Чтобы прочитать статью на английском языке, установите флажок Английский. Вы также можете просматривать текст на английском языке во всплывающем окне, наводя указатель мыши на текст.
Перевод
Английский

Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200)

 

Применимо к:Windows Server 2012

В этом разделе рассматриваются действия, необходимые для обновления существующего леса или домена до Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell. В нем описывается, как добавить контроллеры домена с ОС Windows Server 2012 в существующий домен.

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена в существующем домене.

Обновление леса

        Командлет ADDSDeployment      

Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Автоматизация пользовательского интерфейса также позволяет скриптам автоматических тестов взаимодействовать с UI.

Install-AddsDomainController

-SkipPreChecks

                  -DomainName              

        -SafeModeAdministratorPassword       

        -SiteName      

        -ADPrepCredential       

-ApplicationPartitionsToReplicate

        -AllowDomainControllerReinstall      

-Confirm

        -CreateDNSDelegation      

                  -Credential               

-CriticalReplicationOnly

        -DatabasePath      

        -DNSDelegationCredential      

-Force

        -InstallationMediaPath       

        -InstallDNS      

        -LogPath       

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoDnsOnNetwork

        -NoGlobalCatalog      

-Norebootoncompletion

        -ReplicationSourceDC      

-SkipAutoConfigureDNS

-SiteName

        -SystemKey      

        -SYSVOLPath      

        -UseExistingAccount      

        -Whatif      

System_CAPS_noteПримечание

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

Конфигурация развертывания

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы обновить существующий лес или добавить доступный для записи контроллер домена в существующий домен, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. При необходимости диспетчер серверов запрашивает действующие учетные данные.

Для обновления леса в Windows Server 2012 требуются учетные данные, включающие членство в группах "Администраторы предприятия" и "Администраторы схемы". Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.

Автоматическое выполнение процесса Adprep — это единственное различие между добавлением контроллера домена в существующий домен Windows Server 2012 и домен, в котором контроллеры домена работают под управлением более ранней версии Windows Server.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Обновить учетные данные
Выбрать домен

На каждой странице выполняются определенные тесты, некоторые из которых проводятся повторно позднее как отдельные проверки предварительных требований. Например, если выбранный домен не отвечают требованию к минимальному режиму работы, вам не придется проходить всю процедуру повышения роли вплоть до проверки предварительных требований, чтобы получить в итоге следующее сообщение:

Ошибка FFL

Обновить параметры контроллера домена

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Ядро автоматизации UI маскирует любые отличия в структурах, принадлежащих различным частям UI. По умолчанию выбирается сайт с наиболее подходящей подсетью. Если существует только один сайт, он выбирается автоматически.

System_CAPS_noteПримечание

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>
System_CAPS_importantВажно

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Ядро автоматизации UI маскирует любые отличия в структурах, принадлежащих различным частям UI. Для создания сайтов можно использовать командлет new-adreplicationsite.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать дополнительный контроллер домена в домене treyresearch.net с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController –DomainName treyresearch.net –credential (get-credential)
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
System_CAPS_warningПредупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) 

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

System_CAPS_warningПредупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Это ожидаемое предупреждение, и его можно пропустить.

Ошибка параметров контроллера домена

Параметры DNS

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Может потребоваться предоставить другие учетные данные, принадлежащие пользователю, который является членом группы Администраторы DNS.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

-creatednsdelegation 
-dnsdelegationcredential <pscredential>
Обновить учетные данные

Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.

Дополнительные параметры

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). Ядро автоматизации UI маскирует любые отличия в структурах, принадлежащих различным частям UI. Носители, используемые параметром IFM, создаются с помощью системы архивации данных Windows Server или Ntdsutil.exe только из другого существующего компьютера с Windows Server 2012. Windows Server 2008 R2 или операционные системы более ранних версий не подходят для создания носителей для контроллера домена с Windows Server 2012. Дополнительные сведения о внесении изменений в IFM см. в разделе Упрощенное администрирование в приложении. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

NTDSUTIL IFM

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Пути

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Расположение по умолчанию всегда в подкаталогах %systemroot%.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Пути":

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Параметры подготовки

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Эта страница появляется только в том случае, если лес и домен не были подготовлены в ходе предыдущей установки контроллера домена Windows Server 2012 или путем запуска средства Adprep.exe вручную. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новый контроллер домена в существующий корневой домен леса Windows Server 2012.

Расширение схемы и обновление домена не производятся после нажатия кнопки Далее. Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.

На этой странице также проверяется, является ли текущий пользователь членом групп "Администраторы схемы" и "Администраторы предприятия". Членство в этих группах необходимо для расширения схемы и подготовки домена. Если на странице указано, что текущие учетные данные не дают необходимых разрешений, нажмите кнопку Изменить, чтобы предоставить соответствующие учетные данные пользователя.

Учетные данные

Аргумент командлета ADDSDeployment, эквивалентный параметрам на странице "Дополнительные параметры":

-adprepcredential <pscredential>
System_CAPS_importantВажно

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную.

Проверить параметры

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.

Например:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

System_CAPS_noteПримечание

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

WhatIf

Проверка готовности к установке

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. На этом новом этапе проверяется возможность поддержки нового контроллера домена Windows Server 2012 доменом и лесом.

При установке нового контроллера домена мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>.

Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:

-skipprechecks

System_CAPS_warningПредупреждение

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. На странице Проверка предварительных требований выводится информация обо всех неполадках, выявленных в ходе проверки, и рекомендации по их устранению.

Ход установки

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (если сервер входит в рабочую группу)

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

Сведения об обязательных и необязательных аргументах см. в разделе Обновление и добавление реплики с помощью Windows PowerShell.

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname и -credential. Обратите внимание на то, что операция Adprep выполняется автоматически в рамках добавления первого контроллера домена Windows Server 2012 в существующий лес Windows Server 2003:

Получить учетные данные

Обратите внимание на то, что командлет Install-ADDSDomainController, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли. Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

System_CAPS_warningПредупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Подтверждение обновления
Ход обновления

Чтобы удаленно настроить контроллер домена с помощью Windows PowerShell, заключите командлет install-adddomaincontrollerв командлет invoke-command. Для этого необходимо использовать фигурные скобки.

invoke-command {install-addsdomaincontroller –domainname <domain> -credential (get-credential)} -computername <dc name>

Например:

Пример обновления
System_CAPS_noteПримечание

Дополнительные сведения о том, как выполняется установка и процесс Adprep, см. в разделе Устранение неполадок развертывания контроллера домена.

Выйти

Вызван метод <a href="https://msdn.microsoft.com/ru-ru/library/xe0c2357(v=vs.110).aspx" xmlns="http://www.w3.org/1999/xhtml">GC<span xmlns="">.</span>Collect</a>. В случае успешного выполнения контроллер домена автоматически перезагрузится через 10 секунд.

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Показ: