Bagikan melalui

Deskripsi halaman panduan konfigurasi Active Directory Domain Services (AD DS)

Wizard Konfigurasi Active Directory Domain Services (AD DS) adalah alat di Manajer Server yang memungkinkan administrator mempromosikan server ke pengontrol domain atau menurunkannya sesuai kebutuhan. Artikel ini menyediakan gambaran umum terperinci tentang halaman wizard, termasuk kontrol dan opsinya, untuk membantu Anda menavigasi proses penginstalan dan penghapusan secara efektif. Baik Anda membuat forest baru, menambahkan pengendali domain ke domain yang sudah ada, atau menurunkan pengontrol domain, panduan ini menguraikan langkah dan pertimbangan untuk setiap operasi.

Ringkasan setiap halaman

Tabel di bagian ini meringkas halaman yang Anda lihat saat menggunakan Panduan Konfigurasi Layanan Domain Direktori Aktif untuk mempromosikan server ke pengendali domain atau untuk menurunkan pengontrol domain. Pilih tautan untuk setiap halaman untuk mempelajari selengkapnya tentang opsi dan kontrol yang Anda lihat di halaman tersebut.

Saat Anda mempromosikan server ke pengendali domain, Anda menavigasi melalui halaman berikut:

Halaman konfigurasi Direktori Aktif Description
Deployment Configuration Pilih jenis operasi penyebaran yang ingin Anda lakukan: buat forest baru (pengendali domain pertama), buat domain baru di dalam forest yang sudah ada, atau tambahkan pengendali domain tambahan ke domain yang sudah ada. Halaman ini juga memvalidasi persyaratan dasar dan permintaan untuk nama domain.
Opsi Pengontrol Domain Konfigurasikan tingkat fungsional forest dan domain, pilih peran pengendali domain termasuk server DNS, Katalog Global, dan opsi Pengendali Domain Read-Only. Atur kata sandi Mode Pemulihan Layanan Direktori (DSRM) yang diperlukan untuk operasi dan pemeliharaan AD DS offline.
DNS Options Konfigurasikan pengaturan delegasi DNS saat menginstal peran server DNS. Buat catatan delegasi di zona DNS induk untuk memastikan resolusi nama dan transfer otoritas yang tepat untuk zona DNS pengendali domain baru.
RODC Options Siapkan akun administrator yang didelegasikan yang dapat mengelola pengontrol domain baca-saja secara lokal, dan konfigurasikan Kebijakan Replikasi Kata Sandi (PRP) untuk mengontrol kata sandi akun pengguna dan komputer mana yang dapat di-cache pada RODC untuk autentikasi.
Additional Options Tentukan nama domain NetBIOS untuk domain baru, pilih pengendali domain tertentu sebagai sumber replikasi, dan konfigurasikan instal dari opsi media menggunakan media cadangan yang dibuat dengan Windows Server Backup atau ntdsutil.exe untuk mengurangi waktu penginstalan.
Paths Atur lokasi sistem file kustom untuk database Direktori Aktif (ntds.dit), log transaksi database, dan SYSVOL folder bersama alih-alih menggunakan lokasi drive sistem default untuk performa atau manajemen penyimpanan yang lebih baik.
Preparation Options Berikan kredensial Admin Perusahaan, Admin Skema, atau Admin Domain untuk menjalankan perintah yang diperlukan adprep.exe (forestprep, domainprep, atau rodcprep) ketika akun pengguna saat ini tidak memiliki izin yang memadai dalam persiapan skema atau domain.
Review Options Tinjau dan validasi semua pengaturan konfigurasi yang dipilih sebelum memulai proses penginstalan. Ekspor konfigurasi sebagai skrip Windows PowerShell untuk tujuan otomatisasi atau dokumentasi, dan lakukan penyesuaian akhir jika diperlukan.
Prerequisites Check Tampilkan hasil komprehensif pemeriksaan validasi prasyarat termasuk konektivitas jaringan, resolusi DNS, verifikasi izin, dan persyaratan sistem. Memperlihatkan peringatan atau kesalahan yang harus ditangani sebelum melanjutkan.
Results Tampilkan hasil akhir dan status penginstalan pengendali domain atau proses promosi, termasuk konfirmasi keberhasilan, peringatan pasca-penginstalan, dan opsi untuk memulai ulang server untuk menyelesaikan konfigurasi.

Saat Anda menurunkan pengontrol domain, Anda menavigasi melalui halaman berikut:

Halaman konfigurasi Direktori Aktif Description
Credentials Berikan kredensial yang diperlukan untuk operasi demosi, termasuk kredensial Admin Domain untuk pengontrol domain tambahan atau kredensial Admin Perusahaan untuk pengontrol domain terakhir di domain. Konfigurasikan opsi penghapusan paksa jika pengendali domain tidak dapat menghubungi pengendali domain lain.
Warnings Tinjau peringatan tentang menghapus peran dan layanan penting yang dihosting oleh pengendali domain, seperti server DNS, katalog global, atau peran master operasi. Pahami dampak pencopotan peran ini sebelum melanjutkan demosi.
Removal Options Konfigurasikan opsi penghapusan delegasi zona DNS saat pengontrol domain yang diturunkan menghosting zona DNS. Hapus server DNS dari delegasi zona untuk menghindari masalah dalam resolusi DNS setelah penurunan.
Kata Sandi Administrator Baru Atur kata sandi baru untuk akun Administrator lokal bawaan yang akan digunakan setelah demosi ketika komputer menjadi server anggota atau komputer grup kerja alih-alih pengendali domain.
Review Options Tinjau dan validasi semua pengaturan demosi sebelum memulai proses. Ekspor konfigurasi sebagai skrip Windows PowerShell untuk tujuan otomatisasi dan konfirmasi pengaturan akhir sebelum memulai demosi pengontrol domain.

Halaman saat mempromosikan server ke pengendali domain

Bagian berikut ini menjelaskan halaman yang Anda lihat saat menggunakan Panduan Konfigurasi Layanan Domain Direktori Aktif untuk mempromosikan server ke pengontrol domain.

Deployment Configuration

Server Manager begins every domain controller installation with the Deployment Configuration page. Opsi dan bidang yang diperlukan yang Anda lihat di halaman ini dan halaman berikutnya bergantung pada operasi penyebaran mana yang Anda pilih.

The wizard runs some validations and tests on the Deployment Configuration page and again later as part of prerequisite checks. Misalnya, pemeriksaan dilakukan ketika Anda mencoba menginstal pengontrol domain Windows Server pertama di forest. Jika tingkat fungsional forest tidak mendukung versi Windows Server dari pengendali domain, kesalahan muncul di halaman ini.

Bagian berikut ini menjelaskan operasi penyebaran yang bisa Anda pilih di halaman ini.

Membuat hutan

Cuplikan layar berikut menunjukkan opsi yang muncul saat Anda membuat forest:

Cuplikan layar halaman Konfigurasi Penyebaran wizard. Opsi untuk menambahkan forest baru dipilih, dan nama domain akar terlihat.

  • Saat membuat forest, Anda harus menentukan nama untuk domain akar forest.

    • Nama domain root forest tidak dapat memiliki label tunggal. Misalnya, harus example-domain.com bukan example-domain.
    • Ini harus menggunakan konvensi penamaan domain Sistem Nama Domain (DNS) yang diizinkan. Untuk informasi selengkapnya tentang konvensi penamaan domain DNS, lihat Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
    • Anda dapat menentukan nama domain internasional (IDN).

  • Nama forest Direktori Aktif apa pun yang Anda buat harus berbeda dari nama DNS eksternal Anda. Misalnya, jika URL DNS internet Anda adalah https://example-domain.com, Anda harus memilih nama yang berbeda untuk forest internal Anda untuk menghindari masalah kompatibilitas di masa mendatang. Nama itu harus unik dan tidak mungkin untuk lalu lintas web, seperti corp.example-domain.com.

  • Anda harus menjadi anggota grup Administrator di server tempat Anda ingin membuat forest.

Untuk informasi lebih lanjut tentang cara membuat sebuah hutan, lihat Instalasi Hutan Active Directory Baru di Windows Server 2012 (Level 200).

Membuat domain

Cuplikan layar berikut ini memperlihatkan opsi yang muncul saat Anda membuat domain:

Cuplikan layar halaman Konfigurasi Penyebaran wizard. Opsi untuk menambahkan domain dipilih, dan nama domain induk terlihat.

Note

Jika Anda membuat domain cabang, Anda perlu menentukan nama domain akar hutan alih-alih domain induk. Halaman dan opsi wizard lainnya yang tersisa tetap sama, baik saat Anda membuat domain turunan atau domain pohon.

  • Untuk Nama domain induk, pilih Pilih untuk masuk ke domain induk atau pohon Direktori Aktif, atau masukkan domain induk atau nama pohon yang valid.

  • Untuk Nama domain baru, masukkan nama domain baru.

    • Untuk domain pohon, berikan nama domain akar yang valid dan sepenuhnya memenuhi syarat. Nama tidak dapat diberi label tunggal, dan harus memenuhi persyaratan nama domain DNS.
    • Untuk domain anak, berikan nama domain anak label tunggal yang valid. Nama harus memenuhi persyaratan nama domain DNS.

  • Jika kredensial Anda saat ini bukan dari domain, Panduan Konfigurasi Layanan Domain Active Directory meminta kredensial domain. Select Change to provide domain credentials.

Untuk informasi selengkapnya tentang cara membuat domain, lihat Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200).

Menambahkan pengendali domain ke domain yang sudah ada

Cuplikan layar berikut menunjukkan opsi yang muncul saat Anda menambahkan pengendali domain baru ke domain yang sudah ada:

Cuplikan layar halaman Konfigurasi Penyebaran wizard. Opsi untuk menambahkan pengendali domain ke domain yang sudah ada dipilih.

  • For Domain, select Select to go to the domain, or enter a valid domain name.

  • Jika diperlukan, Manajer Server meminta kredensial yang valid. Menginstal pengontrol domain tambahan memerlukan keanggotaan di grup Admin Domain.

    Selain itu, menginstal pengontrol domain pertama yang menjalankan Windows Server di hutan membutuhkan kredensial yang mencakup keanggotaan dalam grup Enterprise Admins dan Schema Admins. Asisten Konfigurasi Layanan Domain Active Directory akan memberi tahu Anda nanti jika kredensial Anda saat ini tidak memiliki izin atau keanggotaan grup yang memadai.

Untuk informasi selengkapnya tentang cara menambahkan pengendali domain ke domain yang sudah ada, lihat Menginstal Pengendali Domain Replika Windows Server 2012 di Domain yang Sudah Ada (Tingkat 200).

Pilihan Kontroler Domain

Opsi yang Anda lihat di halaman Opsi Pengendali Domain bergantung pada operasi penyebaran Anda. Bagian berikut menjelaskan opsi yang Anda konfigurasi untuk setiap operasi.

Opsi hutan baru

Saat Anda membuat forest, halaman Opsi Pengendali Domain menampilkan opsi yang diperlihatkan dalam cuplikan layar berikut:

Tangkapan layar halaman Opsi Pengontrol Domain panduan. Tingkat fungsi forest dan domain, peran yang tersedia, dan bidang kata sandi terlihat.

  • Nilai default dari tingkat fungsional forest dan domain bergantung pada versi Windows Server Anda.

    Dimulai dengan versi Windows Server 2012, tingkat fungsional domain menawarkan pengaturan berikut dalam kebijakan templat administratif pusat distribusi utama (KDC) dukungan KDC untuk klaim, autentikasi majemuk, dan armoring Kerberos:

    • Selalu berikan klaim
    • Gagalkan permintaan autentikasi yang tidak terenkripsi

    Untuk informasi selengkapnya, lihat Dukungan untuk klaim, autentikasi gabungan, dan pengerasan Kerberos.

    Setiap domain yang Anda buat dalam hutan secara otomatis beroperasi pada tingkat fungsional domain yang sama dengan tingkat fungsional hutan yang dipilih. Selain itu, pengendali domain apa pun di domain menjalankan versi Windows Server dari tingkat fungsional domain yang dipilih.

    Untuk informasi selengkapnya tentang fitur yang tersedia di berbagai tingkat fungsi, lihat Tingkat fungsi active Directory Domain Services.

    Fitur yang tersedia pada pengendali domain bergantung pada versi Windows Server yang dijalankan pengontrol domain.

  • Saat Anda membuat forest, opsi server Sistem Nama Domain (DNS) dipilih secara default. Pengontrol domain pertama di forest harus merupakan server katalog global, dan tidak dapat menjadi pengontrol domain baca-saja (RODC).

  • Untuk masuk ke pengendali domain yang tidak menjalankan AD DS, Anda memerlukan kata sandi Mode Pemulihan Layanan Direktori (DSRM). Kata sandi yang Anda tentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Secara default, kebijakan tersebut tidak memerlukan kata sandi yang kuat. Ini hanya memerlukan kata sandi yang tidak kosong. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi. Untuk informasi tentang cara menyinkronkan kata sandi DSRM dengan kata sandi akun pengguna domain, lihat artikel dukungan tentang menyinkronkan kata sandi.

Untuk informasi lebih lanjut tentang cara membuat sebuah hutan, lihat Instalasi Hutan Active Directory Baru di Windows Server 2012 (Level 200).

Opsi domain anak baru

Saat Anda membuat domain turunan, halaman Opsi Pengendali Domain menampilkan opsi yang diperlihatkan dalam cuplikan layar berikut:

Cuplikan layar halaman Opsi Pengendali Domain wizard. Tingkat fungsi domain, peran yang tersedia, dan bidang kata sandi DSRM terlihat.

  • Nilai default tingkat fungsional domain bergantung pada versi Windows Server Anda. Anda dapat menentukan nilai berapa pun yang lebih besar dari atau sama dengan tingkat fungsional hutan.

  • Anda dapat mengonfigurasi opsi pengendali domain berikut:

    • Server Sistem Nama Domain (DNS)
    • Katalog Global (GC)

    Anda tidak dapat mengonfigurasi pengendali domain pertama di domain baru untuk menjadi RODC.

    Kami menyarankan agar semua pengendali domain menyediakan layanan DNS dan katalog global untuk ketersediaan tinggi di lingkungan terdistribusi. Untuk alasan ini, wizard mengaktifkan opsi ini secara default saat Anda membuat domain.

  • Anda juga dapat menggunakan halaman ini untuk memilih nama situs logis Active Directory yang sesuai dari konfigurasi forest. Secara default, situs dengan subnet yang paling benar dipilih. Jika hanya ada satu situs, situs tersebut dipilih secara otomatis.

    Important

    Jika server bukan milik subnet Direktori Aktif dan ada lebih dari satu situs, tidak ada yang dipilih. The Next button isn't available until you select a site from the list.

Untuk informasi selengkapnya tentang cara membuat domain, lihat Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200).

Opsi untuk menambahkan pengendali domain ke domain

Saat Anda menambahkan pengendali domain ke domain, halaman Opsi Pengendali Domain menampilkan opsi yang diperlihatkan dalam cuplikan layar berikut:

Cuplikan layar halaman Opsi Pengendali Domain wizard. Peran yang tersedia, nama situs, dan bidang kata sandi DSRM terlihat.

Anda dapat mengonfigurasi opsi pengendali domain berikut:

  • Server Sistem Nama Domain (DNS)
  • Katalog Global (GC)
  • Pengendali domain hanya baca (RODC)

Kami menyarankan agar semua pengendali domain menyediakan layanan DNS dan katalog global untuk ketersediaan tinggi di lingkungan terdistribusi. Untuk alasan ini, opsi ini diaktifkan secara default. Untuk informasi selengkapnya tentang menyebarkan Pengendali Domain Baca-Saja (RODC), lihat Panduan Perencanaan dan Penyebaran Pengendali Domain Baca-Saja.

Untuk informasi selengkapnya tentang cara menambahkan pengendali domain ke domain yang sudah ada, lihat Menginstal Pengendali Domain Replika Windows Server 2012 di Domain yang Sudah Ada (Tingkat 200).

DNS Options

If you install the DNS server role, the following DNS Options page appears:

Cuplikan layar halaman Opsi DNS wizard. Opsi untuk membuat delegasi DNS dipilih. Tombol untuk mengubah kredensial terlihat.

Saat Anda menginstal peran server DNS, catatan delegasi yang menunjuk ke server DNS sebagai otoritatif untuk zona harus dibuat di zona DNS induk. Rekaman delegasi memindahkan otoritas pengelolaan resolusi nama. Mereka juga menyediakan rujukan yang benar ke server DNS lain dan klien server baru yang otoritatif untuk zona baru. Catatan sumber daya ini mencakup catatan berikut:

  • Rekaman sumber daya server nama (NS) untuk memengaruhi delegasi. Catatan sumber daya ini mengiklankan bahwa server bernama ns1.na.example.microsoft.com adalah server otoritatif untuk subdomain yang didelegasikan.
  • Rekaman sumber daya host (A atau AAAA), yang juga dikenal sebagai rekaman lem. Catatan ini harus ada untuk menyelesaikan nama server yang ditentukan dalam catatan sumber daya NS ke alamat IP-nya. The process of resolving the host name in this resource record to the delegated DNS server in the NS resource record is sometimes referred to as glue chasing.

Anda bisa meminta Panduan Konfigurasi Layanan Domain Direktori Aktif membuat rekaman ini secara otomatis. Pada halaman Opsi Pengendali Domain , jika Anda memilih Berikutnya, wizard memverifikasi bahwa rekaman yang sesuai ada di zona DNS induk. Jika panduan tidak dapat memverifikasi bahwa rekaman ada di domain induk, wizard memberi Anda opsi untuk membuat delegasi DNS untuk domain baru (atau memperbarui delegasi yang ada) secara otomatis dan melanjutkan penginstalan pengontrol domain baru.

Atau, Anda bisa membuat catatan delegasi DNS ini sebelum menginstal peran server DNS. To create a zone delegation, open DNS Manager, right-click the parent domain, and then select New Delegation. Ikuti langkah-langkah dalam Panduan Delegasi Baru untuk membuat delegasi.

Proses instalasi mencoba membuat delegasi untuk memastikan bahwa komputer di domain lain dapat menyelesaikan kueri DNS untuk host, termasuk domain controller dan komputer anggota, di subdomain DNS. Catatan delegasi hanya dapat dibuat secara otomatis di server Microsoft DNS. If the parent DNS domain zone resides on third-party DNS servers such as Berkeley Internet Name Domain (BIND) servers, a warning about the failure to create DNS delegation records appears on the Prerequisites Check page. Untuk informasi selengkapnya tentang peringatan, lihat Masalah yang Diketahui untuk menginstal dan menghapus AD DS.

Delegasi antara domain induk dan subdomain yang sedang dipromosikan dapat dibuat dan divalidasi sebelum atau sesudah penginstalan. Tidak ada alasan untuk menunda penginstalan pengendali domain baru karena Anda tidak dapat membuat atau memperbarui delegasi DNS.

Untuk informasi selengkapnya tentang delegasi, lihat Memahami delegasi zona. Jika delegasi zona tidak dimungkinkan dalam situasi Anda, Anda dapat mempertimbangkan metode lain untuk memberikan resolusi nama dari domain lain ke host di domain Anda. Misalnya, administrator DNS domain lain dapat mengonfigurasi penerusan bersyarat, zona stub, atau zona sekunder untuk mengatasi nama di domain Anda. Untuk informasi selengkapnya, lihat sumber daya berikut ini:

RODC Options

Cuplikan layar berikut menunjukkan opsi yang muncul saat Anda menginstal RODC.

Cuplikan layar halaman Opsi RODC pada panduan, dengan akun yang mereplikasi dan tidak mereplikasi kata sandi, serta tombol untuk mengedit akun.

  • Anda dapat menggunakan opsi Akun administrator yang didelegasikan untuk menentukan akun yang diberi izin administratif lokal ke RODC. Pengguna ini dapat beroperasi dengan hak istimewa yang setara dengan grup Administrator komputer lokal. Mereka bukan anggota Admin Domain atau grup Administrator bawaan domain. Opsi ini berguna untuk mendelegasikan administrasi kantor cabang tanpa memberikan izin administratif domain. Konfigurasi delegasi administrasi tidak diperlukan. Untuk informasi selengkapnya, lihat Pemisahan peran administrator.

  • Anda dapat menggunakan opsi yang tersisa di halaman untuk mengonfigurasi kebijakan replikasi kata sandi (PRP), yang bertindak sebagai daftar kontrol akses (ACL). Kebijakan ini menentukan apakah RODC dapat menyimpan kata sandi. Setelah RODC menerima permintaan masuk pengguna atau komputer yang diautentikasi, RODC mengacu pada PRP untuk menentukan apakah kata sandi untuk akun harus di-cache. Akun yang sama kemudian dapat melakukan masuk berikutnya dengan lebih efisien. Saat akun di-cache, RODC dapat mengautentikasinya meskipun tautan WAN ke situs hub offline.

    PRP mencantumkan dua jenis akun:

    • Akun yang memiliki kata sandi yang dapat di-cache
    • Akun yang memiliki kata sandi yang secara eksplisit ditolak untuk di-cache

    Jika akun pengguna atau komputer ada dalam daftar akun yang dapat di-cache, RODC belum tentu menyimpan kata sandi untuk akun tersebut. Misalnya, administrator dapat menentukan terlebih dahulu akun yang harus di-cache RODC.

    Kata sandi tidak di-cache untuk akun pengguna atau komputer apa pun yang tidak ditolak atau diizinkan, secara eksplisit atau implisit. Jika pengguna atau komputer tersebut tidak memiliki akses ke pengontrol domain yang dapat ditulis, mereka tidak dapat mengakses sumber daya atau fungsionalitas yang disediakan AD DS. Untuk informasi selengkapnya tentang PRP, lihat Kebijakan replikasi kata sandi. Untuk informasi selengkapnya tentang mengelola PRP, lihat Mengelola kebijakan replikasi kata sandi.

Untuk informasi selengkapnya tentang menginstal RODC, lihat Menginstal Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200).

Additional Options

The following screenshot shows the option that appears on the Additional Options page when you create a domain:

Cuplikan layar halaman Opsi Tambahan wizard. Bidang untuk mengedit nama NetBIOS domain terlihat.

The following screenshot shows the options that appear on the Additional Options page when you add a domain controller to an existing domain:

Cuplikan layar halaman Opsi Tambahan wizard. Jalur penginstalan media terlihat. Sumber replikasi diatur ke pengendali domain apa pun.

  • You can use the Replicate from option to specify a domain controller as the replication source, or to allow the wizard to choose any domain controller as the replication source.

  • Anda dapat menggunakan opsi Instal dari media untuk menentukan sumber media yang sudah dicadangkan yang akan digunakan untuk menginstal pengontrol domain. If the installation media is stored locally, you can use the Path option to select the file location. Opsi ini tidak tersedia untuk penginstalan jarak jauh. You can select Verify to ensure the provided path is valid media. Anda harus membuat media yang Anda gunakan untuk opsi ini dengan menggunakan Windows Server Backup atau ntdsutil.exe dari komputer Windows Server lain yang ada. Anda tidak dapat menggunakan sistem operasi yang lebih lama dari Windows Server 2012 untuk membuat media untuk pengendali domain. Jika media dilindungi dengan kata sandi SysKey, Manajer Server meminta kata sandi gambar selama verifikasi.

Untuk informasi selengkapnya tentang cara membuat domain, lihat Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200). Untuk informasi selengkapnya tentang cara menambahkan pengendali domain ke domain yang sudah ada, lihat Menginstal Pengendali Domain Replika Windows Server 2012 di Domain yang Sudah Ada (Tingkat 200).

Paths

The following screenshot shows the options that appear on the Paths page:

Cuplikan layar halaman Jalur wizard. Bidang tersedia untuk memasukkan database, log, dan folder SYSVOL.

You can use the Paths page to override the default folder locations of the AD DS database (NTDS.DIT), the database transaction logs, and the SYSVOL share. Lokasi default selalu ada di %systemroot% folder . Untuk penginstalan lokal, Anda dapat memilih lokasi untuk menyimpan file.

Preparation Options

The following screenshot shows the Preparation Options page:

Cuplikan layar halaman Opsi Persiapan wizard. Teks tentang izin yang tidak mencukup terlihat. Tombol tersedia untuk mengubah pengguna.

Halaman ini meminta Anda untuk menyediakan kredensial untuk menjalankan adprep.exe. Panduan menampilkan halaman ini ketika kedua kondisi berikut ini terpenuhi:

  • Saat ini Anda tidak masuk dengan kredensial yang memadai untuk menjalankan perintah adprep.exe.
  • Untuk menyelesaikan penginstalan AD DS, adprep.exe diperlukan untuk menjalankan.

Alat adprep.exe ini diperlukan untuk berjalan dalam situasi berikut:

  • Perintah adprep /forestprep harus dijalankan untuk menambahkan pengendali domain pertama yang menjalankan Windows Server 2012 ke forest yang ada. Untuk menjalankan perintah ini, Anda harus menjadi anggota grup Admin Perusahaan, grup Admin Skema, dan grup Admin Domain domain yang menghosting master skema. Agar perintah ini berhasil dijalankan, harus ada konektivitas antara komputer tempat Anda menjalankan perintah dan schema master untuk forest.

  • Perintah adprep /domainprep harus dijalankan untuk menambahkan pengendali domain pertama yang menjalankan Windows Server 2012 ke domain yang sudah ada. Perintah ini harus dijalankan oleh anggota grup Admin Domain domain tempat Anda menginstal pengendali domain yang menjalankan Windows Server. Agar perintah ini berhasil dijalankan, harus ada konektivitas antara komputer tempat Anda menjalankan perintah dan master infrastruktur untuk domain.

  • Perintah adprep /rodcprep harus dijalankan untuk menambahkan RODC pertama ke forest yang sudah ada. Perintah ini harus dijalankan oleh anggota grup Admin Perusahaan. Agar perintah ini berhasil dijalankan, harus ada konektivitas antara komputer tempat Anda menjalankan perintah dan master infrastruktur untuk setiap partisi direktori aplikasi di forest.

For more information about adprep.exe, see Adprep.exe integration and Running Adprep.exe.

Review Options

The following screenshot shows the Review Options page:

Cuplikan layar halaman Opsi Tinjauan wizard. Teks meringkas opsi terpilih untuk server yang menjadi pengendali domain.

  • You can use the Review Options page to validate your settings and ensure that they meet your requirements before you start the installation. Halaman ini bukan kesempatan terakhir di Manajer Server untuk menghentikan penginstalan. Anda dapat menggunakan halaman ini untuk meninjau dan mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi.

  • On this page, you also have the option of using the View script button to create a Unicode text file that contains the current ADDSDeployment module configuration as a single Windows PowerShell script. Akibatnya, Anda dapat menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell:

    • Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi.
    • Ekspor konfigurasi.
    • Batalkan wizard.

    Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung.

Prerequisites Check

The following screenshot shows the Prerequisites Check page:

Cuplikan layar halaman Pemeriksaan Prasyarat wizard. Bidang hasil mencantumkan peringatan tentang algoritma kriptografi dan delegasi DNS yang diblokir.

Halaman ini menampilkan potensi masalah yang terdeteksi selama pemeriksaan prasyarat. Hasilnya dapat mencantumkan peringatan, termasuk yang berikut ini:

  • Pengontrol domain yang menjalankan Windows Server memiliki pengaturan default, Izinkan algoritma kriptografi kompatibel dengan Windows NT 4, yang mencegah klien yang menggunakan algoritma kriptografi yang lebih lemah membuat sesi saluran yang aman. Untuk informasi selengkapnya tentang dampak potensial dan solusinya, lihat Menonaktifkan pengaturan AllowNT4Crypto pada semua pengontrol domain yang terpengaruh.

  • Delegasi DNS tidak dapat dibuat atau diperbarui. For more information, see DNS Options.

  • Panggilan WMI (Windows Management Instrumentation) gagal. Pemeriksaan prasyarat memerlukan panggilan WMI. Jika panggilan WMI diblokir oleh aturan firewall, itu dapat gagal dan mengembalikan kesalahan server panggilan prosedur jarak jauh (RPC) yang tidak tersedia.

For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite tests.

Results

The following screenshot shows the Results page:

Cuplikan layar halaman Hasil wizard. Teks menunjukkan konfigurasi pengontrol domain yang berhasil. Peringatan terlihat.

Pada halaman ini, Anda dapat meninjau hasil penginstalan.

Anda juga dapat memulai ulang server target dari halaman ini setelah panduan selesai. Tetapi jika penginstalan berhasil, server dimulai ulang terlepas dari apakah Anda memilih opsi tersebut.

Dalam beberapa kasus, server target gagal memulai ulang. Jika wizard selesai pada server target yang tidak bergabung dengan domain sebelum penginstalan, status sistem server target dapat membuat server tersebut tidak dapat dijangkau di jaringan. Status sistem juga dapat mencegah Anda memiliki izin untuk mengelola server jarak jauh.

Jika server target gagal memulai ulang dalam kasus ini, Anda harus memulai ulang secara manual. Anda tidak dapat menggunakan alat, seperti shutdown.exe atau Windows PowerShell, untuk memulai ulang. Anda dapat menggunakan Layanan Desktop Jauh untuk masuk dan mematikan server target dari jarak jauh.

Halaman saat menurunkan peran pengontrol domain

Bagian berikut ini menjelaskan halaman yang Anda lihat saat menggunakan Panduan Konfigurasi Layanan Domain Direktori Aktif untuk menurunkan pengontrol domain.

Credentials

The following screenshot shows the Credentials page that appears at the start of the demotion process.

Cuplikan layar halaman Kredensial dari panduan, dengan tombol untuk mengubah kredensial dan opsi untuk memaksa penghapusan pengontrol domain.

Pada halaman ini, Anda mengonfigurasi opsi demosi. Kredensial berikut diperlukan untuk melakukan penurunan jabatan dalam berbagai situasi:

  • Menurunkan pengontrol domain tambahan memerlukan kredensial Admin Domain. Memilih Penghapusan paksa pengendali domain menurunkan pengendali domain tanpa menghapus metadata objek pengendali domain dari Active Directory.

    Important

    Jangan pilih opsi Paksa penghapusan pengendali domain ini kecuali pengendali domain tidak dapat menghubungi pengendali domain lain dan tidak ada cara yang wajar untuk mengatasi masalah jaringan tersebut. Demosi paksa meninggalkan metadata tertinggal di direktori aktif pada pengontrol domain yang tersisa di forest. Selain itu, semua perubahan yang tidak direplikasi pada pengendali domain tersebut, seperti kata sandi atau akun pengguna baru, hilang selamanya. Metadata tanpa induk adalah penyebab utama dalam sejumlah besar kasus dukungan Microsoft untuk AD DS, Microsoft Exchange, SQL Server, dan perangkat lunak lainnya. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Untuk petunjuknya, lihat Membersihkan metadata server.

  • Menurunkan pengontrol domain terakhir di domain memerlukan keanggotaan grup Admin Perusahaan, karena tindakan ini menghapus domain itu sendiri. Jika domain adalah yang terakhir di forest, tindakan ini juga akan menghapus forest tersebut. Manajer Server memberi tahu Anda jika pengendali domain saat ini adalah pengendali domain terakhir di domain. Pilih Pengontrol domain terakhir di domain untuk mengonfirmasi pengendali domain adalah pengendali domain terakhir di domain.

Untuk informasi selengkapnya tentang menghapus AD DS, lihat Menghapus Active Directory Domain Services (Tingkat 100) dan Menurunkan pengontrol domain dan domain.

Warnings

Saat Anda menggunakan Manajer Server untuk menurunkan pengontrol domain, wizard menampilkan peringatan dalam kasus tertentu. If the domain controller also hosts other roles, such as the DNS server or global catalog server roles, the following Warnings page appears:

Cuplikan layar halaman Peringatan wizard. Opsi untuk menghapus pengontrol domain dipilih, dan perannya saat ini dicantumkan.

Before you can select Next to continue, you must select Proceed with removal to acknowledge that demoting the domain controller makes those roles unavailable.

Jika Anda memaksa penghapusan pengendali domain:

  • Setiap perubahan objek Direktori Aktif yang tidak direplikasi ke pengontrol domain lain di domain hilang.

  • Semua partisi direktori aplikasi pada pengendali domain dihapus. Jika pengendali domain menyimpan replika terakhir dari satu atau beberapa partisi direktori aplikasi, partisi tersebut tidak lagi ada ketika operasi penghapusan selesai.

  • Operasi penting di domain dan hutan dapat terpengaruh dengan cara berikut jika pengendali domain menghosting peran tertentu:

    Role Hasil menghapus pengontrol domain Tindakan yang harus diambil sebelum Anda melanjutkan
    Global catalog Pengguna mungkin mengalami masalah saat masuk ke domain di hutan. Pastikan cukup banyak server katalog global berada di forest dan situs untuk melayani login pengguna. Jika perlu, tetapkan server katalog global lain, dan perbarui klien dan aplikasi dengan informasi baru.
    server DNS Semua data DNS yang disimpan di zona terintegrasi Direktori Aktif hilang. Setelah Anda menghapus AD DS, server DNS tidak dapat melakukan resolusi nama untuk zona DNS yang terintegrasi dengan Direktori Aktif. Perbarui konfigurasi DNS semua komputer yang saat ini merujuk ke alamat IP server DNS untuk resolusi nama. Konfigurasikan mereka dengan alamat IP server DNS baru.
    Infrastructure master Klien di domain mungkin mengalami kesulitan menemukan objek di domain lain. Transfer peran master infrastruktur ke pengendali domain yang bukan server katalog global.
    Master ID Relatif (RID) Anda mungkin mengalami masalah saat membuat akun pengguna, akun komputer, dan grup keamanan. Transfer role master RID ke pengendali domain di dalam domain yang sama dengan pengendali domain yang Anda turunkan.
    Emulator pengendali domain utama (PDC) Operasi yang dilakukan oleh emulator PDC, seperti pembaruan Kebijakan Grup dan pengaturan ulang kata sandi untuk akun non-AD DS, tidak berfungsi dengan baik. Transfer peran master emulator PDC ke pengontrol domain yang berada di domain yang sama dengan pengendali domain yang Anda demosi.
    Schema master Anda tidak dapat lagi memodifikasi skema untuk hutan. Pindahkan peran pemegang skema ke pengendali domain di domain root dalam hutan direktori.
    Pengelola penamaan domain Anda tidak dapat lagi menambahkan domain ke atau menghapus domain dari forest. Transfer peran master penamaan domain ke pengendali domain di domain akar di hutan.

Sebelum Anda menghapus pengendali domain yang menghosting peran master operasi apa pun, coba transfer peran ke pengendali domain lain.

Jika tidak memungkinkan untuk mentransfer peran, pertama-tama hapus AD DS dari komputer. Kemudian ambil alih peran dengan menggunakan ntdsutil.exe pada pengendali domain yang Anda gunakan untuk mengambil alih peran tersebut. Jika memungkinkan, gunakan mitra replikasi terbaru di situs yang sama dengan pengendali domain yang Anda demosi. Untuk informasi selengkapnya tentang mentransfer dan merebut peran master operasi, lihat Mentransfer atau merebut peran Master Operasi di Active Directory Domain Services.

Jika wizard tidak dapat menentukan apakah pengendali domain menghosting peran master operasi, jalankan netdom.exe perintah untuk menentukan apakah pengendali domain melakukan peran master operasi apa pun.

Setelah Anda menghapus instalasi AD DS dari pengontrol domain terakhir di domain, domain tidak lagi ada.

Removal Options

Jika pengendali domain yang Anda demosi adalah server DNS yang didelegasikan untuk menghosting zona DNS, Anda akan melihat halaman berikut. Ini menyediakan opsi untuk menghapus server DNS dari delegasi zona DNS.

Cuplikan layar halaman Opsi Penghapusan wizard. Opsi untuk menghapus zona DNS dan delegasi dipilih.

Untuk informasi selengkapnya tentang menghapus AD DS, lihat Menghapus Active Directory Domain Services (Tingkat 100) dan Menurunkan pengontrol domain dan domain.

Kata Sandi Administrator Baru

Halaman Kata Sandi Administrator Baru mengharuskan Anda menyediakan kata sandi untuk akun Administrator komputer lokal bawaan. Kata sandi ini digunakan ketika demosi selesai dan komputer menjadi server anggota domain atau komputer grup kerja.

Cuplikan layar dari halaman

Untuk informasi selengkapnya tentang menghapus AD DS, lihat Menghapus Active Directory Domain Services (Tingkat 100) dan Menurunkan pengontrol domain dan domain.

Review Options

The following screenshot shows the Review Options page that you see when you demote a domain controller:

Cuplikan layar halaman Opsi Tinjauan akhir wizard. Teks meringkas opsi yang dipilih untuk menurunkan pengontrol domain.

Anda dapat menggunakan halaman ini untuk meninjau pilihan Anda dan memulai penurunan jabatan.

Halaman ini juga memberi Anda kesempatan untuk mengekspor pengaturan konfigurasi untuk demosi ke skrip Windows PowerShell sehingga Anda dapat mengotomatiskan demosi lain.

To demote the server, select Demote.