Bagikan melalui

Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200)

Topik ini menjelaskan cara menambahkan domain anak dan pohon ke forest Windows Server 2012 yang sudah ada, menggunakan Manajer Server atau Windows PowerShell.

Alur Kerja Domain Anak dan Pohon

Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services saat Sebelumnya Anda menginstal peran AD DS dan Anda telah memulai Panduan Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server untuk membuat domain baru di forest yang sudah ada.

Diagram yang mengilustrasikan proses konfigurasi Active Directory Domain Services saat Anda sebelumnya menginstal peran AD DS.

Domain Anak dan Pohon Windows PowerShell

ADDSDeployment Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Credential

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Note

The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.

Deployment

Deployment Configuration

Cuplikan layar berikut menunjukkan opsi untuk menambahkan domain anak:

Cuplikan layar yang memperlihatkan opsi untuk menambahkan domain anak.

Cuplikan layar berikut menunjukkan opsi untuk menambahkan domain pohon:

Cuplikan layar yang memperlihatkan opsi untuk menambahkan domain pohon.

Server Manager begins every domain controller promotion with the Deployment Configuration page. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.

Topik ini menggabungkan dua operasi diskrit: promosi domain anak dan promosi domain pohon. Satu-satunya perbedaan antara kedua operasi adalah jenis domain yang Anda pilih untuk dibuat. Semua langkah lainnya identik antara kedua operasi.

  • Untuk membuat domain anak baru, klik Tambahkan domain ke Forest yang sudah ada dan pilih Domain Turunan. Untuk Nama domain induk, ketik atau pilih nama domain induk. Lalu ketik nama domain baru dalam kotak Nama domain baru. Berikan nama domain turunan label tunggal yang valid; nama harus menggunakan persyaratan nama domain DNS.

  • Untuk membuat domain pohon di dalam forest yang sudah ada, klik Tambahkan domain ke Forest yang sudah ada dan pilih Domain Pohon. Ketik nama domain akar forest, lalu ketik nama domain baru. Berikan nama domain akar yang valid dan sepenuhnya memenuhi syarat; nama tidak dapat diberi label tunggal dan harus menggunakan persyaratan nama domain DNS.

Untuk informasi selengkapnya tentang nama DNS, lihat Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.

Panduan Konfigurasi Layanan Domain Direktori Aktif Manajer Server meminta kredensial domain jika kredensial Anda saat ini bukan dari domain. Click Change to provide domain credentials for the promotion operation.

Cmdlet dan argumen ADDSDeployment Konfigurasi Penyebaran adalah:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Opsi Pengendali Domain

Cuplikan layar yang memperlihatkan halaman Opsi Pengendali Domain di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Opsi Pengendali Domain menentukan opsi pengendali domain untuk pengendali domain baru. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

Microsoft menyarankan agar semua pengontrol domain menyediakan layanan DNS dan GC untuk ketersediaan tinggi di lingkungan terdistribusi. GC selalu dipilih secara default dan DNS dipilih secara default jika domain saat ini menghosting DNS yang sudah ada di DC-nya, berdasarkan kueri Start-of-Authority. Anda juga harus menentukan tingkat fungsi domain. Tingkat fungsi default adalah Windows Server 2012, dan Anda dapat memilih nilai lain yang sama dengan atau lebih besar dari tingkat fungsi forest saat ini.

Halaman Opsi Pengendali Domain juga memungkinkan Anda memilih nama situs logis Direktori Aktif yang sesuai dari konfigurasi forest. Secara default, situs dengan subnet yang paling benar dipilih. Jika hanya ada satu situs, situs dipilih secara otomatis.

Important

If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.

Argumen cmdlet ADDSDeployment Opsi Pengendali Domain adalah:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Important

The site name must already exist when provided as a value to the sitename argument. The install-AddsDomainController cmdlet does not create site names. You can use the new-adreplicationsite cmdlet to create new sites.

The Install-ADDSDomainController cmdlet arguments follow the same defaults as Server Manager if not specified.

The SafeModeAdministratorPassword argument's operation is special:

  • If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

    Misalnya, untuk membuat domain anak baru bernama NorthAmerica di forest Contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi bertopeng:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child

  • Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.

Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. For example:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest AD. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.

Modul ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Ini tidak dapat dikonfigurasi saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda sudah menginstal layanan Server DNS sebelum mengonfigurasi pengontrol domain:

-SkipAutoConfigureDNS

Opsi DNS dan Kredensial Delegasi DNS

Cuplikan layar yang memperlihatkan halaman Opsi DNS di Wizard Konfigurasi Layanan Domain Direktori Aktif.

The DNS Options page enables you to provide alternate DNS Admin credentials for delegation.

Saat menginstal domain baru di forest yang sudah ada - tempat Anda memilih penginstalan DNS di halaman Opsi Pengendali Domain - Anda tidak dapat mengonfigurasi opsi apa pun; delegasi terjadi secara otomatis dan tidak dapat dicabut. Anda memiliki opsi untuk memberikan kredensial administratif DNS alternatif dengan hak untuk memperbarui struktur tersebut.

The DNS Options ADDSDeployment Windows PowerShell arguments are:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Untuk informasi selengkapnya tentang delegasi DNS, lihat Memahami Delegasi Zona.

Additional Options

Cuplikan layar yang memperlihatkan halaman Opsi Tambahan di Wizard Konfigurasi Layanan Domain Direktori Aktif.

The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Misalnya, jika Anda memberikan nama domain corp.contoso.com yang sepenuhnya memenuhi syarat, nama domain NetBIOS default adalah CORP.

Jika namanya 15 karakter atau kurang dan tidak bertentangan dengan nama NetBIOS lain, nama tersebut tidak diubah. Jika berkonflik dengan nama NetBIOS lain, angka ditambahkan ke nama tersebut. Jika namanya lebih dari 15 karakter, wizard menyediakan saran unik yang terpotong. Dalam kedua kasus, wizard terlebih dahulu memvalidasi nama belum digunakan melalui pencarian WINS dan siaran NetBIOS.

Untuk informasi selengkapnya tentang nama DNS, lihat Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.

The Install-AddsDomain arguments follow the same defaults as Server Manager if not specified. The DomainNetBIOSName operation is special:

  1. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.

  2. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.

  3. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.

  4. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.

The Additional Options ADDSDeployment cmdlet argument is:

-newdomainnetbiosname <string>

Paths

Cuplikan layar yang memperlihatkan halaman Jalur di Wizard Konfigurasi Layanan Domain Direktori Aktif.

The Paths page enables you to override the default folder locations of the AD DS database, the data base transaction logs, and the SYSVOL share. Lokasi default selalu berada dalam subdirektori dari %systemroot%.

The Paths ADDSDeployment cmdlet arguments are:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Tinjau Opsi dan Tampilkan Skrip

Cuplikan layar yang memperlihatkan halaman Opsi Tinjau di Wizard Konfigurasi Layanan Domain Direktori Aktif.

The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Ini bukan kesempatan terakhir untuk menghentikan penginstalan saat menggunakan Manajer Server. Ini hanyalah opsi untuk mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi

The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. For example:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.

Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Ini memungkinkan Anda melihat nilai eksplisit dan implisit argumen untuk cmdlet.

Menginstal Anak AD baru

Prerequisites Check

Cuplikan layar yang memperlihatkan halaman Pemeriksaan Prasyarat di Wizard Konfigurasi Layanan Domain Direktori Aktif.

The Prerequisites Check is a new feature in AD DS domain configuration. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung domain AD DS baru.

Saat menginstal domain akar forest baru, Server Manager Active Directory Domain Services Configuration Wizard memanggil serangkaian pengujian modular berseri. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.

The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

For more information on the specific prerequisite checks, see Prerequisite Checking.

You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks

Warning

Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.

Click Install to begin the domain controller promotion process. Ini adalah kesempatan terakhir untuk membatalkan penginstalan. Anda tidak dapat membatalkan proses promosi setelah dimulai. Komputer akan di-boot ulang secara otomatis di akhir promosi, terlepas dari hasil promosi.

Installation

Cuplikan layar yang memperlihatkan halaman Penginstalan di Wizard Konfigurasi Layanan Domain Direktori Aktif.

When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Untuk menginstal domain Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:

Install-addsdomain

Lihat PowerShell Windows Domain Anak dan Pohon untuk argumen yang diperlukan dan opsional. Cmdlet Install-addsdomain hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). The two figures below show the installation phase with the minimum required arguments of -domaintype, -newdomainname, -parentdomainname, and -credential. Note how, just like Server Manager, Install-ADDSDomain reminds you that promotion will reboot the server automatically.

Cuplikan layar jendela terminal yang memperlihatkan fase penginstalan dengan argumen minimum yang diperlukan dari -domaintype, -newdomainname, -parentdomainname, dan -credential.

Cuplikan layar jendela terminal yang menunjukkan kemajuan penginstalan dengan argumen minimum yang diperlukan dari -domaintype, -newdomainname, -parentdomainname, dan -credential.

To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Warning

Mengambil alih boot ulang tidak disarankan. Pengontrol domain harus memulai ulang agar berfungsi dengan benar

Results

Cuplikan layar yang memperlihatkan halaman Hasil dengan pesan bahwa komputer sedang dimulai ulang.

The Results page shows the success or failure of the promotion and any important administrative information. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.