Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik ini menjelaskan fitur promosi pengendali domain Windows Server 2012 Active Directory Domain Services baru pada tingkat pengantar. Di Windows Server 2012, AD DS mengganti alat Dcpromo dengan Manajer Server dan sistem penyebaran berbasis Windows PowerShell.
Administrasi Yang Disederhanakan Active Directory Domain Services
Windows Server 2012 memperkenalkan Administrasi Sederhana Active Directory Domain Services generasi berikutnya, dan merupakan re-visi domain paling radikal sejak Windows 2000 Server. Ad DS Simplified Administration mengambil pelajaran yang dipelajari dari dua belas tahun Active Directory dan membuat pengalaman administratif yang lebih mendukung, lebih fleksibel, dan lebih intuitif bagi arsitek dan administrator. Ini berarti menciptakan versi baru teknologi yang ada serta memperluas kemampuan komponen yang dirilis di Windows Server 2008 R2.
Apa itu Administrasi Yang Disederhanakan AD DS?
Administrasi Yang Disederhanakan AD DS adalah penentu ulang penyebaran domain. Beberapa fitur tersebut meliputi:
Penyebaran peran AD DS sekarang menjadi bagian dari arsitektur Manajer Server baru dan memungkinkan penginstalan jarak jauh.
Mesin penyebaran dan konfigurasi AD DS sekarang menjadi Windows PowerShell, bahkan saat menggunakan penyiapan grafis.
Promosi sekarang mencakup pemeriksaan prasyarat yang memvalidasi kesiapan forest dan domain untuk pengendali domain baru, menurunkan kemungkinan promosi yang gagal.
Tingkat fungsional forest Windows Server 2012 tidak menerapkan fitur baru dan tingkat fungsional domain hanya diperlukan untuk subset fitur Kerberos baru, menghilangkan administrator dari kebutuhan yang sering untuk lingkungan pengontrol domain yang homogen.
Tujuan dan Manfaat
Perubahan ini mungkin tampak lebih kompleks, tidak lebih sederhana. Namun, dalam mendesain ulang proses penyebaran AD DS, ada kesempatan untuk menyatukan banyak langkah dan praktik terbaik menjadi tindakan yang lebih sedikit dan lebih mudah. Ini berarti, misalnya, bahwa konfigurasi grafis pengontrol domain replika baru sekarang delapan dialog daripada dua belas sebelumnya. Creating a new Active Directory forest requires a single Windows PowerShell command with only one argument: the name of the domain.
Mengapa ada penekanan seperti itu pada Windows PowerShell di Windows Server 2012? Seiring berkembangnya komputasi terdistribusi, Windows PowerShell memungkinkan satu mesin untuk konfigurasi dan pemeliharaan dari antarmuka grafis dan baris perintah. Ini mengizinkan pembuatan skrip dengan fitur penuh dari komponen apa pun dengan kewarganegaraan kelas satu yang sama untuk Profesional IT yang diberikan API kepada pengembang. Ketika komputasi berbasis cloud menjadi di mana-mana, Windows PowerShell juga akhirnya membawa kemampuan untuk mengelola server dari jarak jauh, di mana komputer tanpa antarmuka grafis memiliki kemampuan manajemen yang sama dengan yang memiliki monitor dan mouse.
Administrator AD DS veteran harus menemukan pengetahuan mereka sebelumnya sangat relevan. Administrator awal akan menemukan kurva pembelajaran yang jauh lebih dangkal.
Technical Overview
Apa yang Harus Anda Ketahui Sebelum Memulai
Topik ini mengasumsikan keakraban dengan rilis Layanan Domain Direktori Aktif sebelumnya, dan tidak memberikan detail dasar sekeliling tujuan dan fungsionalitas mereka. Untuk informasi selengkapnya tentang AD DS, lihat halaman Portal TechNet yang ditautkan di bawah ini:
Functional Descriptions
Penginstalan Peran AD DS
Penginstalan Active Directory Domain Services menggunakan Server Manager dan Windows PowerShell, seperti semua peran dan fitur server lainnya di Windows Server 2012. Program Dcpromo.exe tidak lagi menyediakan opsi konfigurasi GUI.
Anda menggunakan wizard grafis di Manajer Server atau modul ServerManager untuk Windows PowerShell di penginstalan lokal dan jarak jauh. Dengan menjalankan beberapa instans wizard atau cmdlet tersebut dan menargetkan server yang berbeda, Anda dapat menyebarkan AD DS ke beberapa pengontrol domain secara bersamaan, semuanya dari satu konsol tunggal. Meskipun fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi yang lebih lama, Anda juga masih dapat menggunakan aplikasi Dism.exe yang diperkenalkan di Windows Server 2008 R2 untuk penginstalan peran lokal dari baris perintah klasik.
Konfigurasi Peran AD DS
Konfigurasi Active Directory Domain Services " yang sebelumnya dikenal sebagai DCPROMO " sekarang merupakan operasi diskrit dari penginstalan peran. Setelah menginstal peran AD DS, administrator mengonfigurasi server sebagai pengontrol domain menggunakan wizard terpisah dalam Manajer Server atau menggunakan modul ADDSDeployment Windows PowerShell.
Konfigurasi peran AD DS dibangun berdasarkan pengalaman lapangan dua belas tahun dan sekarang mengonfigurasi pengendali domain berdasarkan praktik terbaik Microsoft terbaru. Misalnya, Sistem Nama Domain dan Katalog Global diinstal secara default pada setiap pengendali domain.
Wizard konfigurasi AD DS Manajer Server menggabungkan banyak dialog individual menjadi lebih sedikit permintaan dan tidak lagi menyembunyikan pengaturan dalam mode "tingkat lanjut". Seluruh proses promosi berada dalam satu kotak dialog perluasan selama penginstalan. Wizard dan modul ADDSDeployment Windows PowerShell menunjukkan kepada Anda perubahan penting dan masalah keamanan, dengan tautan ke informasi lebih lanjut.
Dcpromo.exe tetap berada di Windows Server 2012 hanya untuk penginstalan tanpa pengawas baris perintah, dan tidak lagi menjalankan wizard penginstalan grafis. Sangat disarankan agar Anda menghentikan penggunaan Dcpromo.exe untuk penginstalan tanpa pengawas dan menggantinya dengan modul ADDSDeployment, karena executable yang sekarang tidak digunakan lagi tidak akan disertakan dalam versi Windows berikutnya.
Fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi yang lebih lama.
Important
Dcpromo.exe tidak lagi berisi wizard grafis dan tidak lagi menginstal peran atau biner fitur. Mencoba menjalankan Dcpromo.exe dari shell Explorer mengembalikan:
"Wizard Penginstalan Layanan Domain Direktori Aktif direlokasi di Manajer Server. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220921."
Mencoba menjalankan Dcpromo.exe /unattend masih menginstal biner, seperti pada sistem operasi sebelumnya, tetapi memperingatkan:
"Operasi dcpromo tanpa pengawas digantikan oleh modul ADDSDeployment untuk Windows PowerShell. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220924."
Windows Server 2012 tidak digunakan lagi dcpromo.exe dan tidak akan disertakan dengan versi Windows di masa mendatang, juga tidak akan menerima peningkatan lebih lanjut dalam sistem operasi ini. Administrator harus menghentikan penggunaannya dan beralih ke modul Windows PowerShell yang didukung jika mereka ingin membuat pengontrol domain dari baris perintah.
Prerequisite Checking
Konfigurasi pengendali domain juga menerapkan fase pemeriksaan prasyarat yang mengevaluasi forest dan domain sebelum melanjutkan promosi pengendali domain. Ini termasuk ketersediaan peran FSMO, hak istimewa pengguna, kompatibilitas skema yang diperluas, dan persyaratan lainnya. Desain baru ini meringankan masalah di mana promosi pengendali domain dimulai dan kemudian berhenti di tengah jalan dengan kesalahan konfigurasi yang fatal. Ini mengurangi kemungkinan metadata pengontrol domain yatim piatu di forest atau server yang salah percaya itu adalah pengendali domain.
Menyebarkan Forest dengan Manajer Server
Bagian ini menjelaskan cara menginstal pengontrol domain pertama di domain akar forest menggunakan Manajer Server pada komputer Windows Server 2012 grafis.
Proses Penginstalan Peran AD DS Manajer Server
Diagram di bawah ini mengilustrasikan proses penginstalan peran Active Directory Domain Services, dimulai dengan Anda menjalankan ServerManager.exe dan berakhir tepat sebelum promosi pengendali domain.
Kumpulan Server dan Tambahkan Peran
Komputer Windows Server 2012 apa pun yang dapat diakses dari komputer yang menjalankan Manajer Server memenuhi syarat untuk pengumpulan. Setelah dikumpulkan, Anda memilih server tersebut untuk penginstalan jarak jauh AD DS atau opsi konfigurasi lain yang mungkin dalam Manajer Server.
Untuk menambahkan server, pilih salah satu hal berikut ini:
Klik Tambahkan Server Lain untuk Mengelola pada petak sambutan dasbor
Click the Manage menu and select Add Servers
Right-click All Servers and choose Add Servers
Ini memunculkan dialog Tambahkan Server:
Ini memberi Anda tiga cara untuk menambahkan server ke kumpulan untuk digunakan atau dikelompokkan:
Pencarian Direktori Aktif (menggunakan LDAP, mengharuskan komputer milik domain, memungkinkan pemfilteran sistem operasi dan mendukung kartubebas)
Pencarian DNS (menggunakan alias DNS atau alamat IP melalui arp atau siaran NetBIOS atau pencarian WINS, tidak mengizinkan pemfilteran sistem operasi atau mendukung wildcard)
Impor (menggunakan daftar file teks server yang dipisahkan oleh CR/LF)
Click Find Now to return a list of servers from that same Active Directory domain that the computer is joined to, Click one or more server names from the list of servers. Click the right arrow to add the servers to the Selected list. Use the Add Servers dialog to add selected servers to dashboard role groups. Or Click Manage, and then click Create Server Group, or click Create Server Group on the dashboard Welcome to Server Manager tile to create custom server groups.
Note
Prosedur Tambahkan Server tidak memvalidasi bahwa server sedang online atau dapat diakses. Namun, setiap bendera server yang tidak dapat dijangkau dalam tampilan Pengelolaan di Manajer Server pada refresh berikutnya
Anda dapat menginstal peran dari jarak jauh pada komputer Windows Server 2012 yang ditambahkan kumpulan, seperti yang ditunjukkan:
Anda tidak dapat sepenuhnya mengelola server yang menjalankan sistem operasi yang lebih lama dari Windows Server 2012. Pilihan Tambahkan Peran dan Fitur menjalankan ServerManager Windows PowerShell Module Install-WindowsFeature.
Anda juga dapat menggunakan Dasbor Manajer Server pada pengendali domain yang ada untuk memilih penginstalan AD DS server jarak jauh dengan peran yang sudah dipilih sebelumnya dengan mengklik kanan petak dasbor AD DS dan memilih Tambahkan AD DS ke Server Lain. This is invoking Install-WindowsFeature AD-Domain-Services.
Komputer yang Anda jalankan Manajer Server pada kumpulan itu sendiri secara otomatis. To install the AD DS role here, simply click the Manage menu and click Add Roles and Features.
Installation Type
The Installation Type dialog provides an option that does not support Active Directory Domain Services: the Remote Desktop Services scenario based-installation. Opsi itu hanya memungkinkan Layanan Desktop Jauh dalam beban kerja terdistribusi multi-server. Jika Anda memilihnya, AD DS tidak dapat menginstal.
Selalu biarkan pilihan default di tempat saat menginstal AD DS: Penginstalan berbasis peran atau Berbasis fitur.
Server Selection
The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Server lokal yang menjalankan Manajer Server tersedia secara otomatis.
Selain itu, Anda dapat memilih file Hyper-V VHD offline dengan sistem operasi Windows Server 2012 dan Manajer Server menambahkan peran kepada mereka secara langsung melalui layanan komponen. Ini memungkinkan Anda untuk menyediakan server virtual dengan komponen yang diperlukan sebelum mengonfigurasinya lebih lanjut.
Peran dan Fitur Server
Pilih peran Active Directory Domain Services jika Anda ingin mempromosikan pengendali domain. Semua fitur administrasi Direktori Aktif dan layanan yang diperlukan diinstal secara otomatis, bahkan jika mereka sebagian besar dari peran lain atau tidak muncul dipilih di antarmuka Manajer Server.
Server Manager also presents an informational dialog that shows which management features this role implicitly installs; this is equivalent to the -IncludeManagementTools argument.
Additional Features can be added here as desired.
Active Directory Domain Services
Dialog Active Directory Domain Services menyediakan informasi terbatas tentang persyaratan dan praktik terbaik. Ini terutama bertindak sebagai konfirmasi bahwa Anda memilih peran AD DS " jika layar ini tidak muncul, Anda tidak memilih AD DS.
Confirmation
The Confirmation dialog is the final checkpoint before role installation starts. Ini menawarkan opsi untuk menghidupkan ulang komputer sesuai kebutuhan setelah penginstalan peran, tetapi penginstalan AD DS tidak memerlukan boot ulang.
By clicking Install, you confirm you are ready to begin role installation. Anda tidak dapat membatalkan penginstalan peran setelah dimulai.
Results
The Results dialog shows the current installation progress and current installation status. Penginstalan peran berlanjut terlepas dari apakah Manajer Server ditutup.
Memverifikasi hasil penginstalan masih merupakan praktik terbaik. If you close the Results dialog before installation completes, you can check the results using the Server Manager notification flag. Manajer Server juga menunjukkan pesan peringatan untuk server apa pun yang telah menginstal peran AD DS tetapi tidak dikonfigurasi lebih lanjut sebagai pengontrol domain.
Task Notifications
Detail AD DS
Task Details
Promosikan ke Pengendali Domain
Di akhir penginstalan peran AD DS, Anda dapat melanjutkan konfigurasi dengan menggunakan tautan Promosikan server ini ke pengendali domain. Ini diperlukan untuk menjadikan server pengontrol domain, tetapi tidak perlu menjalankan wizard konfigurasi segera. Misalnya, Anda mungkin hanya ingin menyediakan server dengan biner AD DS sebelum mengirimkannya ke kantor cabang lain untuk konfigurasi nanti. Dengan menambahkan peran AD DS sebelum pengiriman, Anda menghemat waktu saat mencapai tujuannya. Anda juga mengikuti praktik terbaik untuk tidak membuat pengendali domain tetap offline selama ber hari atau minggu. Terakhir, ini memungkinkan Anda memperbarui komponen sebelum promosi pengontrol domain, menghemat Anda setidaknya satu reboot berikutnya.
Selecting this link later invokes the ADDSDeployment cmdlets: install-addsforest, install-addsdomain, or install-addsdomaincontroller.
Uninstalling/Disabling
Anda menghapus peran AD DS seperti peran lain, terlepas dari apakah Anda mempromosikan server ke pengendali domain. Namun, menghapus peran AD DS memerlukan hidupkan ulang setelah selesai.
Penghapusan peran Active Directory Domain Services berbeda dari penginstalan, karena memerlukan demosi pengendali domain sebelum dapat selesai. Ini diperlukan untuk mencegah pengendali domain menghapus biner perannya tanpa pembersihan metadata yang tepat di forest. Untuk informasi selengkapnya, lihat Menurunkan Pengontrol dan Domain Domain (Tingkat 200).
Warning
Menghapus peran AD DS dengan Dism.exe atau modul WINDOWS PowerShell DISM setelah promosi ke Pengendali Domain tidak didukung dan akan mencegah server melakukan booting secara normal.
Tidak seperti Manajer Server atau modul Penyebaran AD DS untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Jangan gunakan Dism.exe atau modul WINDOWS PowerShell DISM untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengendali domain.
Membuat Domain Akar Hutan AD DS dengan Manajer Server
Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services, dalam kasus di mana Anda sebelumnya telah menginstal peran AD DS dan memulai Wizard Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server.
Deployment Configuration
Server Manager begins every domain controller promotion with the Deployment Configuration page. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk membuat forest Direktori Aktif baru, klik Tambahkan forest baru. You must provide a valid root domain name; the name cannot be single-labeled (for example, the name must be contoso.com or similar and not just contoso) and must use allowed DNS domain naming requirements.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Warning
Jangan membuat forest Direktori Aktif baru dengan nama yang sama dengan nama DNS eksternal. Misalnya, jika URL DNS Internet Anda adalah https://contoso.com, Anda harus memilih nama yang berbeda untuk forest internal Anda untuk menghindari masalah kompatibilitas di masa mendatang. Nama tersebut harus unik dan tidak mungkin untuk lalu lintas web. Misalnya: corp.contoso.com.
Forest baru tidak memerlukan kredensial baru untuk akun Administrator domain. Proses promosi pengendali domain menggunakan kredensial akun Administrator bawaan dari pengendali domain pertama yang digunakan untuk membuat akar forest. Tidak ada cara (secara default) untuk menonaktifkan atau mengunci akun Administrator bawaan dan mungkin satu-satunya titik masuk ke dalam forest jika akun domain administratif lainnya tidak dapat digunakan. Sangat penting untuk mengetahui kata sandi sebelum menyebarkan forest baru.
DomainName requires a valid fully qualified domain DNS name and is required.
Opsi Pengendali Domain
Opsi Pengendali Domain memungkinkan Anda mengonfigurasi tingkat fungsional forest dan tingkat fungsional domain untuk domain akar forest baru. Secara default, pengaturan ini adalah Windows Server 2012 di domain akar forest baru. Tingkat fungsional forest Windows Server 2012 tidak menyediakan fungsionalitas baru melalui tingkat fungsional forest Windows Server 2008 R2. Tingkat fungsional domain Windows Server 2012 hanya diperlukan untuk mengimplementasikan pengaturan Kerberos baru "selalu berikan klaim" dan "Gagalkan permintaan autentikasi yang tidak diamorasi." Penggunaan utama untuk tingkat fungsional di Windows Server 2012 adalah membatasi partisipasi dalam domain ke pengendali domain yang memenuhi persyaratan sistem operasi minimum yang diizinkan. Dengan kata lain, Anda dapat menentukan tingkat fungsional domain Windows Server 2012 hanya pengontrol domain yang menjalankan Windows Server 2012 yang dapat menghosting domain. Windows Server 2012 implements a new domain controller flag called DS_WIN8_REQUIRED in the DSGetDcName function of NetLogon that exclusively locates Windows Server 2012 domain controllers. Ini memungkinkan Anda fleksibilitas forest yang lebih homogen atau heterogen dalam hal sistem operasi mana yang diizinkan untuk dijalankan pada pengendali domain.
Untuk informasi selengkapnya tentang Lokasi pengendali domain, tinjau Fungsi Layanan Direktori.
Satu-satunya kemampuan pengendali domain yang dapat dikonfigurasi adalah opsi server DNS. Microsoft menyarankan agar semua pengendali domain menyediakan layanan DNS untuk ketersediaan tinggi di lingkungan terdistribusi, itulah sebabnya opsi ini dipilih secara default saat menginstal pengendali domain dalam mode atau domain apa pun. Katalog Global dan opsi pengontrol domain baca saja tidak tersedia saat membuat domain akar forest baru; pengendali domain pertama harus GC, dan tidak dapat menjadi pengendali domain baca saja (RODC).
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server, yang secara default tidak memerlukan kata sandi yang kuat; hanya yang tidak kosong. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.
Opsi DNS dan Kredensial Delegasi DNS
The DNS Options page enables you to configure DNS delegation and provide alternate DNS administrative credentials.
You cannot configure DNS options or delegation in the Active Directory Domain Services Configuration Wizard when installing a new Active Directory Forest Root Domain where you selected the DNS server on the Domain Controller Options page. Opsi Buat delegasi DNS tersedia saat membuat zona DNS akar forest baru di infrastruktur server DNS yang sudah ada. Opsi ini memungkinkan Anda untuk memberikan kredensial administratif DNS alternatif yang memiliki hak untuk memperbarui zona DNS.
Untuk informasi selengkapnya tentang apakah Anda perlu membuat delegasi DNS, lihat Memahami Delegasi Zona.
Additional Options
The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Misalnya, jika Anda memberikan nama domain corp.contoso.com yang sepenuhnya memenuhi syarat, nama domain NetBIOS default adalah CORP.
Jika namanya 15 karakter atau kurang dan tidak bertentangan dengan nama NetBIOS lain, nama tersebut tidak diubah. Jika berkonflik dengan nama NetBIOS lain, angka ditambahkan ke nama tersebut. Jika namanya lebih dari 15 karakter, wizard menyediakan saran unik yang terpotong. Dalam kedua kasus, wizard terlebih dahulu memvalidasi nama belum digunakan melalui pencarian WINS dan siaran NetBIOS.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Paths
The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Lokasi default selalu dalam subdirektori %systemroot% (yaitu C:\Windows).
Tinjau Opsi dan Tampilkan Skrip
The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Ini bukan kesempatan terakhir untuk menghentikan penginstalan saat menggunakan Manajer Server. Ini hanyalah opsi untuk mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi
The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. For example:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.
Prerequisites Check
The Prerequisites Check is a new feature in AD DS domain configuration. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung forest AD DS baru.
Saat menginstal domain akar forest baru, Wizard Konfigurasi Layanan Domain Direktori Aktif Manajer Server memanggil serangkaian pengujian modular. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.
The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.
For more information on the specific prerequisite checks, see Prerequisite Checking.
Installation
When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
Anda dapat menjalankan beberapa penginstalan peran dan wizard konfigurasi AD DS dari konsol Server Manager yang sama secara bersamaan.
Results
The Results page shows the success or failure of the promotion and any important administrative information. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.
Menyebarkan Forest dengan Windows PowerShell
Bagian ini menjelaskan cara menginstal pengendali domain pertama di domain akar forest menggunakan Windows PowerShell pada komputer Core Windows Server 2012.
Proses Penginstalan Peran Ad DS Windows PowerShell
Dengan menerapkan beberapa cmdlet penyebaran ServerManager langsung ke dalam proses penyebaran Anda, Anda lebih mewujudkan visi administrasi yang disederhanakan AD DS.
The next figure illustrates the Active Directory Domain Services role installation process, beginning with you running PowerShell.exe and ending right before the promotion of the domain controller.
| ServerManager Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
While not required, the argument -IncludeManagementTools is highly recommended when installing the AD DS role binaries
Modul ServerManager mengekspos bagian penginstalan, status, dan penghapusan peran modul DISM baru untuk Windows PowerShell. Lapisan ini menyederhanakan tugas terbanyak dan mengurangi kebutuhan untuk penggunaan langsung modul DISM yang kuat (tetapi berbahaya saat disalahgunakan).
Use Get-Command to export the aliases and cmdlets in ServerManager.
Get-Command -module ServerManager
For example:
To add the Active Directory Domain Services role, simply run the Install-WindowsFeature with the AD DS role name as an argument. Seperti Manajer Server, semua layanan yang diperlukan implisit ke penginstalan peran AD DS secara otomatis.
Install-WindowsFeature -name AD-Domain-Services
If you also want the AD DS management tools installed - and this is highly recommended - then provide the -IncludeManagementTools argument:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
For example:
To list all features and roles with their installation status, use Get-WindowsFeature without arguments. Specify -ComputerName argument for the installation status from a remote server.
Get-WindowsFeature
Because Get-WindowsFeature does not have a filtering mechanism, you must use Where-Object with a pipeline to find specific features. Alur adalah saluran yang digunakan antara beberapa cmdlet untuk meneruskan data dan cmdlet Where-Object bertindak sebagai filter. The built-in $_ variable acts as the current object passing through the pipeline with any properties it may contain.
Get-WindowsFeature | where-object <options>
For example, to find all features containing "Active Dir" in their Display Name property, use:
Get-WindowsFeature | where displayname -like "*active dir*"
Contoh lebih lanjut yang diilustrasikan di bawah ini:
Untuk informasi selengkapnya tentang operasi Windows PowerShell dengan alur dan Where-Object, lihat Piping dan Alur di Windows PowerShell.
Perhatikan juga bahwa Windows PowerShell 3.0 secara signifikan menyederhanakan argumen baris perintah yang diperlukan dalam operasi alur ini. Windows PowerShell 2.0 akan memerlukan:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Dengan menggunakan alur Windows PowerShell, Anda dapat membuat hasil yang dapat dibaca. For example:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Note how using the Select-Object cmdlet with the -expandproperty argument returns interesting data:
Note
The Select-Object -expandproperty argument slows down overall installation performance slightly.
Membuat Domain Akar Forest AD DS dengan Windows PowerShell
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsforest
The Install-AddsForest cmdlet only has two phases (prerequisite checking and installation). The two figures below show the installation phase with the minimum required argument of -domainname.
| ADDSDeployment Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
The -DomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.
The equivalent Server Manager Deployment Configuration ADDSDeployment cmdlet and arguments are:
Install-ADDSForest
-DomainName <string>
Argumen cmdlet ADDSDeployment Opsi Pengendali Domain Manajer Server yang setara adalah:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
The Install-ADDSForest arguments follow the same defaults as Server Manager if not specified.
The SafeModeAdministratorPassword argument's operation is special:
If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat forest baru bernama corp.contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi bertopeng:
Install-ADDSForest "DomainName corp.contoso.comJika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. For example:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest Direktori Aktif. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Cmdlet ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Anda tidak dapat melewati opsi konfigurasi ini saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda menginstal peran Server DNS sebelum mengonfigurasi pengontrol domain:
-SkipAutoConfigureDNS
The DomainNetBIOSName operation is also special:
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.
Argumen cmdlet ADDSDeployment Opsi Tambahan Manajer Server yang setara adalah:
-domainnetbiosname <string>
The equivalent Server Manager Paths ADDSDeployment cmdlet arguments are:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Ini memungkinkan Anda melihat nilai eksplisit dan implisit dari argumen cmdlet.
For example:
You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:
-skipprechecks
Warning
Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.
Note how, just like Server Manager, Install-ADDSForest reminds you that promotion will reboot the server automatically.
To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.
Warning
Mengambil alih boot ulang tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar.
See Also
Active Directory Domain Services (TechNet Portal)Active Directory Domain Services untuk Windows Server 2008 R2Active Directory Domain Services untuk Windows Server 2008Windows Server Technical Reference (Windows Server 2003)Active Directory Administrative Center: Memulai (Windows Server 2008 R2)Administrasi Direktori Aktif dengan Windows PowerShell (Windows Server 2008 R2)Tanyakan kepada Tim Layanan Direktori (Blog Dukungan Teknis Komersial Microsoft Resmi)