Active Directory Domain Services (Level 100) installeren

  • Artikel

 

Van toepassing op: Windows Server 2012 R2, Windows Server 2012

In dit onderwerp wordt uitgelegd hoe u AD DS in Windows Server 2012 kunt installeren met een van de volgende methoden:

  • Referentievereisten voor het uitvoeren van Adprep.exe uitvoeren en het installeren van Active Directory Domain Services

  • AD DS installeren met behulp van Windows PowerShell

  • AD DS installeren met Serverbeheer

  • Een gefaseerde RODC-installatie uitvoeren met de grafische gebruikersinterface

Referentievereisten voor het uitvoeren van Adprep.exe uitvoeren en het installeren van Active Directory Domain Services

De volgende referenties zijn nodig voor het uitvoeren van Adprep.exe en het installeren van AD DS.

  • Als u een nieuw forest wilt installeren, moet u als lokale beheerder zijn aangemeld bij de computer.

  • Als u een nieuw onderliggend domein of een nieuwe domeinstructuur wilt installeren, moet u zijn aangemeld als lid van de groep Ondernemingsadministrators.

  • Als u een extra domeincontroller wilt installeren in een bestaand domein, moet u lid zijn van de groep Domeinadministrators.

    System_CAPS_noteOpmerking

    Als u de opdracht adprep.exe niet afzonderlijk uitvoert en u de eerste domeincontroller installeert waarop Windows Server 2012 wordt uitgevoerd in een bestaand domein of forest, wordt u gevraagd referenties op te geven om Adprep-opdrachten uit te voeren. De referentievereisten zijn:

    • Als u de eerste Windows Server 2012-domeincontroller in het forest wilt introduceren, moet u referenties opgeven voor een lid van de groep Ondernemingsadministrators, de groep Schema-administrators en de groep Domeinadministrators in het domein dat als host fungeert voor de schemamaster.

    • Als u de eerste Windows Server 2012-domeincontroller in een domein wilt introduceren, moet u referenties opgeven voor een lid van de groep Domeinadministrators.

    • Als u de eerste alleen-lezen domeincontroller (RODC) in het forest wilt introduceren, moet u referenties opgeven voor een lid van de groep Ondernemingsadministrators.

      Notitie

      Als u adprep/rodcprep al in Windows Server 2008 of Windows Server 2008 R2 hebt uitgevoerd, hoeft u deze opdracht niet opnieuw uit te voeren voor Windows Server 2012.

AD DS installeren met behulp van Windows PowerShell

Te beginnen met Windows Server 2012, kunt u AD DS installeren met behulp van Windows PowerShell. Dcpromo.exe is afgeschaft, te beginnen met Windows Server 2012, maar u kunt nog steeds dcpromo.exe uitvoeren met behulp van een antwoordbestand (dcpromo /unattend:<antwoordbestand> of dcpromo /answer:<antwoordbestand>). Dankzij de mogelijkheid om dcpromo.exe te blijven uitvoeren met een antwoordbestand, kunnen organisaties die bronnen hebben geïnvesteerd in bestaande automatiseringstijd, de automatisering van dcpromo.exe converteren naar Windows PowerShell. Zie https://support.microsoft.com/kb/947034 voor meer informatie over het uitvoeren van dcpromo.exe met een antwoordbestand.

Zie AD DS verwijderen met behulp van Windows PowerShell voor meer informatie over het verwijderen van AD DS met Windows PowerShell.

Begin met het toevoegen van de rol met behulp van Windows PowerShell. Met deze opdracht worden de AD DS-serverfunctie en de AD DS- en AD LDS-serverbeheerprogramma's geïnstalleerd, inclusief GUI-hulpprogramma's als Active Directory - gebruikers en computers, en opdrachtregelprogramma's als dcdia.exe. Serverbeheerprogramma's worden niet standaard geïnstalleerd als u Windows PowerShell gebruikt. U moet –IncludeManagementTools opgeven om de lokale server te beheren of Beheerhulpprogramma's voor externe servers installeren om een externe server te beheren.

Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>

U hoeft pas opnieuw op te starten nadat de AD DS-installatie is voltooid.

Vervolgens kunt u deze opdracht uitvoeren om de beschikbare cmdlets in de module ADDSDeployment te kunnen zien.

Get-command –module ADDSDeployment

Ga als volgt te werk voor een overzicht van de argumenten die u kunt opgeven voor een cmdlet en syntaxis:

Get-help <cmdlet name>

Als u bijvoorbeeld de argumenten wilt zien voor het maken van een ongebruikt, alleen-lezen domeincontrolleraccount (RODC), typt u

Get-help Add-ADDSReadOnlyDomainControllerAccount

Optionele argumenten worden weergegeven tussen vierkante haken.

U kunt ook de meest recente Help-voorbeelden en -concepten voor Windows PowerShell-cmdlets downloaden. Zie about_Updatable_Help voor meer informatie.

U kunt Windows PowerShell-cmdlets uitvoeren op externe servers:

  • Gebruik invoke-command voor de cmdlet ADDSDeployment in Windows PowerShell. Als u bijvoorbeeld AD DS wilt installeren op een externe server met de naam ConDC3 in het domein contoso.com, typt u:

    invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3

of

  • Maak in Serverbeheer een servergroep die de externe server bevat. Klik met de rechtermuisknop op de naam van de externe server en klik op Windows PowerShell.

In de volgende secties wordt uitgelegd hoe ADDSDeployment-cmdlets moeten worden uitgevoerd om AD DS te installeren.

  • Argumenten voor ADDSDeployment-cmdlets

  • Windows PowerShell-referenties opgeven

  • Test-cmdlets gebruiken

  • Installeren van een nieuw foresthoofddomein met Windows PowerShell

  • Een nieuw onderliggend element of structuurdomein installeren met Windows PowerShell

  • Een extra domeincontroller (replica) met Windows PowerShell installeren

Argumenten voor ADDSDeployment-cmdlets

De volgende tabel geeft een overzicht van de argumenten voor de ADDSDeployment-cmdlets in Windows PowerShell. De vetgedrukt argumenten zijn verplicht. Gelijkwaardige argumenten voor dcpromo.exe staan tussen haakjes als ze verschillende namen hebben in Windows PowerShell.

Windows PowerShell-switches accepteren de argumenten $TRUE en $FALSE. Argumenten die standaard $True zijn, hoeven niet te worden opgegeven.

Als u standaardwaarden wilt overschrijven, kunt u het argument opgeven met de waarde $False.- installdns bijvoorbeeld wordt automatisch uitgevoerd voor de installatie van een nieuw forest als dat niet is opgegeven. Dus de enige manier om DNS-installatie te voorkomen wanneer u een nieuw forest installeert, is gebruik te maken van:

-InstallDNS:$false

En omdat – installdns een standaardwaarde heeft van $False als u een domeincontroller wilt installeren in een omgeving die Windows Server DNS-server niet host, moet u ook het volgende argument opgeven om de DNS-server te kunnen installeren:

-InstallDNS:$true

Argument

Beschrijving

ADPrepCredential <PS-referentie>

Notitie

Vereist als u de eerste Windows Server 2012-domeincontroller in een domein of forest installeert en de referenties van de huidige gebruiker onvoldoende zijn om de bewerking uit te voeren.

Hiermee wordt het account met het groepslidmaatschap Ondernemingsadministrators en Schema-administrators opgegeven waarmee het forest kan worden voorbereid volgens de regels van Get-Credential en een PSCredential-object.

Als u geen waarde opgeeft, wordt de waarde van het argument –credential gebruikt.

AllowDomainControllerReinstall

Hiermee wordt opgegeven of u moet doorgaan met het installeren van deze beschrijfbare domeincontroller, ondanks het feit dat een andere beschrijfbare domeincontroller met dezelfde naam wordt gedetecteerd.

Gebruik $True alleen als u er zeker van bent dat het account momenteel niet wordt gebruikt door een andere beschrijfbare domeincontroller.

De standaardwaarde is $False.

Dit argument is niet geldig voor een RODC.

AllowDomainReinstall

Hiermee wordt opgegeven of een bestaand domein opnieuw wordt gemaakt.

De standaardwaarde is $False.

AllowPasswordReplicationAccountName <tekenreeks []>

Hiermee worden de namen opgegeven van gebruikersaccounts, groepsaccounts en computeraccounts waarvan de wachtwoorden kunnen worden gerepliceerd naar deze RODC. Gebruik een lege tekenreeks ('') als u de waarde leeg wilt laten. Standaard wordt alleen de groep toegestaan waarvoor RODC-wachtwoordreplicatie is toegestaan. Deze wordt aanvankelijk leeg aangemaakt.

Geef waarden op als een tekenreeksmatrix. Bijvoorbeeld:

-AllowPasswordReplicationAccountName "JSmith","JSmithPC","Branch Users"

ApplicationPartitionsToReplicate <tekenreeks []>

Notitie

Er is geen overeenkomende optie in de gebruikersinterface. Als u met behulp van de gebruikersinterface of via IFM installeert, worden alle toepassingspartities gerepliceerd.

Hiermee worden de toepassingsmappartities gerepliceerd. Dit argument wordt alleen toegepast wanneer u het argument - InstallationMediaPath opgeeft voor het installeren van media (IFM). Standaard worden alle toepassingspartities gerepliceerd op basis van hun eigen bereik.

Geef waarden op als een tekenreeksmatrix. Bijvoorbeeld:

-ApplicationPartitionsToReplicate "partition1","partition2","partition3"

Bevestigen

Hiermee wordt u gevraagd om bevestiging voordat u de cmdlet uitvoert.

CreateDnsDelegation

Notitie

U kunt dit argument niet opgeven als u de cmdlet Add-ADDSReadOnlyDomainController uitvoert.

Hiermee wordt aangegeven of een DNS-delegering moet worden gemaakt die verwijst naar de nieuwe DNS-server die u samen met de domeincontroller installeert. Alleen geldig voor met Active Directory geïntegreerde DNS. Delegeringsrecords kunnen alleen op Microsoft DNS-servers worden gemaakt die online zijn en toegankelijk. Delegeringsrecords kunnen niet worden gemaakt voor domeinen die zich direct onder domeinen op het hoogste niveau, zoals .com, .gov, .biz, .edu, bevinden of onder landcodedomeinen van twee letters, zoals .nz en .au.

De standaardinstelling wordt automatisch berekend op basis van de omgeving.

Referentie <PS-referentie>

Notitie

Alleen vereist als de referenties van de huidige gebruiker onvoldoende zijn om de bewerking uit te voeren.

Hiermee wordt het domeinaccount opgegeven waarmee u zich bij het domein kunt aanmelden volgens de regels van Get-Credential en een PSCredential-object.

Als u geen waarde opgeeft, worden de referenties van de huidige gebruiker gebruikt.

CriticalReplicationOnly

Hiermee wordt opgegeven of de AD DS-installatiebewerking alleen kritieke replicatie uitvoert voorafgaand aan het opnieuw opstarten en vervolgens doorgaat. De niet-kritieke replicatie treedt op nadat de installatie is voltooid en de computer opnieuw is opgestart.

Het gebruik van dit argument wordt afgeraden.

Er is geen equivalent voor deze optie in de gebruikersinterface (UI).

DatabasePath <tekenreeks>

Hiermee wordt het volledig gekwalificeerde, niet-UNC-pad (Universal Naming Convention) opgegeven naar een map op de harde schijf van de lokale computer die de domeindatabase bevat, bijvoorbeeld C:\Windows\NTDS.

De standaardwaarde is %SYSTEMROOT%\NTDS.

Belangrijk

Hoewel de AD DS-database en -logboekbestanden kunnen worden opgeslagen op een volume dat is geformatteerd met een ReFS-bestandssysteem (Resilient File System, ReFS), zijn er geen specifieke voordelen voor het hosten van AD DS op ReFS, behalve de normale tolerantievoordelen die u krijgt bij het hosten van gegevens op ReFS.

DelegatedAdministratorAccountName <tekenreeks>

Hiermee wordt de naam opgegeven van de gebruiker of groep die de RODC kan installeren en beheren.

Standaard kunnen alleen leden van de groep Domeinadministrators een RODC beheren.

DenyPasswordReplicationAccountName <tekenreeks []>

Hiermee worden de namen opgegeven van gebruikersaccounts, groepsaccounts en computeraccounts waarvan de wachtwoorden niet mogen worden gerepliceerd naar deze RODC. Gebruik een lege tekenreeks ('') als u de replicatie van referenties van gebruikers of computers niet wilt weigeren. Standaard worden Administrators, Serveroperators, Back-upoperators, Accountoperators en de Groep waarvoor RODC-wachtwoordreplicatie niet is toegestaan, geweigerd. De Groep waarvoor RODC-wachtwoordreplicatie niet is toegestaan omvat standaard: Certificaatuitgevers, Domeinadministrators, Ondernemingsadministrators, Ondernemingsdomeincontrollers, Alleen-lezen domeincontrollers in de onderneming, Maker Eigenaars Groepsbeleid, het krbtgt-account en Schema-administrators.

Geef waarden op als een tekenreeksmatrix. Bijvoorbeeld:

-DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs"

DnsDelegationCredential <PS-referentie>

Notitie

U kunt dit argument niet opgeven als u de cmdlet Add-ADDSReadOnlyDomainController uitvoert.

Hiermee worden de gebruikersnaam en het wachtwoord opgegeven voor het maken van DNS-delegering volgens de regels van Get-Credential en een PSCredential-object.

DomainMode <Domeinmodus> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}

of

DomainMode <Domeinmodus> {2 | 3 | 4 | 5 | 6}

Hiermee wordt het functionele niveau opgegeven tijdens het maken van een nieuw domein.

Het functionele niveau van het domein kan niet lager zijn dan het functionele niveau van het forest; het kan wel hoger zijn.

De standaardwaarde wordt automatisch berekend en ingesteld op het bestaande functionele niveau van het forest of de waarde die is ingesteld voor -ForestMode.

DomainName

Vereist voor de cmdlets Install-ADDSForest en Install-ADDSDomainController.

Hiermee wordt de FQDN-naam opgegeven van het domein waarin u een extra domeincontroller wilt installeren.

DomainNetbiosName <tekenreeks>

Vereist voor Install-ADDSForest als het FQDN-voorvoegsel langer is dan 15 tekens.

Gebruiken met Install-ADDSForest. Hierdoor wordt een NetBIOS-naam toegewezen aan het hoofddomein van het nieuwe forest.

DomainType <Domeintype> {ChildDomain | TreeDomain} of {child | tree}

Hiermee wordt het type domein aangegeven dat u wilt maken: een nieuwe domeinstructuur in een bestaand forest, een onderliggend element van een bestaand domein of een nieuw forest.

De standaardwaarde voor DomainType is ChildDomain.

Force

Als deze parameter wordt opgegeven, worden eventuele waarschuwingen onderdrukt die gewoonlijk optreden tijdens het installeren en toevoegen van de domeincontroller, zodat de cmdlet kan worden uitgevoerd. Deze parameter is handig bij het uitvoeren van scriptinstallaties.

ForestMode <Forestmodus> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2}

of

ForestMode <Forestmodus> {2 | 3 | 4 | 5 | 6}

Hiermee wordt het functionele niveau van het forest opgegeven wanneer u een nieuw forest maakt.

De standaardwaarde is Win2012.

InstallationMediaPath

Hiermee wordt de locatie van de installatiemedia opgegeven die worden gebruikt voor het installeren van een nieuwe domeincontroller.

InstallDns

Hiermee wordt opgegeven of de DNS Server-service moet worden geïnstalleerd en geconfigureerd op de domeincontroller.

Voor een nieuw forest is de standaardwaarde $True en is DNS Server geïnstalleerd.

Voor een nieuw onderliggend domein of nieuwe domeinstructuur geldt dat als het bovenliggende domein (of foresthoofddomein voor een domein) reeds als host en opslag fungeert voor de DNS-namen voor het domein, de standaardwaarde voor deze parameter $True is.

Voor de installatie van een domeincontroller in een bestaand domein geldt dat als deze parameter niet is opgegeven en het huidige domein reeds fungeert als host en opslag voor de DNS-namen voor het domein, de standaardwaarde voor deze parameter $True is. Als de DNS-domeinnamen echter buiten Active Directory worden gehost, is de standaardwaarde $False en wordt er geen DNS Server geïnstalleerd.

LogPath <tekenreeks>

Hiermee wordt het volledig gekwalificeerde, niet-UNC-pad opgegeven naar een map op de harde schijf van de lokale computer die de domeinlogbestanden bevat, bijvoorbeeld C:\Windows\Logs.

De standaardwaarde is %SYSTEMROOT%\NTDS.

Belangrijk

Sla de logboekbestanden van Active Directory niet op een gegevensvolume op dat is geformatteerd met een ReFS-bestandssysteem.

MoveInfrastructureOperationMasterRoleIfNecessary

Hiermee wordt opgegeven of de functie van de IM-operations-master (ook wel FSMO-functies [Flexible Single Master Operations] genoemd) moet worden overgedragen naar de domeincontroller die u aan het maken bent (als deze momenteel op een globale catalogusserver is gehost) en u van de domeincontroller die u maakt geen globale catalogusserver wilt maken. Geef deze parameter op om de functie van infrastructuurmaster over te dragen naar de domeincontroller die u maakt in geval overdracht nodig is. Geef in dit geval de optie NoGlobalCatalog op als u wilt dat de infrastructuurmaster moet blijven waar deze zich momenteel bevindt.

NewDomainName <tekenreeks>

Notitie

Alleen vereist voor Install-ADDSDomain.

Hiermee wordt de enkelvoudige domeinnaam voor het nieuwe domein opgegeven.

Als u bijvoorbeeld een nieuw onderliggend domein wilt maken met de naam emea.corp.fabrikam.com, moet u emea opgeven als waarde voor dit argument.

NewDomainNetbiosName <tekenreeks>

Vereist voor Install-ADDSDomain als het FQDN-voorvoegsel langer is dan 15 tekens.

Gebruiken met Install-ADDSDomain. Hiermee wordt een NetBIOS-naam toegewezen aan het nieuwe domein. De standaardwaarde is afgeleid van de waarde van –NewDomainName.

NoDnsOnNetwork

Hiermee wordt opgegeven dat de DNS-service niet beschikbaar is op het netwerk. Deze parameter wordt alleen gebruikt als de IP-instelling van de netwerkadapter voor deze computer niet is geconfigureerd met de naam van een DNS-server voor naamomzetting. Hiermee wordt aangegeven dat een DNS-server wordt geïnstalleerd op deze computer voor naamomzetting. Anders moeten de IP-instellingen van de netwerkadapter eerst worden geconfigureerd met het adres van een DNS-server.

Als deze parameter wordt weggelaten (standaardinstelling) geeft dit aan dat de instellingen voor de TCP/IP-client van de netwerkadapter op deze servercomputer worden gebruikt om contact op te nemen met een DNS-server. Als u deze parameter niet opgeeft, moet u er dus voor zorgen dat de TCP/IP-clientinstellingen eerst worden geconfigureerd met een voorkeurs-DNS-serveradres.

NoGlobalCatalog

Dit geeft aan dat u van de domeincontroller geen globale catalogusserver wilt maken.

Domeincontrollers met Windows Server 2012 worden standaard geïnstalleerd met de globale catalogus. Met andere woorden, dit wordt automatisch zonder berekening uitgevoerd, tenzij u de volgende parameter opgeeft:

-NoGlobalCatalog

NoRebootOnCompletion

Hiermee wordt opgegeven of de computer na voltooiing van de opdracht opnieuw moet worden opgestart, ook als de uitvoering niet is geslaagd. De computer wordt standaard opnieuw opgestart. Geef het volgende op om te voorkomen dat de server opnieuw wordt opgestart:

-NoRebootOnCompletion:$True

Er is geen equivalent voor deze optie in de gebruikersinterface (UI).

ParentDomainName <tekenreeks>

Notitie

Vereist voor cmdlet Install-ADDSDomain

Hiermee wordt de FQDN-naam van een bestaand bovenliggend domein opgegeven. Gebruik dit argument tijdens de installatie van een onderliggend domein of een nieuwe domeinstructuur.

Als u bijvoorbeeld een nieuw onderliggend domein wilt maken met de naam emea.corp.fabrikam.com, moet u corp.fabrikam.com opgeven als waarde voor dit argument.

ReadOnlyReplica

Hiermee wordt opgegeven of een RODC (alleen-lezen domeincontroller) moet worden geïnstalleerd.

ReplicationSourceDC <tekenreeks>

Hiermee wordt de FQDN-naam opgegeven van de partnerdomeincontroller waarvan u de domeingegevens repliceert. De standaardwaarde wordt automatisch berekend.

SafeModeAdministratorPassword <securestring>

Hiermee wordt het wachtwoord opgegeven voor het administratoraccount wanneer de computer zich in de veilige modus of een variant van de veilige modus bevindt, bijvoorbeeld de modus Active Directory terugzetten.

De standaardwaarde is een leeg wachtwoord. U moet een wachtwoord opgeven. Het wachtwoord moet worden opgegeven in de indeling System.Security.SecureString, zoals opgegeven door Read-Host -AsSecureString of ConvertTo-SecureString.

Het argument SafeModeAdministratorPassword wordt speciaal verwerkt: als het niet is opgegeven als een argument, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het aanbevolen gebruik als de cmdlet interactief wordt uitgevoerd. Als de cmdlet zonder een waarde wordt opgegeven en er geen andere argumenten voor de cmdlet worden opgegeven, wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren zonder bevestiging. Dit is niet het aanbevolen gebruik als de cmdlet interactief wordt uitgevoerd. Als de cmdlet met een waarde is opgegeven, moet de waarde een veilige tekenreeks zijn. Dit is niet het aanbevolen gebruik als de cmdlet interactief wordt uitgevoerd. U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host door de gebruiker naar een veilige tekenreeks te vragen: -safemodeadministratorpassword (read-host -prompt Wachtwoord: -assecurestring). U zou ook een beveiligde tekenreeks kunnen opgeven als een variabele met geconverteerde niet-versleutelde tekst, maar dit wordt sterk afgeraden. -safemodeadministratorpassword (convertto-securestring Wachtwoord1 -asplaintext -force)

Sitenaam <tekenreeks>

Vereist voor de cmdlet Add-addsreadonlydomaincontrolleraccount

Hiermee wordt de site opgegeven waar de domeincontroller wordt geïnstalleerd. Er is geen argument –sitename bij het uitvoeren van Install-ADDSForest omdat de eerste site die wordt gemaakt Default-First-Site-Name is.

De naam van de site moet al bestaan wanneer deze wordt opgegeven als een argument voor -sitename. De site wordt niet door de cmdlet gemaakt.

SkipAutoConfigureDNS

Hiermee worden automatische configuratie van DNS-clientinstellingen, doorstuurservers en aanbevolen basisservers overgeslagen. Dit argument is alleen van kracht als de DNS Server-service al is geïnstalleerd of automatisch is geïnstalleerd met -InstallDNS.

SystemKey <tekenreeks>

Hiermee wordt de systeemsleutel opgegeven voor de media waaruit u de gegevens repliceert.

De standaardwaarde is geen.

Gegevens moeten de indeling hebben die wordt opgegeven door Read-Host -assecurestring of ConvertTo-SecureString.

SysvolPath <tekenreeks>

Hiermee wordt het volledig gekwalificeerde, niet-UNC-pad opgegeven naar een map op de harde schijf van de lokale computer, bijvoorbeeld C:\Windows\SYSVOL.

De standaardwaarde is %SYSTEMROOT%\SYSVOL.

Belangrijk

SYSVOL kan niet worden opgeslagen op een gegevensvolume dat is geformatteerd met een ReFS-bestandssysteem.

SkipPreChecks

Voert de vereiste controles niet uit voordat de installatie wordt gestart. U wordt niet aangeraden deze instelling te gebruiken.

WhatIf

Hiermee wordt weergegeven wat er zou gebeuren als u de cmdlet uitvoert. De cmdlet wordt niet uitgevoerd.

Windows PowerShell-referenties opgeven

U kunt met behulp van Get-Credential referenties opgeven zonder deze op het scherm als tekst zonder opmaak weer te geven.

De verwerking van de argumenten LocalAdministratorPassword en SafeModeAdministratorPassword is speciaal:

  • Als dit niet wordt opgegeven als argument, vraagt de cmdlet u om een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het aanbevolen gebruik als de cmdlet interactief wordt uitgevoerd.

  • Indien opgegeven met een waarde, moet deze waarde een beveiligde tekenreeks zijn. Dit is niet het aanbevolen gebruik als de cmdlet interactief wordt uitgevoerd.

U kunt bijvoorbeeld handmatig vragen om een wachtwoord met behulp van de cmdlet Read-Host om de gebruiker te vragen om een veilige tekenreeks

-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)

Waarschuwing

Aangezien bij de voorgaande optie het wachtwoord niet wordt bevestigd, gaat u zeer voorzichtig te werk: het wachtwoord is niet zichtbaar.

U kunt ook een beveiligde tekenreeks opgeven als een variabele met geconverteerde niet-versleutelde tekst, maar dit wordt sterk afgeraden:

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Waarschuwing

Het aanleveren of opslaan van een wachtwoord in ongecodeerde tekstvorm wordt afgeraden. Iedereen die deze opdracht uitvoert in een script of over uw schouder meekijkt kent het DSRM-wachtwoord van die domeincontroller. Met deze kennis kunnen ze de domeincontroller zelf imiteren en hun bevoegdheden uitbreiden naar het hoogste niveau in een Active Directory-forest.

Test-cmdlets gebruiken

Elke ADDSDeployment-cmdlet heeft een bijbehorende test-cmdlet. Met de test-cmdlets worden alleen de vereiste controles uitgevoerd voor de installatiebewerking. Er worden geen installatie-instellingen geconfigureerd. De argumenten voor elke test-cmdlet zijn dezelfde als die voor de bijbehorende installatie-cmdlet, maar –SkipPreChecks is niet beschikbaar voor test-cmdlets.

Test-cmdlet

Beschrijving

Test-ADDSForestInstallation

Hiermee worden de vereisten voor het installeren van een nieuw Active Directory-forest uitgevoerd.

Test-ADDSDomainInstallation

Hiermee worden de vereisten voor het installeren van een nieuw domein in Active Directory uitgevoerd.

Test-ADDSDomainControllerInstallation

Hiermee worden de vereisten voor het installeren van een domeincontroller in Active Directory uitgevoerd.

Test-ADDSReadOnlyDomainControllerAccountCreation

Hiermee worden de vereisten voor het toevoegen van een RODC (alleen-lezen domeincontroller) uitgevoerd.

Installeren van een nieuw foresthoofddomein met Windows PowerShell

De syntaxis van de opdracht voor het installeren van een nieuw forest is als volgt. Optionele argumenten worden weergegeven tussen vierkante haken.

Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]

Notitie

Het argument -DomainNetBIOSName is vereist als u de automatisch gegenereerde naam van 15 tekens die is gebaseerd op het voorvoegsel van het DNS-domein wilt wijzigen of als de naam langer is dan 15 tekens.

Als u bijvoorbeeld een nieuw forest wilt installeren met de naam corp.contoso.com en op een veilige manier wilt worden gevraagd het DSRM-wachtwoord op te geven, typt u:

Install-ADDSForest –domainname "corp.contoso.com"

Notitie

DNS-server wordt standaard geïnstalleerd wanneer u Install-ADDSForest uitvoert.

Als u een nieuw forest met de naam corp.contoso.com wilt installeren, maakt u een DNS-delegering in het domein contoso.com, stelt u het functionele niveau van het domein in op Windows Server 2008 R2 en het functionele niveau van het forest op Windows Server 2008, installeert u de Active Directory-database en SYSVOL op station D:\ en de logboekbestanden op station E:\, en wilt worden gevraagd om het wachtwoord voor de modus Active Directory terugzetten op te geven, typt u:

Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs"

Een nieuw onderliggend element of structuurdomein installeren met Windows PowerShell

De syntaxis van de opdracht voor het installeren van een nieuw domein is als volgt. Optionele argumenten worden weergegeven tussen vierkante haken.

Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]

Notitie

Het argument -credential is alleen nodig als u momenteel niet bent aangemeld als lid van de groep Ondernemingsadministrators.

Het argument -NewDomainNetBIOSName is vereist als u de automatisch gegenereerde naam van 15 tekens die is gebaseerd op het voorvoegsel van het DNS-domein wilt wijzigen of als de naam langer is dan 15 tekens.

Als u bijvoorbeeld referenties van corp\EnterpriseAdmin1 wilt gebruiken om een nieuw onderliggend domein met de naam child.corp.contoso.com te maken, installeert u een DNS-server, maakt u een DNS-delegering in het domein corp.contoso.com, stelt u het functionele niveau van het domein in op Windows Server 2003, maakt u van de domeincontroller een globale catalogusserver op een locatie met de naam Houston, gebruikt u DC1.corp.contoso.com als de domeincontroller van de replicatiebron, installeert u de Active Directory-database en SYSVOL op station D:\, installeert u de logboekbestanden op station E:\, en wilt worden gevraagd om het wachtwoord voor de modus Active Directory terugzetten op te geven maar de opdracht niet te bevestigen, typt u:

Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$False

Een extra domeincontroller (replica) met Windows PowerShell installeren

De syntaxis van de opdracht voor het installeren van een extra domeincontroller is als volgt. Optionele argumenten worden weergegeven tussen vierkante haken.

Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]

Als u een domeincontroller en DNS-server wilt installeren in het domein corp.contoso.com en wilt worden gevraagd de referenties van een domeinadministrator en het wachtwoord voor de modus Active Directory terugzetten op te geven, typt u:

Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com"

Als de computer al lid is van het domein en u lid bent van de groep Domeinadministrators, kunt u gebruikmaken van:

Install-ADDSDomainController -domainname "corp.contoso.com"

Als u naar de domeinnaam wilt worden gevraagd, typt u:

Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")

De volgende opdracht maakt gebruik van referenties van Contoso\EnterpriseAdmin1 om een beschrijfbare domeincontroller en een globale catalogusserver te installeren op een locatie met de naam Boston, een DNS-server te installeren, een DNS-delegering te maken in het domein contoso.com, te installeren vanaf media die zijn opgeslagen in de map C:\ADDS IFM, de Active Directory-database en SYSVOL te installeren op station D:\, de logboekbestanden te installeren op station E:\, de server automatisch opnieuw te starten nadat AD DS-installatie is voltooid en te vragen het wachtwoord voor de modus Active Directory terugzetten op te geven:

Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs"

Een gefaseerde installatie van RODC uitvoeren met Windows PowerShell

De syntaxis van de opdracht om een RODC-account te maken, is als volgt. Optionele argumenten worden weergegeven tussen vierkante haken.

Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]

De syntaxis van de opdracht om een server te koppelen aan een RODC-account is als volgt. Optionele argumenten worden weergegeven tussen vierkante haken.

Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]

Als u bijvoorbeeld een RODC-account wilt maken met de naam RODC1:

Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarA

Voer vervolgens de volgende opdrachten uit op de server die u wilt koppelen aan het RODC1-account. De server kan niet worden gekoppeld aan het domein. Installeer eerst de AD DS-serverfunctie en beheerhulpprogramma's:

install-windowsfeature –name AD-Domain-Services -includemanagementtools

Voer vervolgens de volgende opdracht uit om de RODC te maken:

Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccount

Druk op Y om het argument –confirm te bevestigen of op te nemen om te voorkomen dat om bevestiging wordt gevraagd.

AD DS installeren met Serverbeheer

AD DS kan in Windows Server 2012 worden geïnstalleerd met behulp van de wizard Functies toevoegen in Serverbeheer, gevolgd door de wizard Active Directory Domain Services configureren. Deze is nieuw vanaf Windows Server 2012. De wizard Active Directory Domain Services installeren (dcpromo.exe) is vanaf Windows Server 2012 afgeschaft.

In de volgende secties wordt uitgelegd hoe u servergroepen kunt maken om AD DS op meerdere servers te installeren en beheren en hoe u de wizards gebruikt om AD DS te installeren.

Servergroepen maken

In Serverbeheer kunnen andere servers op het netwerk worden gegroepeerd zolang ze toegankelijk zijn vanaf de computer waarop Serverbeheer wordt uitgevoerd. Eenmaal gegroepeerd, kiest u die servers voor installatie op afstand van AD DS of andere mogelijk configuratieopties in Serverbeheer. De computer waarop Serverbeheer wordt uitgevoerd wordt automatisch aan de groep toegevoegd. Zie Add Servers to Server Manager (Engelstalig) voor meer informatie over servergroepen.

Notitie

Als u een aan een domein gekoppelde computer met Serverbeheer wilt beheren via een werkgroepserver of omgekeerd, zijn er extra configuratiestappen vereist. Zie Add and manage servers in workgroups in Add Servers to Server Manager (Engelstalig) voor meer informatie.

AD DS installeren

Beheerdersreferenties

De referentievereisten voor de installatie van AD DS variëren afhankelijk van de distributieconfiguratie die u kiest. Zie Referentievereisten voor het uitvoeren van Adprep.exe uitvoeren en het installeren van Active Directory Domain Services voor meer informatie.

Gebruik de volgende procedures om AD DS met de GUI-methode te installeren. De stappen kunnen lokaal of op afstand worden uitgevoerd. Zie de volgende onderwerpen voor een meer gedetailleerde uitleg van de volgende stappen:

AD DS installeren met Serverbeheer

  1. Klik in Serverbeheer op Beheren en klik vervolgens op Functies en onderdelen toevoegen om de wizard Functies toevoegen te starten.

  2. Klik op de pagina Voordat u begint op Volgende.

  3. Klik op de pagina Type installatie selecteren op Installatie die op de functie of het onderdeel is gebaseerd en klik op Volgende.

  4. Klik op de pagina De doelserver selecteren op Een server uit een servergroep selecteren, klik op de namen van de servers waarop u AD DS wilt installeren en klik vervolgens op Volgende.

    Als u externe servers wilt selecteren, maakt u eerst een servergroep en voegt u de externe servers eraan toe. Zie Add Servers to Server Manager (Engelstalig) voor meer informatie over het maken van servergroepen.

  5. Klik op de pagina Serverrollen selecteren op Active Directory Domain Services, klik in het dialoogvenster Wizard Functies en onderdelen toevoegen op Onderdelen toevoegen en klik vervolgens op Volgende.

  6. Selecteer op de pagina Onderdelen selecteren eventuele aanvullende functies die u wilt installeren en klik op Volgende.

  7. Bekijk de informatie op de pagina Active Directory Domain Services en klik op Volgende.

  8. Klik op de pagina Installatieselecties bevestigen op Installeren.

  9. Controleer op de pagina Resultaten of de installatie is voltooid en klik op Deze server tot een domeincontroller opwaarderen om de wizard Active Directory Domain Services configureren te starten.

    Deze server naar domeincontroller promoveren

    Belangrijk

    Als u de wizard Functies toevoegen op dit moment sluit zonder de wizard Active Directory Domain Services configureren te starten, kunt u deze opnieuw starten door in Serverbeheer op Taken te klikken.

    Vlag Taken in Serverbeheer

  10. Kies op de pagina Distributieconfiguratie een van de volgende opties:

    • Als u een extra domeincontroller in een bestaand domein installeert, klikt u op Een domeincontroller toevoegen aan een bestaand domein en typt u de naam van het domein (bijvoorbeeld emea.corp.contoso.com) of klikt u op Selecteren... om een domein en referenties te kiezen (geef bijvoorbeeld een account op dat lid is van de groep Domeinadministrators) en klik op Volgende.

      Notitie

      De naam van het domein en de huidige gebruikersreferenties worden alleen standaard geleverd als de computer aan een domein is gekoppeld en u een lokale installatie uitvoert. Als u AD DS op een externe server installeert, moet u de referenties zoals bedoeld opgeven. Als de huidige gebruikersreferenties onvoldoende zijn om de installatie uit te voeren, klikt u op Wijzigen... om andere referenties op te geven.

      Zie Een replica van een Windows Server 2012-domeincontroller installeren in een bestaand domein (niveau 200) voor meer informatie.

    • Als u een nieuw onderliggend domein installeert, klikt u op Een nieuw domein toevoegen aan een bestaand forest; voor Domeintype selecteren selecteert u Onderliggend domein, bladert u naar of typt u de naam van het bovenliggende DNS-domein (bijvoorbeeld corp.contoso.com), typt u de relatieve naam van het nieuwe onderliggende domein (bijvoorbeeld emea), typt u de referenties die u wilt gebruiken om het nieuwe domein te maken en klikt u op Volgende.

      Zie Een nieuw Windows Server 2012 Active Directory-onderliggend object of een nieuwe domeinstructuur (niveau 200) installeren voor meer informatie.

    • Als u een nieuwe domeinstructuur installeert, klikt u op Een nieuw domein toevoegen aan een bestaand forest; voor Domeintype selecteren, kiest u Structuurdomein, typt u de naam van het hoofddomein (bijvoorbeeld corp.contoso.com), typt u de DNS-naam van het nieuwe domein (bijvoorbeeld fabrikam.com), typt u de referenties die u wilt gebruiken om het nieuwe domein te maken en klikt u op Volgende.

      Zie Een nieuw Windows Server 2012 Active Directory-onderliggend object of een nieuwe domeinstructuur (niveau 200) installeren voor meer informatie.

    • Als u een nieuw forest installeert, klikt u op Een nieuw forest toevoegen en typt u de naam van het hoofddomein (bijvoorbeeld corp.contoso.com).

      Zie Een nieuw Windows Server 2012 Active Directory-forest installeren (niveau 200) voor meer informatie.

  11. Kies op de pagina Opties voor domeincontroller een van de volgende opties:

    • Als u een nieuw forest of domein maakt, selecteert u de functionele niveaus van het domein en het forest, klikt u op DNS-server (Domain Name System), geeft u het DSRM-wachtwoord op en klikt u op Volgende.

    • Als u een domeincontroller aan een bestaand domein toevoegt, klikt u op DNS-server (Domain Name System), Globale catalogus (GC) of Alleen-lezen domeincontroller (RODC), kiest u de naam van de locatie, typt u het DSRM-wachtwoord en klikt u op Volgende.

    Zie Domeincontrolleropties voor meer informatie over welke opties onder welke omstandigheden op deze pagina beschikbaar zijn.

  12. Klik op de pagina DNS-opties (die alleen wordt weergegeven als u een DNS-server installeert) zo nodig op DNS-delegering bijwerken. Als dat inderdaad nodig is, geeft u de referenties op waarmee u toestemming hebt om DNS-delegeringsrecords in de bovenliggende DNS-zone te maken.

    Als er geen verbinding kan worden gemaakt met een DNS-server die als host fungeert voor de bovenliggende zone, is de optie DNS-delegering bijwerken niet beschikbaar.

    Zie Wat is zonedelegatie? voor meer informatie over de noodzaak om een DNS-delegering bij te werken. Zie DNS-opties als u de DNS-delegering wilt bijwerken en er een fout optreedt.

  13. Op de pagina RODC-opties (die alleen wordt weergegeven als u een RODC installeert), geeft u de naam op van een groep of gebruiker die de RODC beheert, accounts toevoegt of verwijdert uit de groepen waarvoor wachtwoordreplicatie is toegestaan of geweigerd en klikt u op Volgende.

    Zie Wachtwoordreplicatiebeleid voor meer informatie.

  14. Kies op de pagina Extra opties een van de volgende opties:

    • Als u een nieuw domein maakt, typt u een nieuwe NetBIOS-naam of controleer u de standaard NetBIOS-naam van het domein en klikt u vervolgens op Volgende.

    • Als u een domeincontroller aan een bestaand domein toevoegt, selecteert u de domeincontroller van waaruit u de AD DS-installatiegegevens wilt repliceren (of u laat de wizard een domeincontroller selecteren). Als u vanaf media installeert, klikt u op Installeren vanaf mediapad, typt en controleert u het pad naar de installatiebronbestanden en klikt u op Volgende.

      U kunt Installeren vanaf medium (IFM) niet gebruiken om de eerste domeincontroller in een domein te installeren. IFM werkt niet op andere versies van besturingssystemen. Met andere woorden, als u met IFM een extra domeincontroller wilt installeren waarop Windows Server 2012 wordt uitgevoerd, moet u de back-upmedia maken op een Windows Server 2012-domeincontroller. Zie Installing an Additional Domain Controller by Using IFM Engelstalig) voor meer informatie over IFM.

  15. Op de pagina Paden typt u de locaties voor de Active Directory-database, -logboekbestanden en de SYSVOL-map (of accepteer de standaardlocaties). Klik op Volgende.

    Belangrijk

    Sla de Active Directory-database, -logboekbestanden of SYSVOL-map niet op een gegevensvolume op dat is geformatteerd met een ReFS-bestandssysteem.

  16. Op de pagina Voorbereidingsopties typt u de referenties die voldoende zijn om adprep uit te voeren. Zie Referentievereisten voor het uitvoeren van Adprep.exe uitvoeren en het installeren van Active Directory Domain Services voor meer informatie.

  17. Bevestig uw selecties op de pagina Opties controleren, klik op Script weergeven als u de instellingen wilt exporteren naar een Windows PowerShell-script en klik op Volgende.

  18. Op de pagina Controle van vereisten bevestigt u dat de controle van de vereisten is voltooid en klikt u op Installeren.

  19. Op de pagina Resultaten controleert u of de server is geconfigureerd als domeincontroller. De server wordt opnieuw opgestart om de AD DS-installatie te voltooien.

Een gefaseerde RODC-installatie uitvoeren met de grafische gebruikersinterface

Met een gefaseerde RODC-installatie kunt u in twee fasen een RODC maken. In de eerste fase wordt een RODC-account gemaakt door een lid van de groep Domeinadministrators. In de tweede fase wordt een server gekoppeld aan het RODC-account. De tweede fase kan worden uitgevoerd door een lid van de groep Domeinadministrators of een gedelegeerde domeingebruiker of -groep.

Een RODC-account maken met behulp van de Active Directory-beheerhulpprogramma's

  1. U kunt het RODC-account maken met behulp van het Active Directory-beheercentrum of Active Directory-gebruikers of Active Directory - gebruikers en computers.

    1. Klik op Start, klik op Systeembeheer en klik op Active Directory-beheercentrum.

    2. Klik in het navigatiedeelvenster (linker deelvenster) op de naam van het domein.

    3. Klik in de lijst Beheer (middelste deelvenster) op de organisatie-eenheid Domeincontrollers.

    4. Klik in het taakvenster (rechterdeelvenster) op Een alleen-lezen domeincontrolleraccount installeren.

    -Of-

    1. Klik op Start, klik op Beheerprogramma's en klik op Active Directory - gebruikers en computers.

    2. Klik met de linker- of rechtermuisknop op de organisatie-eenheid (OE) Domeincontrollers of klik op de OE Domeincontrollers en klik op Actie.

    3. Klik op Een alleen-lezen domeincontrolleraccount installeren.

  2. Als u het standaardbeleid voor wachtwoordreplicatie wilt wijzigen, klikt u op de pagina De wizard Active Directory Domain Services installeren, selecteert u Installatie in de geavanceerde modus gebruiken en klikt u op Volgende.

  3. Klik op de pagina Netwerkreferenties, onder Geef de accountreferenties op die moeten worden gebruikt voor het uitvoeren van de installatie, op De referenties waarmee ik nu ben aangemeld of op Andere referenties en klik vervolgens op Instellen. Geef in het dialoogvenster Windows-beveiliging de gebruikersnaam en het wachtwoord op voor een account waarmee u de extra domeincontroller kunt installeren. Als u een extra domeincontroller wilt installeren, moet u lid zijn van de groep Ondernemingsadministrators of de groep Domeinadministrators. Als u klaar bent met het opgeven van de referenties, klikt u op Volgende.

  4. Op de pagina Computernaam opgeven typt u de naam van de server die als RODC fungeert.

  5. Selecteer op de pagina Selecteer een site een site in de lijst of selecteer de optie voor het installeren van de domeincontroller op de site die overeenkomt met het IP-adres van de computer waarop de wizard wordt uitgevoerd en klik op Volgende.

  6. Maak op de pagina Extra domeincontrolleropties de volgende selecties en klik op Volgende:

    • DNS-server: deze optie is standaard geselecteerd zodat de domeincontroller kan worden gebruikt als een DNS-server (Domain Name System) Schakel deze optie uit als u niet wilt dat de domeincontroller een DNS-server is. Als u de DNS-serverfunctie echter niet installeert op de RODC en de RODC de enige domeincontroller in het filiaal is, kunnen gebruikers in het filiaal geen naamomzetting uitvoeren als de WAN (Wide Area Network) naar de hubsite offline is.

    • Globale catalogus: deze optie is standaard geselecteerd. Hiermee worden de globale catalogus en alleen leesbare mappartities aan de domeincontroller toegevoegd en wordt zoeken in de globale catalogus mogelijk gemaakt. Schakel deze optie uit als u niet wilt dat de domeincontroller een globale catalogus is. Als u echter geen globale-catalogusserver in het filiaal installeert of Universeel groepslidmaatschap in cache opslaan inschakelt voor de site met de RODC, kunnen gebruikers in het filiaal zich niet aanmelden bij het domein als de WAN naar de hubsite offline is.

    • Alleen-lezen domeincontroller (RODC). Wanneer u een RODC maakt, wordt deze optie standaard ingeschakeld en kunt u deze niet wissen.

  7. Als u het selectievakje Installatie in de geavanceerde modus gebruiken op de Welkomstpagina hebt ingeschakeld, wordt de pagina Beleid voor wachtwoordreplicatie opgeven weergegeven. Standaard worden geen wachtwoorden gerepliceerd naar de RODC en wordt vertrouwelijke accounts (zoals leden van de groep Domeinadministrators) expliciet geweigerd ooit hun wachtwoorden naar de RODC te repliceren.

    Als u andere accounts aan het beleid wilt toevoegen, klikt u op Toevoegen, klikt u vervolgens op Toestaan dat wachtwoorden voor het account naar deze RODC worden gerepliceerd of op Niet toestaan dat wachtwoorden voor het account naar deze RODC worden gerepliceerd en selecteert u de accounts.

    Wanneer u klaar bent (of de standaardinstelling hebt geaccepteerd), klikt u op Volgende.

  8. Op de pagina Delegering van RODC-installatie en -beheer typt u de naam van de gebruiker of de groep die de server koppelt aan de domeincontroller die u maakt. U kunt de naam van slechts één beveiligingsprincipal typen.

    Klik op Instellen als u de map voor een bepaalde gebruiker of groep wilt zoeken. Typ in Gebruiker of groep selecteren de naam van de gebruiker of groep. Het wordt aangeraden de installatie en het beheer van een RODC aan een groep te delegeren.

    Deze gebruiker of groep krijgt na de installatie ook de beschikking over lokale beheerdersrechten voor de RODC. Als u geen gebruiker of groep opgeeft, kunnen alleen leden van de groep Domeinadministrators of de groep Ondernemingsadministrators de server aan het account koppelen.

    Wanneer u klaar bent, klikt u op Volgende.

  9. Bekijk uw selecties op de pagina Overzicht. Klik desgewenst op Terug om alle selecties te wijzigen.

    Als u de instellingen die u hebt geselecteerd, wilt opslaan in een antwoordbestand om verdere AD DS-bewerkingen te automatiseren, klikt u op Instellingen exporteren. Typ een naam voor het antwoordbestand en klik op Opslaan.

    Als u zeker weet dat uw selecties kloppen, klikt u op Volgende om het RODC-account te maken.

  10. Op de pagina De wizard Active Directory Domain Services installeren voltooien klikt u op Voltooien.

Nadat een RODC-account is gemaakt, kunt u een server aan het account koppelen om de RODC-installatie te voltooien. Deze tweede fase kan worden voltooid in het filiaal waar zich de RODC bevindt. De server waar u deze procedure uitvoert, mag niet aan het domein worden toegevoegd. Te beginnen in Windows Server 2012 gebruikt u de wizard Functies toevoegen in Serverbeheer om een server aan een domeincontroller te koppelen.

Een server koppelen aan een RODC met Serverbeheer

  1. Meld u aan als lokale administrator.

  2. Klik in Serverbeheer op Functies en onderdelen toevoegen.

  3. Klik op de pagina Voordat u begint op Volgende.

  4. Klik op de pagina Type installatie selecteren op Installatie die op de functie of het onderdeel is gebaseerd en klik op Volgende.

  5. Klik op de pagina De doelserver selecteren op Een server uit een servergroep selecteren, klik op de namen van de servers waarop u AD DS wilt installeren en klik op Volgende.

  6. Klik op de pagina Serverfuncties selecteren op Active Directory Domain Services, klik op Onderdelen toevoegen en op Volgende.

  7. Selecteer op de pagina Onderdelen selecteren eventuele aanvullende functies die u wilt installeren en klik op Volgende.

  8. Bekijk de informatie op de pagina Active Directory Domain Services en klik op Volgende.

  9. Klik op de pagina Installatieselecties bevestigen op Installeren.

  10. Controleer op de pagina Resultaten de optie Installatie voltooid en klik op Deze server tot een domeincontroller opwaarderen om de wizard Active Directory Domain Services configureren te starten.

    Belangrijk

    Als u de wizard Functies toevoegen op dat punt sluit zonder de wizard Active Directory Domain Services configureren te starten, kunt u deze opnieuw starten door in Serverbeheer op Taken te klikken.

    Vlag Taken in Serverbeheer

  11. Klik op de pagina Distributieconfiguratie op Een domeincontroller toevoegen aan een bestaand domein, typ de naam van het domein (bijvoorbeeld emea.contoso.com) en de referenties (geef bijvoorbeeld een account op dat wordt gedelegeerd om de RODC te beheren en installeren ) en klik op Volgende.

  12. Klik op de pagina Opties voor domeincontroller op Bestaand RODC-account gebruiken, typ het wachtwoord voor Active Directory terugzetten en bevestig dit en klik op Volgende.

  13. Als u vanaf media installeert, klikt u op de pagina Extra opties op Installeren vanaf mediapad, typt en controleert u het pad naar de installatiebronbestanden, selecteert u de domeincontroller van waaruit u de AD DS-installatiegegevens wilt repliceren (of laat u de wizard een domeincontroller selecteren) en klikt u op Volgende.

  14. Typ op de pagina Paden de locaties voor de Active Directory-database, de -logboekbestanden en de SYSVOL-map (of accepteer de standaardlocaties) en klik op Volgende.

  15. Bevestig uw selecties op de pagina Opties controleren, klik op Script weergeven als u de instellingen wilt exporteren naar een Windows PowerShell-script en klik op Volgende.

  16. Op de pagina Controle van vereisten bevestigt u dat de controle van de vereisten is voltooid en klikt u op Installeren.

    De server wordt opnieuw opgestart om de AD DS-installatie te voltooien.

Zie ook

Problemen met de implementatie van domeincontrollers oplossen
Een nieuw Windows Server 2012 Active Directory-forest installeren (niveau 200)
Een nieuw Windows Server 2012 Active Directory-onderliggend object of een nieuwe domeinstructuur (niveau 200) installeren
Een replica van een Windows Server 2012-domeincontroller installeren in een bestaand domein (niveau 200)