Установка доменных служб Active Directory (уровень 100)
Применимо к:Windows Server 2012 R2, Windows Server 2012
В этом разделе описывается установка доменных служб Active Directory на Windows Server 2012 одним из следующих способов.
Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory
Установка AD DS с использованием Windows PowerShell
Установка доменных служб Active Directory с использованием диспетчера серверов
Выполнение поэтапной установки контроллера домена только для чтения с использованием графического пользовательского интерфейса
Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory
Для запуска Adprep.exe и установки доменных служб Active Directory необходимы следующие учетные данные.
Чтобы установить новый лес, необходимо войти с учетной записью локального администратора компьютера.
Чтобы установить новый дочерний домен или новое доменное дерево, необходимо войти в систему с учетной записью участника группы администраторов предприятия.
Для установки дополнительного контроллера домена в существующем домене необходимо быть членом группы администраторов домена.
.jpeg "System_CAPS_note")
ПримечаниеЕсли команда adprep.exe запущена не отдельно и выполняется установка первого domain controller под управлением Windows Server 2012 в существующем домене или в лесу, система предложит ввести учетные данные для выполнения команд Adprep. Требуются следующие учетные данные.
Для установки первого контроллера домена Windows Server 2012 в лесу необходимо ввести учетные данные члена группы администраторов предприятия, группы администраторов схемы и группы администраторов домена, в котором находится хозяин схемы.
Для установки первого контроллера домена Windows Server 2012 в домене необходимо ввести учетные данные члена группы администраторов домена.
Для установки первого контроллера домена только для чтения (RODC) в лесу необходимо ввести учетные данные члена группы администраторов предприятия.
Примечание
Если команда adprep /rodcprep уже выполнялась в Windows Server 2008 или Windows Server 2008 R2, то для Windows Server 2012 ее повторное выполнение не требуется.
Установка AD DS с использованием Windows PowerShell
Начиная с Windows Server 2012 можно устанавливать доменные службы Active Directory с помощью Windows PowerShell. Начиная с Windows Server 2012, выполнять dcpromo.exe не рекомендуется, однако можно запустить dcpromo.exe с использованием файла ответов (dcpromo /unattend:<файл_ответов> или dcpromo /answer:<файл_ответов>). Возможность продолжить выполнение dcpromo.exe с файлом ответов в организациях, в которых инвестированы ресурсы в существующие средства автоматизации, дает им время на преобразование автоматизации с dcpromo.exe на Windows PowerShell. Дополнительные сведения о выполнении dcpromo.exe с файлом ответов см. в статье https://support.microsoft.com/kb/947034.
Дополнительные сведения об удалении AD DS с помощью Windows PowerShell см. в разделе Удаление AD DS с помощью Windows PowerShell.
Начните с добавления роли с помощью Windows PowerShell. Эта команда служит для установки роли сервера доменных служб Active Directory и средств администрирования серверов AD DS и AD LDS, включая такие средства на базе графического интерфейса пользователя, как "Пользователи и компьютеры Active Directory", а также программы командной строки (например, dcdia.exe). При использовании Windows PowerShell средства администрирования сервера не устанавливаются по умолчанию. Для управления локальным сервером необходимо указать –IncludeManagementTools, а для управления удаленным сервером — установить средства удаленного администрирования сервера.
Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Перезагрузка потребуется только после завершения установки доменных служб Active Directory.
После этого можно выполнить данную команду, чтобы просмотреть доступные командлеты в модуле ADDSDeployment.
Get-command –module ADDSDeployment
Чтобы просмотреть список аргументов, которые можно указывать для командлетов, и их синтаксис, выполните следующие действия.
Get-help <cmdlet name>
Например, чтобы просмотреть аргументы для создания незанятой учетной записи контроллера домена только для чтения (RODC), введите следующее.
Get-help Add-ADDSReadOnlyDomainControllerAccount
Дополнительные аргументы приведены в квадратных скобках.
Можно также загрузить новые примеры и общие понятия справки для командлетов Windows PowerShell. Дополнительные сведения см. в разделе Сведения_об_обновляемой_справке.
Командлеты Windows PowerShell можно выполнять на удаленных серверах:
В Windows PowerShell используйте команду invoke-command с командлетом ADDSDeployment. Например, чтобы установить доменные службы Active Directory на удаленном сервере с именем ConDC3 в домене contoso.com, введите следующее:
invoke-command {install-addsdomaincontroller –domainname contoso.com –credential (get-credential) –computername condc3
-или-
- В диспетчере серверов создайте группу серверов, включающую удаленный сервер. Щелкните имя удаленного сервера правой кнопкой мыши и выберите Windows PowerShell.
В следующем разделе описан способ выполнения командлетов модуля ADDSDeployment для установки доменных служб Active Directory.
Аргументы командлета ADDSDeployment
Указание учетных данных Windows PowerShell
Использование тестовых командлетов
Установка нового корневого домена леса с использованием Windows PowerShell
Установка нового дочернего домена или домена дерева с использованием Windows PowerShell
Установка дополнительного контроллера домена (реплики) с использованием Windows PowerShell
Аргументы командлета ADDSDeployment
В следующей таблице перечислены аргументы командлетов ADDSDeployment в Windows PowerShell. Аргументы, выделенные жирным шрифтом, являются обязательными. Эквивалентные аргументы для dcpromo.exe указаны в скобках, если в Windows PowerShell они называются по-другому.
Допускается использование в параметрах Windows PowerShell аргументов $TRUE и $FALSE. Аргументы, которые по умолчанию имеют значение $True, указывать не требуется.
Для переопределения значений по умолчанию можно указать аргумент со значением $False. Например, если аргумент -installdns не указан, то при установке нового леса он запускается автоматически. Поэтому единственный способ предотвратить установку DNS при установке нового леса — это использовать следующее:
-InstallDNS:$false
Аналогично, поскольку –installdns по умолчанию имеет значение $False, то при установке контроллера домена в среде, где отсутствует DNS-сервер Windows Server, необходимо указать следующий аргумент для установки DNS-сервера:
-InstallDNS:$true
Аргумент |
Описание |
|---|---|
ADPrepCredential <учетные данные PowerShell> Примечание Является обязательным при установке первого контроллера домена Windows Server 2012 в домене или в лесу, а учетных данных текущего пользователя недостаточно для выполнения операции. |
Указывает учетную запись члена группы администраторов предприятия и администраторов схемы, которая может подготовить лес, в соответствии с правилами Get-Credential и объектом PSCredential. Если значение не указано, используется значение аргумента –credential. |
AllowDomainControllerReinstall |
Указывает, продолжать ли установку контроллера домена, доступного для записи, в случае обнаружения учетной записи другого контроллера домена, доступного для записи, с тем же именем. Используйте значение $True только если полностью уверены, что учетная запись в настоящее время не используется другим контроллером домена, доступным для записи. Значение по умолчанию $False. Этот аргумент неприменим для контроллера домена только для чтения. |
AllowDomainReinstall |
Указывает, воссоздается ли существующий домен. Значение по умолчанию $False. |
AllowPasswordReplicationAccountName <строка []> |
Имена учетных записей пользователей, групп и компьютеров, чьи пароли могут быть реплицированы на данный контроллер домена только для чтения. Используйте пустую строку "", если значение должно быть пустым. По умолчанию разрешена только группа с разрешением репликации паролей RODC, которая изначально создается пустой. Введите значения в виде строкового массива. Например: |
ApplicationPartitionsToReplicate <строка []> Примечание В пользовательском интерфейсе эквивалентного параметра нет. Если установка выполняется через пользовательский интерфейс или с носителя, то все разделы приложений будут реплицированы. |
Указывает разделы каталога приложений, которые следует реплицировать. Этот аргумент применяется только в том случае, если указан аргумент -InstallationMediaPath для установки с носителя (IFM). По умолчанию все разделы приложений реплицируются на основании собственных областей. Введите значения в виде строкового массива. Например: |
Confirm |
Запрос на подтверждение перед выполнением командлета. |
CreateDnsDelegation Примечание Этот аргумент нельзя указывать при выполнении командлета Add-ADDSReadOnlyDomainController. |
Указывает, следует ли создавать делегирование DNS со ссылкой на новый DNS-сервер, устанавливаемый вместе с контроллером домена. Доступно только для DNS, интегрированных в Active Directory. Записи делегирования можно создавать только на DNS-серверах Майкрософт, которые подключены к сети и доступны. Записи делегирования невозможно создавать для доменов уровня, следующего непосредственно после таких доменов верхнего уровня, как .com, gov, .biz, .edu или доменов двухбуквенных кодов стран, например .nz и .au. Значение по умолчанию определяется автоматически на основании среды. |
Credential <учетные данные PS> Примечание Является обязательным, только если учетные данные текущего пользователя недостаточны для выполнения операции. |
Указывает учетную запись домена, которая может входить в домен, в соответствии с правилами Get-Credential и объектом PSCredential. Если значение не указано, используются учетные данные текущего пользователя. |
CriticalReplicationOnly |
Указывает, следует ли операции установки доменных служб Active Directory выполнить только критичную репликацию перед перезагрузкой, после чего продолжить работу. Некритическая репликация выполняется после завершения установки и перезагрузки компьютера. Использовать этот аргумент не рекомендуется. В пользовательском интерфейсе эквивалента для этого параметра нет. |
DatabasePath <строка> |
Полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, на котором хранится база данных домена. Например, C:\Windows\NTDS. Значение по умолчанию %SYSTEMROOT%\NTDS. Важно! Так как базу данных AD DS и файлы журнала можно хранить на томе, отформатированном под файловую систему Resilient File System (ReFS), особых преимуществ от размещения AD DS на ReFS нет, только обычные преимущества от устойчивости размещения каких-либо данных на ReFS. |
DelegatedAdministratorAccountName <строка> |
Указывает имя пользователя или группы, которые могут устанавливать и администрировать контроллер домена только для чтения. По умолчанию администрирование контроллера домена только для чтения разрешено только для членов группы администраторов домена. |
DenyPasswordReplicationAccountName <строка []> |
Имена учетных записей пользователей, групп и компьютеров, чьи пароли не реплицируются на этот контроллер домена только для чтения. Используйте пустую строку "", если не нужно запрещать репликацию учетных данных всех пользователей или компьютеров. По умолчанию запрет распространяется на администраторов, операторов сервера, операторов архива, операторов учета и на группу с запрещением репликации паролей RODC. По умолчанию группа с запрещением репликации паролей RODC включает издателей сертификатов, администраторов домена, администраторов предприятия, Domain Controllers предприятия, Domain Controllers предприятия — только чтение, владельцев-создателей групповой политики, учетную запись krbtgt и администраторов схемы. Введите значения в виде строкового массива. Например: |
DnsDelegationCredential <учетные данные PS> Примечание Этот аргумент нельзя указывать при выполнении командлета Add-ADDSReadOnlyDomainController. |
Указывает имя пользователя и пароль для создания делегирования DNS в соответствии с правилами Get-Credential и объектом PSCredential. |
DomainMode <РежимРаботыДомена> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Или DomainMode < РежимРаботыДомена > {2 | 3 | 4 | 5 | 6} |
Указывает режим работы во время создания нового домена. Режим работы домена не может быть ниже режима работы леса, но может быть выше него. Значение по умолчанию определяется автоматически и устанавливается на уровне существующего режима работы леса, либо в соответствии со значением, заданным для аргумента -ForestMode. |
DomainName Обязательно для командлетов Install-ADDSForest и Install-ADDSDomainController. |
Полное доменное имя домена, в котором необходимо установить дополнительный контроллер домена. |
DomainNetbiosName <строка> Обязательно для Install-ADDSForest, если имя префикса полного доменного имени превышает 15 символов. |
Используется с Install-ADDSForest. Присваивает NetBIOS-имя новому корневому домену леса. |
DomainType <ТипДомена> {ДочернийДомен | ДоменДерева} или {дочерний | дерево} |
Указывает тип создаваемого домена: новое дерево домена в существующем лесе, дочерний в существующем домене или новый лес. По умолчанию для DomainType принимается значение ChildDomain. |
Force |
Если указан этот параметр, любые предупреждения, которые могут обычно отображаться во время установки и добавления контроллера домена, будут блокироваться, чтобы разрешить командлету завершить выполнение. Этот параметр можно использовать при создании сценария установки. |
ForestMode <РежимРаботыЛеса> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Или ForestMode <РежимРаботыЛеса> {2 | 3 | 4 | 5 | 6} |
Указывает режим работы при создании нового леса. Значение по умолчанию: Win2012. |
InstallationMediaPath |
Расположение установочного носителя, который будет использоваться для установки нового контроллера домена. |
InstallDns |
Указывает, следует ли установить и настроить в контроллере домена службу DNS-сервера. Для нового леса значение по умолчанию $True, и DNS-сервер устанавливается. В случае нового дочернего домена или доменного дерева, если родительский домен (или корневой домен леса в случае доменного дерева) уже содержит и хранит DNS-имена домена, то по умолчанию для этого параметра принимается значение $True. В случае установки контроллера домена в существующий домен, если значение этого параметра не указано и текущий домен уже содержит и хранит DNS-имена домена, то для этого параметра по умолчанию принимается значение $True. В противном случае, если доменные имена DNS размещаются вне Active Directory, то значение по умолчанию $False, и DNS-сервер не устанавливается. |
LogPath <строка> |
Полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:\Windows\Logs. Значение по умолчанию %SYSTEMROOT%\NTDS. Важно! Не храните файлы журнала Active Directory на томе данных, отформатированном для файловой системы ReFS |
MoveInfrastructureOperationMasterRoleIfNecessary |
Указывает, следует ли переносить роль хозяина операций хозяина инфраструктуры (также известна как гибкие операции с единым хозяином, или FSMO) в создаваемый контроллер домена, если он в настоящий момент размещен на сервере глобального каталога и превращение создаваемого контроллера домена в сервер глобального каталога не планируется. Укажите этот параметр для переноса роли хозяина инфраструктуры в создаваемый контроллер домена, если такой перенос необходим; в этом случае укажите параметр NoGlobalCatalog, если требуется оставить роль хозяина инфраструктуры в прежнем месте. |
NewDomainName <строка> Примечание Является обязательным только для Install-ADDSDomain. |
Указывает одно доменное имя DNS-имя нового домена. Например, если необходимо создать новый дочерний домен с именем emea.corp.fabrikam.com, то в качестве значения этого аргумента следует указать emea. |
NewDomainNetbiosName <строка> Обязательно для Install-ADDSDomain, если имя префикса полного доменного имени превышает 15 символов. |
Используется с Install-ADDSDomain. Присваивает NetBIOS-имя новому домену. Значение по умолчанию принимается на основании значения аргумента –NewDomainName. |
NoDnsOnNetwork |
Служба DNS отсутствует в сети. Этот параметр используется только в том случае, если для параметра IP сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Это значение означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае необходимо предварительно настроить в параметрах IP сетевого адаптера адрес DNS-сервера. Пропуск этого параметра (по умолчанию) указывает на то, что для обращения к DNS-серверу будут использоваться параметры клиента TCP/IP в сетевом адаптере на этом сервере. Следовательно, если не указывается данный параметр, необходимо предварительно настроить параметры клиента TCP/IP, указав адрес основного DNS-сервера. |
NoGlobalCatalog |
Указывает, что контроллер домена не должен выполнять роль сервера глобального каталога. Domain controllers под управлением Windows Server 2012 по умолчанию устанавливаются с глобальным каталогом. Другими словами, эта процедура выполняется автоматически без вспомогательных вычислений, если не указано следующее: |
NoRebootOnCompletion |
Указывает, перезагружать ли компьютер после завершения выполнения команды независимо от результата. По умолчанию компьютер перезагружается. Чтобы блокировать перезагрузку сервера, укажите следующее: В пользовательском интерфейсе эквивалента для этого параметра нет. |
ParentDomainName <строка> Примечание Является обязательным для командлета Install-ADDSDomain |
Указывает полное доменное имя существующего родительского домена. Этот аргумент используется при установке дочернего домена или нового доменного дерева. Например, если необходимо создать новый дочерний домен с именем emea.corp.fabrikam.com, то в качестве значения этого аргумента следует указать corp.fabrikam.com. |
ReadOnlyReplica |
Указывает, следует ли устанавливать контроллер домена только для чтения (RODC). |
ReplicationSourceDC <строка> |
Полное доменное имя партнерского контроллера домена, с которого реплицируется информация домена. Значение по умолчанию вычисляется автоматически. |
SafeModeAdministratorPassword <защищенная строка> |
Создает пароль учетной записи администратора, которая используется при загрузке компьютера в безопасном режиме или разновидности безопасного режима, например в режиме восстановления служб каталогов. По умолчанию используется пустой пароль. Необходимо ввести пароль. Пароль следует вводить в формате System.Security.SecureString, например так, как указывается в параметрах read-host -assecurestring или ConvertTo-SecureString. Аргумент SafeModeAdministratorPassword действует особым образом: если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета. Если аргумент указан без значения и для командлета не указаны другие аргументы, то командлет предложит ввести скрытый пароль без подтверждения. Такой вариант не является предпочтительным при интерактивном выполнении командлета. Если аргумент указан со значением, это значение должно быть защищенной строкой. Такой вариант использования не является предпочтительным при интерактивном выполнении командлета. Например, можно вручную ввести запрос пароля с помощью командлета Read-Host и предлагать пользователю ввести защищенную строку: -safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). Можно также ввести защищенную строку в виде переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
SiteName <строка> Является обязательным для командлета Add-addsreadonlydomaincontrolleraccount |
Указывает сайт, на котором устанавливается контроллер домена. Аргумент –sitename при выполнении Install-ADDSForest отсутствует, так как первым создается сайт Default-First-Site-Name. Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет этот сайт не создает. |
SkipAutoConfigureDNS |
Пропуск автоматической настройки параметров клиента DNS, серверов пересылки и корневых ссылок. Данный аргумент действует только в том случае, если служба DNS-сервера уже установлена или устанавливается автоматически с аргументом -InstallDNS. |
SystemKey <строка> |
Системный ключ для носителя, с которого реплицируются данные. Значение по умолчанию none. Данные должны быть в формате, предоставленном командой read-host -assecurestring или ConvertTo-SecureString. |
SysvolPath <строка> |
Полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:\Windows\SYSVOL. Значение по умолчанию %SYSTEMROOT%\SYSVOL. Важно! SYSVOL не может храниться на томе данных, отформатированном для файловой системы ReFS. |
SkipPreChecks |
Не запускает проверку необходимых компонентов до начала установки. Использовать этот параметр не рекомендуется. |
WhatIf |
Показывает, что произойдет при запуске командлета. Командлет не запущен. |
Указание учетных данных Windows PowerShell
С помощью Get-credential можно указать учетные данные, не отображая их в виде простого текста на экране.
Аргументы -SafeModeAdministratorPassword и LocalAdministratorPassword действуют особым образом:
Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.
-safemodeadministratorpassword (read-host -prompt "DSRM Password:" -assecurestring)
Предупреждение
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется:
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Предупреждение
Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Зная пароль, они смогут персонифицировать сам контроллер домена и повысить уровень собственных привилегий в лесу Active Directory до максимального уровня.
Использование тестовых командлетов
Для каждого командлета ADDSDeployment предусмотрен соответствующий тестовый командлет. Тестовые командлеты выполняют только проверку необходимых компонентов для проведения установки; настройка параметров установки не осуществляется. Аргументы для каждого тестового командлета те же, что и для соответствующего командлета установки, однако –SkipPreChecks в тестовых командлетах отсутствует.
Тестовый командлет |
Описание |
|---|---|
Test-ADDSForestInstallation |
Запускает проверку предварительных требований для установки нового леса Active Directory. |
Test-ADDSDomainInstallation |
Запускает проверку предварительных требований для установки нового домена в Active Directory. |
Test-ADDSDomainControllerInstallation |
Запускает проверку предварительных требований для установки контроллера домена в Active Directory. |
Test-ADDSReadOnlyDomainControllerAccountCreation |
Запускает проверку предварительных требований для добавления учетной записи контроллера домена только для чтения (RODC). |
Установка нового корневого домена леса с использованием Windows PowerShell
Синтаксис команд для установки нового леса следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSForest [-SkipPreChecks] –DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Примечание
Аргумент -DomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Например, чтобы установить новый лес с именем corp.contoso.com и запрашивать пароль DSRM для доступа к нему, введите следующее:
Install-ADDSForest –domainname "corp.contoso.com"
Примечание
DNS-сервер устанавливается по умолчанию при выполнении командлета Install-ADDSForest.
Чтобы установить новый лес с именем corp.contoso.com, создайте делегирование DNS в домене contoso.com, задайте режим работы домена Windows Server 2008 R2 и режим работы леса Windows Server 2008, установите базу данных Active Directory и SYSVOL на диск D:\, установите файлы журнала на диск E:\, дождитесь запроса на ввод пароля для режима восстановления служб каталогов и введите следующее:
Install-ADDSForest –DomainName corp.contoso.com –CreateDNSDelegation –DomainMode Win2008 –ForestMode Win2008R2 –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs"
Установка нового дочернего домена или домена дерева с использованием Windows PowerShell
Синтаксис команд для установки нового домена следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Примечание
Аргумент -credential является обязательным только в том случае, если пользователь на данный момент не вошел в систему как член группы администраторов предприятия.
Аргумент -NewDomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.
Например, чтобы использовать учетные данные corp\EnterpriseAdmin1 для создания нового дочернего домена с именем child.corp.contoso.com, установите DNS-сервер, создайте делегирование DNS в домене corp.contoso.com, задайте режим работы домена Windows Server 2003, сделайте контроллер домена сервером глобального каталога на сайте с именем Houston, используйте DC1.corp.contoso.com в качестве контроллера домена источника репликации, установите базу данных Active Directory и SYSVOL на диск D:\, установите файлы журнала на диск E:\ и дождитесь запроса на ввод пароля для режима восстановления служб каталогов, но не дожидайтесь подтверждения команды, после чего введите следующее:
Install-ADDSDomain –SafeModeAdministratorPassword –credential (get-credential corp\EnterpriseAdmin1) –NewDomainName child –ParentDomainName corp.contoso.com –InstallDNS –CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.corp.contoso.com –SiteName Houston –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$False
Установка дополнительного контроллера домена (реплики) с использованием Windows PowerShell
Синтаксис команд для установки дополнительного контроллера домена следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Чтобы установить контроллер домена и DNS-сервер в домене corp.contoso.com и получить запрос на ввод учетных данных администратора домена и пароля DSRM, введите следующее:
Install-ADDSDomainController -credential (get-credential corp\administrator) -domainname "corp.contoso.com"
Если компьютер уже подключен к домену и пользователь является членом группы администраторов домена, можно использовать следующее:
Install-ADDSDomainController -domainname "corp.contoso.com"
Чтобы получить запрос на ввод имени домена, введите следующее:
Install-ADDSDomainController -credential (get-credential) -domainname (read-host "Domain to promote into")
Следующая команда использует учетные данные Contoso\EnterpriseAdmin1 для установки контроллера домена, доступного для записи, и сервера глобального каталога на сайт под именем Boston, установки DNS-сервера, создания делегирования DNS в домене contoso.com, установки с носителя, хранящегося в папке c:\ADDS IFM, установки базы данных Active Directory и SYSVOL на диск D:\, установки файлов журнала на диск E:\, автоматической перезагрузки сервера после завершения установки AD DS и получения запроса на ввод пароля для режима восстановления служб каталогов:
Install-ADDSDomainController –Credential (get-credential contoso\EnterpriseAdmin1) –CreateDNSDelegation –DomainName corp.contoso.com –SiteName Boston –InstallationMediaPath "c:\ADDS IFM" –DatabasePath "d:\NTDS" –SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs"
Выполнение поэтапной установки контроллера домена только для чтения с использованием Windows PowerShell
Синтаксис команд для создания учетной записи RODC следующий. Дополнительные аргументы приведены в квадратных скобках.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] –DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
Синтаксис команд для прикрепления сервера к учетной записи RODC следующий. Дополнительные аргументы приведены в квадратных скобках.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] –SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Например, чтобы создать учетную запись контроллера домена только для чтения с именем RODC1, выполните следующие действия:
Add-ADDSReadOnlyDomainControllerAccount –DomainControllerAccountName RODC1 –DomainName corp.contoso.com –SiteName Boston DelegatedAdministratoraccountName PilarA
Затем выполните следующие команды на сервере, который следует прикрепить к учетной записи RODC1. Сервер невозможно присоединить к домену. Сначала установите роль сервера и средства управления AD DS:
install-windowsfeature –name AD-Domain-Services -includemanagementtools
Затем выполните следующую команду, чтобы создать RODC:
Install-ADDSDomainController –DomainName corp.contoso.com –SafeModeAdministratorPassword (read-host –prompt "DSRM Password:" –assecurestring) –credential (get-credential Corp\PilarA) -useexistingaccount
Нажмите Y для подтверждения либо включите аргумент –confirm, чтобы избежать запроса подтверждения.
Установка доменных служб Active Directory с использованием диспетчера серверов
Доменные службы Active Directory можно установить в Windows Server 2012 с использованием мастера добавления ролей в диспетчере серверов, после чего запускается мастер настройки доменных служб Active Directory (новая функция начиная с Windows Server 2012). Начиная с Windows Server 2012 использовать мастер установки доменных служб Active Directory (dcpromo.exe) не рекомендуется.
В следующих разделах разъясняется способ создания пулов серверов для установки и управления доменными службами Active Directory на нескольких серверах, а также порядок использования мастеров для установки доменных служб Active Directory.
Создание пулов серверов
Диспетчер серверов может объединять в пул другие серверы сети при условии, что они доступны с компьютера, на котором запущен диспетчер серверов. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере серверов. Компьютер с запущенным диспетчером серверов автоматически включает себя в пул. Подробнее о пулах серверов см. в статье Добавление серверов в диспетчер сервера.
Примечание
Для управления подключенным к домену компьютером с помощью диспетчера серверов на сервере рабочей группы или наоборот необходимы дополнительные действия по настройке. Подробнее см. в разделе "Добавление серверов и управление серверами в рабочих группах" статьи Добавление серверов к диспетчеру серверов.
Установка доменных служб Active Directory
Учетные данные администратора
Требования к учетным данным для установки доменных служб Active Directory могут отличаться в зависимости от выбранной конфигурации развертывания. Дополнительные сведения см. в разделе Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory.
Воспользуйтесь следующей процедурой, чтобы установить доменные службы Active Directory с использованием графического интерфейса пользователя. Шаги можно выполнять локально или удаленно. Более подробные объяснения этих шагов см. в следующих разделах:
Установка доменных служб Active Directory с использованием диспетчера серверов
В диспетчере сервера щелкните Управление и выберите Добавить роли и компоненты, чтобы запустить мастер добавления ролей.
На странице Перед работой нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, затем нажмите кнопку Далее.
На странице Выбор конечного сервера щелкните Выберите сервер из пула серверов, щелкните имя сервера, на который требуется установить доменные службы Active Directory, и нажмите кнопку Далее.
Чтобы выбрать удаленные серверы, предварительно создайте пул серверов и добавьте в него удаленные серверы. Подробнее о создании пулов серверов см. в статье Добавление серверов к диспетчеру серверов.
На странице Выбор ролей сервера щелкните Доменные службы Active Directory, затем в диалоговом окне Мастер добавления ролей и компонентов выберите Добавить компоненты и нажмите кнопку Далее.
На странице Выбор компонентов выберите дополнительные компоненты, которые следует установить, и нажмите кнопку Далее.
На странице Доменные службы Active Directory просмотрите информацию и нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
На странице Результаты убедитесь в успешном завершении установки и щелкните Повысить роль этого сервера до уровня контроллера домена, чтобы запустить мастер настройки доменных служб Active Directory.
.jpeg "Повысить роль этого сервера до контроллера домена")
Важно!
Если в этот момент закрыть мастер добавления ролей без запуска мастера настройки доменных служб Active Directory, его можно перезапустить, щелкнув "Задачи" в диспетчере серверов.
.jpeg "Флаг «Задачи» в диспетчере серверов")
На странице Конфигурация развертывания выберите один из вариантов:
Если осуществляется установка дополнительного контроллера домена, щелкните Добавить контроллер домена в существующий домен и введите имя домена (например, emea.corp.contoso.com) или щелкните Выбрать…, чтобы выбрать домен и учетные данные (например, укажите учетную запись, которая входит в группу администраторов домена), затем нажмите кнопку Далее.
Примечание
Имя домена и учетные данные текущего пользователя предоставляются по умолчанию, только если машина подключена к домену и выполняется локальная установка. Если доменные службы Active Directory устанавливаются на удаленный сервер, необходимо указать учетные данные. Если учетные данные текущего пользователя недостаточны для выполнения установки, щелкните Изменить…, чтобы ввести другие учетные данные.
Дополнительные сведения см. в разделе Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200).
Если выполняется установка нового дочернего домена, щелкните Добавить новый домен в существующий лес, для параметра Выбор типа домена выберите значение Дочерний домен, введите или найдите DNS-имя родительского домена (например, corp.contoso.com), введите относительное имя нового дочернего домена (например, emea), введите учетные данные, необходимые для создания нового домена, затем нажмите кнопку Далее.
Дополнительные сведения см. в разделе Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200).
Если выполняется установка нового доменного дерева, щелкните Добавить новый домен в существующий лес, для параметра Выбор типа домена выберите значение Домен дерева, введите имя корневого домена (например, corp.contoso.com), DNS-имя нового домена (например, fabrikam.com) и учетные данные для создания нового домена, после чего нажмите кнопку Далее.
Дополнительные сведения см. в разделе Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200).
Если выполняется установка нового леса, щелкните Добавить новый лес и введите имя корневого домена (например, corp.contoso.com).
Дополнительные сведения см. в разделе Установка нового леса Active Directory в Windows Server 2012 (уровень 200).
На странице Параметры контроллера домена выберите один из вариантов:
В случае создания нового леса или домена выберите режим работы домена и леса, щелкните DNS-сервер, укажите пароль DSRM и нажмите кнопку Далее.
Если выполняется добавление контроллера домена в существующий домен, щелкните DNS-сервер, Глобальный каталог (GC) или Контроллер домена только для чтения (RODC), выберите имя сайта и введите пароль DSRM, после чего нажмите кнопку Далее.
Подробнее о доступности параметров на этой странице при различных условиях см. в статье Параметры контроллера домена.
На странице Параметры DNS (которая отображается только в случае установки DNS-сервера) щелкните Обновить DNS-делегирование (при необходимости). В этом случае введите учетные данные с уровнем разрешений, достаточным для создания записей DNS-делегирования в родительской зоне DNS.
Если не удается связаться с сервером DNS, на котором располагается родительская зона, параметр Обновить DNS-делегирование будет недоступен.
Дополнительные сведения о необходимости обновления DNS-делегирования см. в статье Общее представление о делегировании зоны. Если при попытке обновить DNS-делегирование возникает ошибка, см. раздел Параметры DNS.
На странице Параметры RODC (которая отображается только в случае установки контроллера домена только для чтения) укажите имя группы или пользователя, который будет управлять RODC, добавьте учетные записи в группы, которым разрешена или запрещена репликация паролей (либо удалите записи из этих групп), затем нажмите кнопку Далее.
Подробнее см. в разделе Политика репликации паролей.
На странице Дополнительные параметры выберите один из вариантов:
В случае создания нового домена введите новое NetBIOS-имя или проверьте NetBIOS-имя домена, предложенное по умолчанию, а затем нажмите кнопку Далее.
Если выполняется добавление контроллера домена в существующий домен, выберите контроллер домена, с которого следует реплицировать данные установки доменных служб Active Directory (или разрешите мастеру выбрать любой контроллер домена). В случае установки с носителя щелкните тип Путь установки с носителя и проверьте путь к исходным файлам установки, затем нажмите кнопку Далее.
Выполнять установку первого контроллера домена в домене с носителя (IFM) нельзя. IFM не работает в разных версиях операционных систем. Другими словами, чтобы с помощью IFM установить дополнительный контроллер домена, на котором будет работать Windows Server 2012, необходимо на контроллере домена Windows Server 2012 создать носитель резервной копии. Дополнительные сведения об IFM см. в разделе Установка дополнительного контроллера домена с использованием IFM.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL (либо примите расположения, предлагаемые по умолчанию) и нажмите кнопку Далее.
Важно!
Не храните базу данных Active Directory, файлы журнала и папку SYSVOL на томе данных, отформатированном для файловой системы ReFS.
На странице Параметры подготовки введите учетные данные, достаточные для выполнения команды adprep. Дополнительные сведения см. в разделе Требования к учетным данным для запуска Adprep.exe и установки доменных служб Active Directory.
На странице Просмотреть параметры подтвердите свой выбор, щелкните Просмотреть сценарий, если необходимо экспортировать параметры в сценарий Windows PowerShell, затем нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
На странице Результаты убедитесь, что сервер успешно настроен в качестве контроллера домена. Сервер будет автоматически перезагружен для завершения установки доменных служб Active Directory.
Выполнение поэтапной установки контроллера домена только для чтения с использованием графического пользовательского интерфейса
Поэтапная установка контроллера домена только для чтения позволяет создать RODC в два этапа. На первом этапе член группы администраторов домена создает учетную запись контроллера домена только для чтения. На втором этапе сервер прикрепляется к учетной записи контроллера домена только для чтения. Второй этап может выполнить член группы администраторов домена либо делегированный пользователь домена или группы.
Создание учетной записи контроллера домена только для чтения с использованием средств управления Active Directory
Создать учетную запись контроллера домена только для чтения можно с использованием пунктов "Центр администрирования Active Directory" или "Пользователи и компьютеры Active Directory".
На начальном экране выберите Администрирование, а затем выберите пункт Центр администрирования Active Directory.
В области навигации (левая панель) щелкните имя домена.
В списке "Управление" (центральная панель) щелкните организационное подразделение Domain Controllers.
На панели задач (правая панель) щелкните Предварительное создание учетной записи контроллера домена только для чтения.
-Или-
На начальном экране выберите Администрирование, а затем выберите пункт Пользователи и компьютеры Active Directory.
Щелкните правой кнопкой мыши либо подразделение Domain Controllers, либо Domain Controllers, а затем выберите пункт Действие.
Выберите пункт Создать заранее учетную запись контроллера домена только для чтения.
На странице Вас приветствует мастер установки доменных служб Active Directory, если нужно изменить политику репликации паролей по умолчанию, установите флажок Использовать расширенный режим установки, а затем нажмите кнопку Далее.
На странице Сетевые учетные данные в разделе Укажите учетные данные для выполнения установки выберите пункт Мои текущие учетные данные или Альтернативные учетные данные и нажмите кнопку Установить. В диалоговом окне Безопасность Windows укажите имя пользователя и пароль учетной записи, которая обладает возможностью установки дополнительного контроллера домена. Чтобы установить дополнительный контроллер домена, необходимо быть членом группы "Администраторы предприятия" или "Администраторы домена". По завершении ввода учетных данных нажмите кнопку Далее.
На странице Задайте имя компьютера введите имя сервера, который будет контроллером домена только для чтения.
На странице Выбор сайта выберите сайт из списка либо выберите установку контроллера домена на сайте, соответствующем IP-адресу компьютера, на котором запущен мастер, и нажмите кнопку Далее.
На странице Дополнительные параметры контроллера домена выберите указанные ниже параметры и нажмите кнопку Далее.
DNS-сервер: этот параметр выбран по умолчанию, что дает контроллеру домена возможность работать в качестве DNS-сервера. Если контроллер домена не должен работать в качестве DNS-сервера, снимите флажок. Однако если не установить роль DNS-сервера на контроллере домена только для чтения, который является единственным контроллером домена в филиале, пользователи филиала не смогут выполнять разрешение имен при отсутствии соединения по глобальной сети с узловым сайтом.
Глобальный каталог: этот параметр выбран по умолчанию. Он добавляет глобальный каталог (доступные только для чтения разделы) в контроллер домена и позволяет использовать поиск по глобальному каталогу. Если контроллер домена не должен выполнять роль сервера глобального каталога, снимите флажок. Однако если не установить сервер глобального каталога в филиале или не включить возможность кэширования членства в универсальных группах для сайта, содержащего контроллер домена только для чтения, пользователи филиала не смогут входить в домен при отсутствии соединения по глобальной сети с узловым сайтом.
Контроллер домена только для чтения. При создании учетной записи контроллера домена только для чтения этот флажок устанавливается по умолчанию и снять его нельзя.
Если на странице Приветствие был установлен флажок Использовать расширенный режим установки, откроется страница Задайте политику репликации паролей. По умолчанию пароли учетных записей не реплицируются на контроллер домена только для чтения, а репликация паролей учетных записей, чувствительных к безопасности (таких как члены группы администраторов домена), на контроллере домена только для чтения явным образом запрещается.
Чтобы добавить к политике другие учетные записи, нажмите кнопку Добавить, затем выберите Разрешить репликацию паролей учетной записи на этот RODC либо Запретить репликацию паролей учетной записи на этот RODC, после чего выберите учетные записи.
Выполнив эти действия (или оставив настройку по умолчанию), нажмите кнопку Далее.
На странице Делегирование установки и администрирования RODC введите имя пользователя или группы, которые будут связывать сервер с создаваемой учетной записью контроллера домена только для чтения. Можно ввести имя только одного субъекта безопасности.
Чтобы найти в каталоге определенного пользователя или группу, нажмите кнопку Установить. В диалоговом окне Выбор пользователя или группы введите имя пользователя или группы. Рекомендуется делегировать права установки и администрирования контроллера домена только для чтения группе, а не пользователю.
После установки этот пользователь или группа также получат права локального администратора контроллера домена только для чтения. Если пользователь или группа не заданы, связать сервер с учетной записью может только член группы "Администраторы домена" или "Администраторы предприятия".
Завершив настройку, нажмите кнопку Далее.
На странице Сводка просмотрите все выбранные параметры. Если требуется изменить какие-либо параметры, нажмите кнопку Назад.
Чтобы сохранить выбранные параметры установки в файл ответов, который можно использовать для автоматизации последующей работы доменных служб Active Directory, нажмите кнопку Экспорт параметров. Введите имя файла ответов и нажмите кнопку Сохранить.
Убедившись в правильности параметров, нажмите кнопку Далее, чтобы создать учетную запись контроллера домена только для чтения.
На странице Завершение мастера установки доменных служб Active Directory нажмите кнопку Готово.
После создания учетной записи RODC можно подключить сервер к учетной записи, чтобы завершить установку контроллера домена только для чтения. Данный второй этап можно выполнить в филиале, в котором будет находиться контроллер домена только для чтения. Сервер, на котором выполняется эта процедура, не должен быть подключен к домену. Начиная с Windows Server 2012 для прикрепления сервера к учетной записи RODC используется мастер добавления ролей в диспетчере серверов.
Связывание сервера с учетной записью контроллера домена только для чтения с использованием диспетчера серверов
Войдите в систему, используя учетную запись локального администратора.
В диспетчере серверов щелкните Добавить роли и компоненты.
На странице Перед работой нажмите кнопку Далее.
На странице Выбор типа установки щелкните Установка ролей или компонентов, затем нажмите кнопку Далее.
На странице Выбор конечного сервера щелкните Выберите сервер из пула серверов, щелкните имя сервера, на который требуется установить доменные службы Active Directory, и нажмите кнопку Далее.
На странице Выбор ролей сервера щелкните Доменные службы Active Directory, выберите Добавить компоненты и нажмите кнопку Далее.
На странице Выбор компонентов выберите дополнительные компоненты, которые следует установить, и нажмите кнопку Далее.
На странице Доменные службы Active Directory просмотрите информацию и нажмите кнопку Далее.
На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
На странице Результаты убедитесь в наличии сообщения Установка прошла успешно и щелкните Повысить роль этого сервера до уровня контроллера домена, чтобы запустить мастер настройки доменных служб Active Directory.
Важно!
Если в этот момент закрыть мастер добавления ролей без запуска мастера настройки доменных служб Active Directory, его можно перезапустить, щелкнув "Задачи" в диспетчере серверов.
На странице Конфигурация развертывания щелкните Добавить контроллер домена в существующий домен, введите имя домена (например, emea.contoso.com) и учетные данные (например, укажите учетную запись, делегированную для управления и установки контроллера домена только для чтения), затем нажмите кнопку Далее.
На странице Параметры контроллера домена щелкните Использовать существующую учетную запись RODC, введите и подтвердите пароль для режима восстановления служб каталогов, затем нажмите кнопку Далее.
Если установка осуществляется с носителя, на странице Дополнительные параметры щелкните тип Путь для установки с носителя и проверьте путь к исходным файлам установки, выберите контроллер домена, с которого следует реплицировать данные установки доменных служб Active Directory (или разрешите мастеру выбрать любой контроллер домена), затем нажмите кнопку Далее.
На странице Пути введите расположения для базы данных Active Directory, файлов журнала и папки SYSVOL либо примите расположения, предлагаемые по умолчанию, и нажмите кнопку Далее.
На странице Просмотреть параметры подтвердите свой выбор, щелкните Просмотреть сценарий, чтобы экспортировать параметры в сценарий Windows PowerShell, и нажмите кнопку Далее.
На странице Проверка предварительных требований убедитесь, что проверка предварительных требований завершена, и нажмите кнопку Установить.
Чтобы завершить установку AD DS, сервер будет автоматически перезагружен.
См. также
Устранение неполадок развертывания контроллера домена
Установка нового леса Active Directory в Windows Server 2012 (уровень 200)
Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200)
Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200)