied RODC Password Replication Group are denied. By default, the Denied RODC Password Replication Group includes Cert Publishers, Domain Admins, Enterprise Admins, Enterprise Domain Controllers, Enterprise Read-Only Domain Controllers, Group Policy Creator Owners, the krbtgt account, and Schema Admins.Supply values as a string array. For example:-DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs"DnsDelegationCredential <PS Credential>You cannot specify this argument when you run the Add-ADDSReadOnlyDomainController cmdlet.Specifies the user name and password for creating DNS delegation, according to the rules of Get-Credentialhttps://technet.microsoft.com/library/dd315327.aspx and a PSCredential object.DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OrDomainMode <DomainMode> {2 | 3 | 4 | 5 | 6}Specifies the domain functional level during the creation of a new domain.The domain functional level cannot be lower than the forest functional level, but it can be higher.The default value is automatically computed and set to the existing forest functional level or the value that is set for -ForestMode.DomainNameRequired for Install-ADDSForest and Install-ADDSDomainController cmdlets.Specifies the FQDN of the domain in which you want to install an additional domain controller.DomainNetbiosName <string>Required for Install-ADDSForest if FQDN prefix name is longer than 15 characters.Use with Install-ADDSForest. Assigns a NetBIOS name to the new forest root domain.DomainType <DomainType> {ChildDomain | TreeDomain} or {child | tree}Indicates the type of domain that you want to create: a new domain tree in an existing forest, a child of an existing domain, or a new forest.The default for DomainType is ChildDomain.ForceWhen this parameter is specified any warnings that might normally appear during the installation and addition of the domain controller will be suppressed to allow the cmdlet to complete its execution. This parameter can be useful to include when scripting installation.ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}OrForestMode <ForestMode> {2 | 3 | 4 | 5 | 6}Specifies the forest functional level when you create a new forest.The default value is Win2012.InstallationMediaPathIndicates the location of the installation media that will be used to install a new domain controller.InstallDnsSpecifies whether the DNS Server service should be installed and configured on the domain controller.For a new forest, the default is $True and DNS Server is installed.For a new child domain or domain tree, if the parent domain (or forest root domain for a domain tree) already hosts and stores the DNS names for the domain, then the default for this parameter is $True.For a domain controller installation in an existing domain, if this parameter is left unspecified and the current domain already hosts and stores the DNS names for the domain, then the default for this parameter is $True. Otherwise, if DNS domain names are hosted outside of Active Directory, the default is $False and no DNS Server is installed.LogPath <string>Specifies the fully qualified, non-UNC path to a directory on a fixed disk of the local computer that contains the domain log files, for example, C:\Windows\Logs.The default is %SYSTEMROOT%\NTDS.Do not store the Active Directory log files on a data volume formatted with Resilient File System (ReFS).MoveInfrastructureOperationMasterRoleIfNecessarySpecifies whether to transfer the infrastructure master operations master role (also known as flexible single master operations or FSMO) to the domain controller that you are creating—in case it is currently hosted on a global catalog server—and you do not plan to make the domain controller that you are creating a global catalog server. Specify this parameter to transfer the infrastructure master role to the domain controller that you are creating in case the transfer is needed; in this case, specify the NoGlobalCatalog option if you want the infrastructure master role to remain where it currently is.NewDomainName <string>Required only for Install-ADDSDomain.Specifies the single domain name for the new domain.For example, if you want to create a new child domain named emea.corp.fabrikam.com, you should specify emea as the value of this argument.NewDomainNetbiosName <string>Required for Install-ADDSDomain if FQDN prefix name is longer than 15 characters.Use with Install-ADDSDomain. Assigns a NetBIOS name to the new domain. The default value is derived from the value of –NewDomainName.NoDnsOnNetworkSpecifies that DNS service is not available on the network. This parameter is used only when the IP setting of the network adapter for this computer is not configured with the name of a DNS server for name resolution. It indicates that a DNS server will be installed on this computer for name resolution. Otherwise, the IP settings of the network adapter must first be configured with the address of a DNS server.Omitting this parameter (the default) indicates that the TCP/IP client settings of the network adapter on this server computer will be used to contact a DNS server. Therefore, if you are not specifying this parameter, ensure that TCP/IP client settings are first configured with a preferred DNS server address.NoGlobalCatalogSpecifies that you do not want the domain controller to be a global catalog server.Domain controllers that run Windows Server 2012 are installed with the global catalog by default. In other words, this runs automatically without computation, unless you specify:-NoGlobalCatalogNoRebootOnCompletionSpecifies whether to restart the computer upon completion of the command, regardless of success. By default, the computer will restart. To prevent the server from restarting, specify:-NoRebootOnCompletion:$TrueThere is no equivalent for this option in the user interface (UI).ParentDomainName <string>Required for Install-ADDSDomain cmdletSpecifies the FQDN of an existing parent domain. You use this argument when you install a child domain or new domain tree.For example, if you want to create a new child domain named emea.corp.fabrikam.com, you should specify corp.fabrikam.com as the value of this argument.ReadOnlyReplicaSpecifies whether to install a read-only domain controller (RODC).ReplicationSourceDC <string>Indicates the FQDN of the partner domain controller from which you replicate the domain information. The default is automatically computed.SafeModeAdministratorPassword <securestring>Supplies the password for the administrator account when the computer is started in Safe Mode or a variant of Safe Mode, such as Directory Services Restore Mode.The default is an empty password. You must supply a password. The password must be supplied in a System.Security.SecureString format, such as that provided by read-host -assecurestring or ConvertTo-SecureString.The SafeModeAdministratorPassword argument's operation is special:If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. This is the preferred usage when running the cmdlet interactively.If specified without a value, and there are no other arguments specified to the cmdlet, the cmdlet prompts you to enter a masked password without confirmation. This is not the preferred usage when running the cmdlet interactively.If specified with a value, the value must be a secure string. This is not the preferred usage when running the cmdlet interactively.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)You can also provide a secure string as a converted clear-text variable, although this is highly discouraged. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)SiteName <string>Required for the Add-addsreadonlydomaincontrolleraccount cmdletSpecifies the site where the domain controller will be installed. There is no –sitename argument when you run Install-ADDSForest because the first site created is Default-First-Site-Name.The site name must already exist when provided as an argument to -sitename. The cmdlet will not create the site.SkipAutoConfigureDNSSkips automatic configuration of DNS client settings, forwarders, and root hints. This argument is in effect only if the DNS Server service is already installed or automatically installed with -InstallDNS.SystemKey <string>Specifies the system key for the media from which you replicate the data.The default is none.Data must be in format provided by read-host -assecurestring or ConvertTo-SecureString.SysvolPath <string>Specifies the fully qualified, non-UNC path to a directory on a fixed disk of the local computer, for example, C:\Windows\SYSVOL.The default is %SYSTEMROOT%\SYSVOL.SYSVOL cannot be stored on a data volume formatted with Resilient File System (ReFS).SkipPreChecksDoes not run the prerequisite checks before starting installation. It is not advisable to use this setting.WhatIfShows what would happen if the cmdlet runs. The cmdlet is not run.Specifying Windows PowerShell CredentialsYou can specify credentials without revealing them in plain text on screen by using Get-credentialhttps://technet.microsoft.com/library/dd315327.aspx.The operation for the -SafeModeAdministratorPassword and LocalAdministratorPassword arguments is special:If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. This is the preferred usage when running the cmdlet interactively.If specified with a value, the value must be a secure string. This is not the preferred usage when running the cmdlet interactively.For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)As the previous option does not confirm the password, use extreme caution: the password is not visible.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged:-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)Providing or storing a clear text password is not recommended. Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. With that knowledge, they can impersonate the domain controller itself and elevate their privilege to the highest level in an Active Directory forest.Using test cmdletsEach ADDSDeployment cmdlet has a corresponding test cmdlet. The test cmdlets runs only the prerequisite checks for the installation operation; no installation settings are configured. The arguments for each test cmdlet are the same as for the corresponding installation cmdlet, but –SkipPreChecks is not available for test cmdlets.Test cmdlet DescriptionTest-ADDSForestInstallationRuns the prerequisites for installing a new Active Directory forest.Test-ADDSDomainInstallationRuns the prerequisites for installing a new domain in Active Directory.Test-ADDSDomainControllerInstallationRuns the prerequisites for installing a domain controller in Active Directory.Test-ADDSReadOnlyDomainControllerAccountCreationRuns the prerequisites for adding a read-only domain controller (RODC) account.Installing a new forest root domain using Windows PowerShellThe command syntax for installing a new forest is as follows. Optional arguments appear within square brackets.Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]The -DomainNetBIOSName argument is required if you want to change the 15-character name that is automatically generated based on the DNS domain name prefix or if the name exceeds 15 characters.For example, to install a new forest named corp.contoso.com and be securely prompted to provide the DSRM password, type: Install-ADDSForest –domainname "corp.contoso.com" DNS server is installed by default when you run Install-ADDSForest.To install a new forest named corp.contoso.com, create a DNS delegation in the contoso.com domain, set domain functional level to Windows Server 2008 R2 and set forest functional level to Windows Server 2008, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, and be prompted to provide the Directory Services Restore Mode password and type:Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Installing a new child or tree domain using Windows PowerShellThe command syntax for installing a new domain is as follows. Optional arguments appear within square brackets.Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.For example, to use credentials of corp\EnterpriseAdmin1 to create a new child domain named child.corp.contoso.com, install DNS server, create a DNS delegation in the corp.contoso.com domain, set domain functional level to Windows Server 2003, make the domain controller a global catalog server in a site named Houston, use DC1.corp.contoso.com as the replication source domain controller, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, and be prompted to provide the Directory Services Restore Mode password but not prompted to confirm the command, type:Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$FalseInstalling an additional (replica) domain controller using Windows PowerShellThe command syntax for installing an additional domain controller is as follows. Optional arguments appear within square brackets.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]To install a domain controller and DNS server in the corp.contoso.com domain and be prompted to supply the domain Administrator credentials and the DSRM password, type: Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com" If the computer is already domain joined and you are a member of the Domain Admins group, you can use:Install-ADDSDomainController -domainname "corp.contoso.com"To be prompted for the domain name, type:Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")The following command will use credentials of Contoso\EnterpriseAdmin1 to install a writable domain controller and a global catalog server in a site named Boston, install DNS server, create a DNS delegation in the contoso.com domain, install from media that is stored in the c:\ADDS IFM folder, install the Active Directory database and SYSVOL on the D:\ drive, install the log files on the E:\ drive, have the server automatically restart after AD DS installation is complete, and be prompted to provide the Directory Services Restore Mode password:Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" Performing a staged RODC installation using Windows PowerShellThe command syntax to create an RODC account is as follows. Optional arguments appear within square brackets.Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]The command syntax to attach a server to an RODC account is as follows. Optional arguments appear within square brackets.Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]For example, to create an RODC account named RODC1: Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarAThen run the following commands on the server that you want to attach to the RODC1 account. The server cannot be joined to the domain. First, install the AD DS server role and management tools:install-windowsfeature –name AD-Domain-Services -includemanagementtoolsThe run the following command to create the RODC:Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccountPress Y to confirm or include the –confirm argument to prevent the confirmation prompt.Installing AD DS by using Server ManagerAD DS can be installed in Windows Server 2012 by using the Add Roles Wizard in Server Manager, followed by the Active Directory Domain Services Configuration Wizard, which is new beginning in Windows Server 2012. The Active Directory Domain Services Installation Wizard (dcpromo.exe) is deprecated beginning in Windows Server 2012.The following sections explain how to create server pools in order to install and manage AD DS on multiple servers, and how to use the wizards to install AD DS.Creating server poolsServer Manager can pool other servers on the network as long as they are accessible from the computer running Server Manager. Once pooled, you choose those servers for remote installation of AD DS or any other configuration options possible within Server Manager. The computer running Server Manager automatically pools itself. For more information about server pools, see Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.In order to manage a domain-joined computer using Server Manager on a workgroup server, or vice-versa, additional configuration steps are needed. For more information, see “Add and manage servers in workgroups” in Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.Installing AD DSAdministrative credentialsThe credential requirements to install AD DS vary depending on which deployment configuration you choose. For more information, see Credential requirements to run Adprep.exe and install Active Directory Domain Services.Use the following procedures to install AD DS using the GUI method. The steps can be performed locally or remotely. For more detailed explanation of these steps, see the following topics:Deploying a Forest with Server Manager Upgrade Existing AD DS Forests and Add Writable Replica Domain Controllers Create Child and Tree Domains Stage and Attach RODCs, Create RODCs without Staging To install AD DS by using Server ManagerIn Server Manager, click Manage and click Add Roles and Features to start the Add Roles Wizard.On the Before you begin page, click Next.On the Select installation type page, click Role-based or feature-based installation and then click Next.On the Select destination server page, click Select a server from the server pool, click the name of the server where you want to install AD DS and then click Next.To select remote servers, first create a server pool and add the remote servers to it. For more information about creating server pools, see Add Servers to Server Managerhttps://technet.microsoft.com/library/hh831453.aspx.On the Select server roles page, click Active Directory Domain Services, then on the Add Roles and Features Wizard dialog box, click Add Features, and then click Next.On the Select features page, select any additional features you want to install and click Next.On the Active Directory Domain Services page, review the information and then click Next.On the Confirm installation selections page, click Install.On the Results page, verify that the installation succeeded, and click Promote this server to a domain controller to start the Active Directory Domain Services Configuration Wizard.If you close Add Roles Wizard at this point without starting the Active Directory Domain Services Configuration Wizard, you can restart it by clicking Tasks in Server Manager.On the Deployment Configuration page, choose one of the following options: If you are installing an additional domain controller in an existing domain, click Add a domain controller to an existing domain, and type the name of the domain (for example, emea.corp.contoso.com) or click Select… to choose a domain, and credentials (for example, specify an account that is a member of the Domain Admins group) and then click Next.The name of the domain and current user credentials are supplied by default only if the machine is domain-joined and you are performing a local installation. If you are installing AD DS on a remote server, you need to specify the credentials, by design. If current user credentials are not sufficient to perform the installation, click Change… in order to specify different credentials.For more information, see Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200).If you are installing a new child domain, click Add a new domain to an existing forest, for Select domain type, select Child Domain, type or browse to the name of the parent domain DNS name (for example, corp.contoso.com), type the relative name of the new child domain (for example emea), type credentials to use to create the new domain, and then click Next.For more information, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).If you are installing a new domain tree, click Add new domain to an existing forest, for Select domain type, choose Tree Domain, type the name of the root domain (for example, corp.contoso.com), type the DNS name of the new domain (for example, fabrikam.com), type credentials to use to create the new domain, and then click Next.For more information, see Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200).If you are installing a new forest, click Add a new forest and then type the name of the root domain (for example, corp.contoso.com).For more information, see Install a New Windows Server 2012 Active Directory Forest (Level 200).On the Domain Controller Options page, choose one of the following options: If you are creating a new forest or domain, select the domain and forest functional levels, click Domain Name System (DNS) server, specify the DSRM password, and then click Next.If you are adding a domain controller to an existing domain, click Domain Name System (DNS) server, Global Catalog (GC), or Read Only Domain Controller (RODC) as needed, choose the site name, and type the DSRM password and then click Next.For more information about which options on this page are available or not available under different conditions, see Domain Controller Options.On the DNS Options page (which appears only if you install a DNS server), click Update DNS delegation as needed. If you do, provide credentials that have permission to create DNS delegation records in the parent DNS zone.If a DNS server that hosts the parent zone cannot be contacted, the Update DNS Delegation option is not available.For more information about whether you need to update the DNS delegation, see Understanding Zone Delegationhttps://technet.microsoft.com/library/cc771640.aspx. If you attempt to update the DNS delegation and encounter an error, see DNS Options.On the RODC Options page (which appears only if you install an RODC), specify the name of a group or user who will manage the RODC, add accounts to or remove accounts from the Allowed or Denied password replication groups, and then click Next.For more information, see Password Replication Policyhttps://technet.microsoft.com/library/cc730883(v=ws.10).On the Additional Options page, choose one of the following options: If you are creating a new domain, type a new NetBIOS name or verify the default NetBIOS name of the domain, and then click Next.If you are adding a domain controller to an existing domain, select the domain controller that you want to replicate the AD DS installation data from (or allow the wizard to select any domain controller). If you are installing from media, click Install from media path type and verify the path to the installation source files, and then click Next.You cannot use install from media (IFM) to install the first domain controller in a domain. IFM does not work across different operating system versions. In other words, in order to install an additional domain controller that runs Windows Server 2012 by using IFM, you must create the backup media on a Windows Server 2012 domain controller. For more information about IFM, see Installing an Additional Domain Controller by Using IFMhttps://technet.microsoft.com/library/cc816722(WS.10).aspx.On the Paths page, type the locations for the Active Directory database, log files, and SYSVOL folder (or accept default locations), and click Next.Do not store the Active Directory database, log files, or SYSVOL folder on a data volume formatted with Resilient File System (ReFS).On the Preparation Options page, type credentials that are sufficient to run adprep. For more information, see Credential requirements to run Adprep.exe and install Active Directory Domain Services.On the Review Options page, confirm your selections, click View script if you want to export the settings to a Windows PowerShell script, and then click Next.On the Prerequisites Check page, confirm that prerequisite validation completed and then click Install.On the Results page, verify that the server was successfully configured as a domain controller. The server will be restarted automatically to complete the AD DS installation.Performing a Staged RODC Installation using the Graphical User InterfaceA staged RODC installation allows you to create an RODC in two stages. In the first stage, a member of the Domain Admins group creates an RODC account. In the second stage, a server is attached to the RODC account. The second stage can be completed by a member of the Domain Admins group or a delegated domain user or group.To create an RODC account by using the Active Directory management toolsYou can create the RODC account using Active Directory Administrative Center or Active Directory Users and Computers.Click Start, click Administrative Tools, and then click Active Directory Administrative Center.In the navigation pane (left pane), click the name of the domain.In the Management list (center pane), click the Domain Controllers OU.In the Tasks Pane (right pane), click Pre-create a read-only domain controller account.-Or-Click Start, click Administrative Tools, and then click Active Directory Users and Computers.Either right-click the Domain Controllers organizational unit (OU) or click the Domain Controllers OU, and then click Action.Click Pre-create Read-only Domain Controller account.On the Welcome to the Active Directory Domain Services Installation Wizard page, if you want to modify the default the Password Replication Policy (PRP), select Use advanced mode installation, and then click Next.On the Network Credentials page, under Specify the account credentials to use to perform the installation, click My current logged on credentials or click Alternate credentials, and then click Set. In the Windows Security dialog box, provide the user name and password for an account that can install the additional domain controller. To install an additional domain controller, you must be a member of the Enterprise Admins group or the Domain Admins group. When you are finished providing credentials, click Next.On the Specify the Computer Name page, type the computer name of the server that will be the RODC.On the Select a Site page, select a site from the list or select the option to install the domain controller in the site that corresponds to the IP address of the computer on which you are running the wizard, and then click Next.On the Additional Domain Controller Options page, make the following selections, and then click Next:DNS server: This option is selected by default so that your domain controller can function as a Domain Name System (DNS) server. If you do not want the domain controller to be a DNS server, clear this option. However, if you do not install the DNS server role on the RODC and the RODC is the only domain controller in the branch office, users in the branch office will not be able to perform name resolution when the wide area network (WAN) to the hub site is offline.Global catalog: This option is selected by default. It adds the global catalog, read-only directory partitions to the domain controller, and it enables global catalog search functionality. If you do not want the domain controller to be a global catalog server, clear this option. However, if you do not install a global catalog server in the branch office or enable universal group membership caching for the site that includes the RODC, users in the branch office will not be able to log on to the domain when the WAN to the hub site is offline.Read-only domain controller. When you create an RODC account, this option is selected by default and you cannot clear it.If you selected the Use advanced mode installation check box on the Welcome page, the Specify the Password Replication Policy page appears. By default, no account passwords are replicated to the RODC, and security-sensitive accounts (such as members of the Domain Admins group) are explicitly denied from ever having their passwords replicated to the RODC.To add other accounts to policy, click Add, then click Allow passwords for the account to replicate to this RODC or click Deny passwords for the account from replicating to this RODC and then select the accounts.When complete (or to accept the default setting), click Next.On the Delegation of RODC Installation and Administration page, type the name of the user or the group who will attach the server to the RODC account that you are creating. You can type the name of only one security principal.To search the directory for a specific user or group, click Set. In Select User or Group, type the name of the user or group. We recommend that you delegate RODC installation and administration to a group.This user or group will also have local administrative rights on the RODC after the installation. If you do not specify a user or group, only members of the Domain Admins group or the Enterprise Admins group will be able to attach the server to the account.When you are finished, click Next.On the Summary page, review your selections. Click Back to change any selections, if necessary.To save the settings that you selected to an answer file that you can use to automate subsequent AD DS operations, click Export settings. Type a name for your answer file, and then click Save.When you are sure that your selections are accurate, click Next to create the RODC account.On the Completing the Active Directory Domain Services Installation Wizard page, click Finish.After an RODC account is created, you can attach a server to account to complete the RODC installation. This second stage can be completed in the branch office where the RODC will be located. The server where you perform this procedure must not be joined to the domain. Beginning in Windows Server 2012, you use the Add Roles Wizard in Server Manager to attach a server to an RODC account.To attach a server to an RODC account using Server ManagerLog on as local Administrator.In Server Manager, click Add roles and features.On the Before you begin page, click Next.On the Select installation type page, click Role-based or feature-based installation and then click Next.On the Select destination server page, click Select a server from the server pool, click the name of the server where you want to install AD DS and then click Next.On the Select server roles page, click Active Directory Domain Services, click Add Features and then click Next.On the Select features page, select any additional features that you want to install and click Next.On the Active Directory Domain Services page, review the information and then click Next.On the Confirm installation selections page, click Install.On the Results page, verify Installation succeeded, and click Promote this server to a domain controller to start the Active Directory Domain Services Configuration Wizard.If you close Add Roles Wizard at this point without starting the Active Directory Domain Services Configuration Wizard, you can restart it by clicking Tasks in Server Manager.On the Deployment Configuration page, click Add a domain controller to an existing domain, type the name of the domain (for example, emea.contoso.com) and credentials (for example, specify an account that is delegated to manage and install the RODC), and then click Next.On the Domain Controller Options page, click Use existing RODC account, type and confirm the Directory Services Restore Mode password, and then click Next.On the Additional Options page, if you are installing from media, click Install from media path type and verify the path to the installation source files, select the domain controller that you want to replicate the AD DS installation data from (or allow the wizard to select any domain controller) and then click Next.On the Paths page, type the locations for the Active Directory database, log files, and SYSVOL folder, or accept default locations, and then click Next.On the Review Options page, confirm your selections, click View Script to export the settings to a Windows PowerShell script, and then click Next.On the Prerequisites Check page, confirm that prerequisite validation completed and then click Install.To complete the AD DS installation, the server will restart automatically.Troubleshooting Domain Controller Deployment Install a New Windows Server 2012 Active Directory Forest (Level 200) Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200) Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Level 200)