Bagikan melalui


Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200)

Topik ini menjelaskan cara menambahkan domain anak dan pohon ke forest Windows Server 2012 yang sudah ada, menggunakan Manajer Server atau Windows PowerShell.

Alur Kerja Domain Anak dan Pohon

Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services saat Sebelumnya Anda menginstal peran AD DS dan Anda telah memulai Panduan Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server untuk membuat domain baru di forest yang sudah ada.

Diagram yang mengilustrasikan proses konfigurasi Active Directory Domain Services saat Anda sebelumnya menginstal peran AD DS.

Domain Anak dan Pohon Windows PowerShell

ADDSDeployment Cmdlet Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Credential

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Catatan

Argumen -credential hanya diperlukan ketika Anda saat ini tidak masuk sebagai anggota grup Admin Perusahaan. Argumen -NewDomainNetBIOSName diperlukan jika Anda ingin mengubah nama 15 karakter yang dihasilkan secara otomatis berdasarkan awalan nama domain DNS atau jika nama melebihi 15 karakter.

Penyebaran

Konfigurasi Penyebaran

Cuplikan layar berikut menunjukkan opsi untuk menambahkan domain anak:

Cuplikan layar yang memperlihatkan opsi untuk menambahkan domain anak.

Cuplikan layar berikut menunjukkan opsi untuk menambahkan domain pohon:

Cuplikan layar yang memperlihatkan opsi untuk menambahkan domain pohon.

Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.

Topik ini menggabungkan dua operasi diskrit: promosi domain anak dan promosi domain pohon. Satu-satunya perbedaan antara kedua operasi adalah jenis domain yang Anda pilih untuk dibuat. Semua langkah lainnya identik antara kedua operasi.

  • Untuk membuat domain anak baru, klik Tambahkan domain ke Forest yang sudah ada dan pilih Domain Turunan. Untuk Nama domain induk, ketik atau pilih nama domain induk. Lalu ketik nama domain baru dalam kotak Nama domain baru. Berikan nama domain turunan label tunggal yang valid; nama harus menggunakan persyaratan nama domain DNS.

  • Untuk membuat domain pohon di dalam forest yang sudah ada, klik Tambahkan domain ke Forest yang sudah ada dan pilih Domain Pohon. Ketik nama domain akar forest, lalu ketik nama domain baru. Berikan nama domain akar yang valid dan sepenuhnya memenuhi syarat; nama tidak dapat diberi label tunggal dan harus menggunakan persyaratan nama domain DNS.

Untuk informasi selengkapnya tentang nama DNS, lihat Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.

Panduan Konfigurasi Layanan Domain Direktori Aktif Manajer Server meminta kredensial domain jika kredensial Anda saat ini bukan dari domain. Klik Ubah untuk memberikan kredensial domain untuk operasi promosi.

Cmdlet dan argumen ADDSDeployment Konfigurasi Penyebaran adalah:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Opsi Pengendali Domain

Cuplikan layar yang memperlihatkan halaman Opsi Pengendali Domain di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Opsi Pengendali Domain menentukan opsi pengendali domain untuk pengendali domain baru. Opsi pengontrol domain yang dapat dikonfigurasi mencakup server DNS dan Katalog Global; Anda tidak dapat mengonfigurasi pengontrol domain baca-saja sebagai pengendali domain pertama di domain baru.

Microsoft menyarankan agar semua pengontrol domain menyediakan layanan DNS dan GC untuk ketersediaan tinggi di lingkungan terdistribusi. GC selalu dipilih secara default dan DNS dipilih secara default jika domain saat ini menghosting DNS yang sudah ada di DC-nya, berdasarkan kueri Start-of-Authority. Anda juga harus menentukan tingkat fungsi domain. Tingkat fungsi default adalah Windows Server 2012, dan Anda dapat memilih nilai lain yang sama dengan atau lebih besar dari tingkat fungsi forest saat ini.

Halaman Opsi Pengendali Domain juga memungkinkan Anda memilih nama situs logis Direktori Aktif yang sesuai dari konfigurasi forest. Secara default, situs dengan subnet yang paling benar dipilih. Jika hanya ada satu situs, situs dipilih secara otomatis.

Penting

Jika server bukan milik subnet Direktori Aktif dan ada lebih dari satu situs Direktori Aktif, tidak ada yang dipilih dan tombol Berikutnya tidak tersedia sampai Anda memilih situs dari daftar.

Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.

Argumen cmdlet ADDSDeployment Opsi Pengendali Domain adalah:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Penting

Nama situs harus sudah ada ketika disediakan sebagai nilai untuk argumen nama situs. Cmdlet install-AddsDomainController tidak membuat nama situs. Anda dapat menggunakan cmdlet new-adreplicationsite untuk membuat situs baru.

Argumen cmdlet Install-ADDSDomainController mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.

Operasi argumen SafeModeAdministratorPassword bersifat khusus:

  • Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

    Misalnya, untuk membuat domain anak baru bernama NorthAmerica di forest Contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi bertopeng:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child
    
  • Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Peringatan

Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.

Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. Contohnya:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Peringatan

Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest AD. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.

Modul ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Ini tidak dapat dikonfigurasi saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda sudah menginstal layanan Server DNS sebelum mengonfigurasi pengontrol domain:

-SkipAutoConfigureDNS

Opsi DNS dan Kredensial Delegasi DNS

Cuplikan layar yang memperlihatkan halaman Opsi DNS di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Opsi DNS memungkinkan Anda memberikan kredensial Admin DNS alternatif untuk delegasi.

Saat menginstal domain baru di forest yang sudah ada - tempat Anda memilih penginstalan DNS di halaman Opsi Pengendali Domain - Anda tidak dapat mengonfigurasi opsi apa pun; delegasi terjadi secara otomatis dan tidak dapat dicabut. Anda memiliki opsi untuk memberikan kredensial administratif DNS alternatif dengan hak untuk memperbarui struktur tersebut.

Opsi DNS ADDSDeployment Argumen Windows PowerShell adalah:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Untuk informasi selengkapnya tentang delegasi DNS, lihat Memahami Delegasi Zona.

Opsi Tambahan

Cuplikan layar yang memperlihatkan halaman Opsi Tambahan di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Opsi Tambahan memperlihatkan nama NetBIOS domain dan memungkinkan Anda mengambil alihnya. Secara default, nama domain NetBIOS cocok dengan label paling kiri dari nama domain yang sepenuhnya memenuhi syarat yang disediakan pada halaman Konfigurasi Penyebaran. Misalnya, jika Anda memberikan nama domain corp.contoso.com yang sepenuhnya memenuhi syarat, nama domain NetBIOS default adalah CORP.

Jika namanya 15 karakter atau kurang dan tidak bertentangan dengan nama NetBIOS lain, nama tersebut tidak diubah. Jika berkonflik dengan nama NetBIOS lain, angka ditambahkan ke nama tersebut. Jika namanya lebih dari 15 karakter, wizard menyediakan saran unik yang terpotong. Dalam kedua kasus, wizard terlebih dahulu memvalidasi nama belum digunakan melalui pencarian WINS dan siaran NetBIOS.

Untuk informasi selengkapnya tentang nama DNS, lihat Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.

Argumen Install-AddsDomain mengikuti default yang sama dengan Server Manager jika tidak ditentukan. Operasi DomainNetBIOSName bersifat khusus:

  1. Jika argumen NewDomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 15 karakter atau lebih sedikit, maka promosi berlanjut dengan nama yang dihasilkan secara otomatis.

  2. Jika argumen NewDomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 16 karakter atau lebih, maka promosi gagal.

  3. Jika argumen NewDomainNetBIOSName ditentukan dengan nama domain NetBIOS 15 karakter atau lebih sedikit, maka promosi berlanjut dengan nama yang ditentukan.

  4. Jika argumen NewDomainNetBIOSName ditentukan dengan nama domain NetBIOS 16 karakter atau lebih, maka promosi gagal.

Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:

-newdomainnetbiosname <string>

Jalur

Cuplikan layar yang memperlihatkan halaman Jalur di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi dasar data, dan berbagi SYSVOL. Lokasi default selalu berada dalam subdirektori dari %systemroot%.

Argumen cmdlet AddSDeployment Jalur adalah:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Tinjau Opsi dan Tampilkan Skrip

Cuplikan layar yang memperlihatkan halaman Opsi Tinjau di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikan mereka memenuhi kebutuhan Anda sebelum Anda memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan saat menggunakan Manajer Server. Ini hanyalah opsi untuk mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi

Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai satu skrip Windows PowerShell. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. Contoh:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Catatan

Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword (yang sengaja dihilangkan dari skrip). Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.

Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSForest untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit argumen untuk cmdlet.

Menginstal Anak AD baru

Pemeriksaan Prasyarat

Cuplikan layar yang memperlihatkan halaman Pemeriksaan Prasyarat di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung domain AD DS baru.

Saat menginstal domain akar forest baru, Server Manager Active Directory Domain Services Configuration Wizard memanggil serangkaian pengujian modular berseri. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.

Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama.

Untuk informasi selengkapnya tentang pemeriksaan prasyarat tertentu, lihat Pemeriksaan Prasyarat.

Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:

-skipprechecks

Peringatan

Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.

Klik Instal untuk memulai proses promosi pengendali domain. Ini adalah kesempatan terakhir untuk membatalkan penginstalan. Anda tidak dapat membatalkan proses promosi setelah dimulai. Komputer akan di-boot ulang secara otomatis di akhir promosi, terlepas dari hasil promosi.

Penginstalan

Cuplikan layar yang memperlihatkan halaman Penginstalan di Wizard Konfigurasi Layanan Domain Direktori Aktif.

Saat halaman Penginstalan ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Untuk menginstal domain Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:

Install-addsdomain

Lihat PowerShell Windows Domain Anak dan Pohon untuk argumen yang diperlukan dan opsional. Cmdlet Install-addsdomain hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domaintype, -newdomainname, -parentdomainname, dan -credential. Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSDomain mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis.

Cuplikan layar jendela terminal yang memperlihatkan fase penginstalan dengan argumen minimum yang diperlukan dari -domaintype, -newdomainname, -parentdomainname, dan -credential.

Cuplikan layar jendela terminal yang menunjukkan kemajuan penginstalan dengan argumen minimum yang diperlukan dari -domaintype, -newdomainname, -parentdomainname, dan -credential.

Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .

Peringatan

Mengambil alih boot ulang tidak disarankan. Pengontrol domain harus memulai ulang agar berfungsi dengan benar

Hasil

Cuplikan layar yang memperlihatkan halaman Hasil dengan pesan bahwa komputer sedang dimulai ulang.

Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.