Menginstal Forest Direktori Aktif Windows Server 2012 Baru (Tingkat 200)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Topik ini menjelaskan fitur promosi pengendali domain Windows Server 2012 Active Directory Domain Services baru pada tingkat pengantar. Di Windows Server 2012, AD DS mengganti alat Dcpromo dengan Manajer Server dan sistem penyebaran berbasis Windows PowerShell.
Administrasi Yang Disederhanakan Active Directory Domain Services
Windows Server 2012 memperkenalkan Administrasi Sederhana Active Directory Domain Services generasi berikutnya, dan merupakan re-visi domain paling radikal sejak Windows 2000 Server. Ad DS Simplified Administration mengambil pelajaran yang dipelajari dari dua belas tahun Active Directory dan membuat pengalaman administratif yang lebih mendukung, lebih fleksibel, dan lebih intuitif bagi arsitek dan administrator. Ini berarti menciptakan versi baru teknologi yang ada serta memperluas kemampuan komponen yang dirilis di Windows Server 2008 R2.
Apa itu Administrasi Yang Disederhanakan AD DS?
Administrasi Yang Disederhanakan AD DS adalah penentu ulang penyebaran domain. Beberapa fitur tersebut meliputi:
Penyebaran peran AD DS sekarang menjadi bagian dari arsitektur Manajer Server baru dan memungkinkan penginstalan jarak jauh.
Mesin penyebaran dan konfigurasi AD DS sekarang menjadi Windows PowerShell, bahkan saat menggunakan penyiapan grafis.
Promosi sekarang mencakup pemeriksaan prasyarat yang memvalidasi kesiapan forest dan domain untuk pengendali domain baru, menurunkan kemungkinan promosi yang gagal.
Tingkat fungsional forest Windows Server 2012 tidak menerapkan fitur baru dan tingkat fungsional domain hanya diperlukan untuk subset fitur Kerberos baru, menghilangkan administrator dari kebutuhan yang sering untuk lingkungan pengontrol domain yang homogen.
Tujuan dan Manfaat
Perubahan ini mungkin tampak lebih kompleks, tidak lebih sederhana. Namun, dalam mendesain ulang proses penyebaran AD DS, ada kesempatan untuk menyatukan banyak langkah dan praktik terbaik menjadi tindakan yang lebih sedikit dan lebih mudah. Ini berarti, misalnya, bahwa konfigurasi grafis pengontrol domain replika baru sekarang delapan dialog daripada dua belas sebelumnya. Membuat forest Direktori Aktif baru memerlukan satu perintah Windows PowerShell hanya dengan satu argumen: nama domain.
Mengapa ada penekanan seperti itu pada Windows PowerShell di Windows Server 2012? Seiring berkembangnya komputasi terdistribusi, Windows PowerShell memungkinkan satu mesin untuk konfigurasi dan pemeliharaan dari antarmuka grafis dan baris perintah. Ini mengizinkan pembuatan skrip dengan fitur penuh dari komponen apa pun dengan kewarganegaraan kelas satu yang sama untuk Profesional IT yang diberikan API kepada pengembang. Ketika komputasi berbasis cloud menjadi di mana-mana, Windows PowerShell juga akhirnya membawa kemampuan untuk mengelola server dari jarak jauh, di mana komputer tanpa antarmuka grafis memiliki kemampuan manajemen yang sama dengan yang memiliki monitor dan mouse.
Administrator AD DS veteran harus menemukan pengetahuan mereka sebelumnya sangat relevan. Administrator awal akan menemukan kurva pembelajaran yang jauh lebih dangkal.
Gambaran Umum Teknis
Apa yang Harus Anda Ketahui Sebelum Memulai
Topik ini mengasumsikan keakraban dengan rilis Layanan Domain Direktori Aktif sebelumnya, dan tidak memberikan detail dasar sekeliling tujuan dan fungsionalitas mereka. Untuk informasi selengkapnya tentang AD DS, lihat halaman Portal TechNet yang ditautkan di bawah ini:
Deskripsi Fungsi
Penginstalan Peran AD DS
Penginstalan Active Directory Domain Services menggunakan Server Manager dan Windows PowerShell, seperti semua peran dan fitur server lainnya di Windows Server 2012. Program Dcpromo.exe tidak lagi menyediakan opsi konfigurasi GUI.
Anda menggunakan wizard grafis di Manajer Server atau modul ServerManager untuk Windows PowerShell di penginstalan lokal dan jarak jauh. Dengan menjalankan beberapa instans wizard atau cmdlet tersebut dan menargetkan server yang berbeda, Anda dapat menyebarkan AD DS ke beberapa pengontrol domain secara bersamaan, semuanya dari satu konsol tunggal. Meskipun fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi sebelumnya, Anda juga masih dapat menggunakan aplikasi Dism.exe yang diperkenalkan di Windows Server 2008 R2 untuk penginstalan peran lokal dari baris perintah klasik.
Konfigurasi Peran AD DS
Konfigurasi Active Directory Domain Services " yang sebelumnya dikenal sebagai DCPROMO " sekarang merupakan operasi diskrit dari penginstalan peran. Setelah menginstal peran AD DS, administrator mengonfigurasi server sebagai pengontrol domain menggunakan wizard terpisah dalam Manajer Server atau menggunakan modul ADDSDeployment Windows PowerShell.
Konfigurasi peran AD DS dibangun berdasarkan pengalaman lapangan dua belas tahun dan sekarang mengonfigurasi pengendali domain berdasarkan praktik terbaik Microsoft terbaru. Misalnya, Sistem Nama Domain dan Katalog Global diinstal secara default pada setiap pengendali domain.
Wizard konfigurasi AD DS Manajer Server menggabungkan banyak dialog individual menjadi lebih sedikit permintaan dan tidak lagi menyembunyikan pengaturan dalam mode "tingkat lanjut". Seluruh proses promosi berada dalam satu kotak dialog perluasan selama penginstalan. Wizard dan modul ADDSDeployment Windows PowerShell menunjukkan kepada Anda perubahan penting dan masalah keamanan, dengan tautan ke informasi lebih lanjut.
Dcpromo.exe tetap berada di Windows Server 2012 hanya untuk penginstalan tanpa pengawas baris perintah, dan tidak lagi menjalankan wizard penginstalan grafis. Sangat disarankan agar Anda menghentikan penggunaan Dcpromo.exe untuk penginstalan tanpa pengawas dan menggantinya dengan modul ADDSDeployment, karena eksekusi yang sekarang tidak digunakan lagi tidak akan disertakan dalam versi Windows berikutnya.
Fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi yang lebih lama.
Penting
Dcpromo.exe tidak lagi berisi wizard grafis dan tidak lagi menginstal peran atau biner fitur. Mencoba menjalankan Dcpromo.exe dari shell Explorer mengembalikan:
"Wizard Penginstalan Layanan Domain Direktori Aktif direlokasi di Manajer Server. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220921."
Mencoba menjalankan Dcpromo.exe /unattend masih menginstal biner, seperti pada sistem operasi sebelumnya, tetapi memperingatkan:
"Operasi dcpromo tanpa pengawas digantikan oleh modul ADDSDeployment untuk Windows PowerShell. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220924."
Windows Server 2012 menghentikan dcpromo.exe dan tidak akan disertakan dengan versi Windows di masa mendatang, juga tidak akan menerima peningkatan lebih lanjut dalam sistem operasi ini. Administrator harus menghentikan penggunaannya dan beralih ke modul Windows PowerShell yang didukung jika mereka ingin membuat pengontrol domain dari baris perintah.
Pemeriksaan Prasyarat
Konfigurasi pengendali domain juga menerapkan fase pemeriksaan prasyarat yang mengevaluasi forest dan domain sebelum melanjutkan promosi pengendali domain. Ini termasuk ketersediaan peran FSMO, hak istimewa pengguna, kompatibilitas skema yang diperluas, dan persyaratan lainnya. Desain baru ini meringankan masalah di mana promosi pengendali domain dimulai dan kemudian berhenti di tengah jalan dengan kesalahan konfigurasi yang fatal. Ini mengurangi kemungkinan metadata pengontrol domain yatim piatu di forest atau server yang salah percaya itu adalah pengendali domain.
Menyebarkan Forest dengan Manajer Server
Bagian ini menjelaskan cara menginstal pengontrol domain pertama di domain akar forest menggunakan Manajer Server pada komputer Windows Server 2012 grafis.
Proses Penginstalan Peran AD DS Manajer Server
Diagram di bawah ini mengilustrasikan proses penginstalan peran Active Directory Domain Services, dimulai dengan Anda menjalankan ServerManager.exe dan berakhir tepat sebelum promosi pengendali domain.
Kumpulan Server dan Tambahkan Peran
Komputer Windows Server 2012 apa pun yang dapat diakses dari komputer yang menjalankan Manajer Server memenuhi syarat untuk pengumpulan. Setelah dikumpulkan, Anda memilih server tersebut untuk penginstalan jarak jauh AD DS atau opsi konfigurasi lain yang mungkin dalam Manajer Server.
Untuk menambahkan server, pilih salah satu hal berikut ini:
Klik Tambahkan Server Lain untuk Mengelola pada petak sambutan dasbor
Klik menu Kelola dan pilih Tambahkan Server
Klik kanan Semua Server dan pilih Tambahkan Server
Ini memunculkan dialog Tambahkan Server:
Ini memberi Anda tiga cara untuk menambahkan server ke kumpulan untuk digunakan atau dikelompokkan:
Pencarian Direktori Aktif (menggunakan LDAP, mengharuskan komputer milik domain, memungkinkan pemfilteran sistem operasi dan mendukung kartubebas)
Pencarian DNS (menggunakan alias DNS atau alamat IP melalui arp atau siaran NetBIOS atau pencarian WINS, tidak mengizinkan pemfilteran sistem operasi atau mendukung wildcard)
Impor (menggunakan daftar file teks server yang dipisahkan oleh CR/LF)
Klik Temukan Sekarang untuk mengembalikan daftar server dari domain Direktori Aktif yang sama dengan tempat komputer bergabung, Klik satu atau beberapa nama server dari daftar server. Klik panah kanan untuk menambahkan server ke daftar Dipilih . Gunakan dialog Tambahkan Server untuk menambahkan server yang dipilih ke grup peran dasbor. Atau Klik Kelola, lalu klik Buat Grup Server, atau klik Buat Grup Server di dasbor Selamat Datang di petak Pengelola Server untuk membuat grup server kustom.
Catatan
Prosedur Tambahkan Server tidak memvalidasi bahwa server sedang online atau dapat diakses. Namun, setiap bendera server yang tidak dapat dijangkau dalam tampilan Pengelolaan di Manajer Server pada refresh berikutnya
Anda dapat menginstal peran dari jarak jauh pada komputer Windows Server 2012 yang ditambahkan kumpulan, seperti yang ditunjukkan:
Anda tidak dapat sepenuhnya mengelola server yang menjalankan sistem operasi yang lebih lama dari Windows Server 2012. Pilihan Tambahkan Peran dan Fitur menjalankan ServerManager Windows PowerShell Module Install-WindowsFeature.
Anda juga dapat menggunakan Dasbor Manajer Server pada pengendali domain yang ada untuk memilih penginstalan AD DS server jarak jauh dengan peran yang sudah dipilih sebelumnya dengan mengklik kanan petak dasbor AD DS dan memilih Tambahkan AD DS ke Server Lain. Ini memanggil Install-WindowsFeature AD-Domain-Services.
Komputer yang Anda jalankan Manajer Server pada kumpulan itu sendiri secara otomatis. Untuk menginstal peran AD DS di sini, cukup klik menu Kelola dan klik Tambahkan Peran dan Fitur.
Jenis Penginstalan
Dialog Jenis Penginstalan menyediakan opsi yang tidak mendukung Layanan Domain Direktori Aktif: penginstalan berbasis skenario Layanan Desktop Jarak Jauh. Opsi itu hanya memungkinkan Layanan Desktop Jauh dalam beban kerja terdistribusi multi-server. Jika Anda memilihnya, AD DS tidak dapat menginstal.
Selalu biarkan pilihan default di tempat saat menginstal AD DS: Penginstalan berbasis peran atau Berbasis fitur.
Pemilihan Server
Dialog Pemilihan Server memungkinkan Anda memilih dari salah satu server yang sebelumnya ditambahkan ke kumpulan, selama dapat diakses. Server lokal yang menjalankan Manajer Server tersedia secara otomatis.
Selain itu, Anda dapat memilih file Hyper-V VHD offline dengan sistem operasi Windows Server 2012 dan Manajer Server menambahkan peran kepada mereka secara langsung melalui layanan komponen. Ini memungkinkan Anda untuk menyediakan server virtual dengan komponen yang diperlukan sebelum mengonfigurasinya lebih lanjut.
Peran dan Fitur Server
Pilih peran Active Directory Domain Services jika Anda ingin mempromosikan pengendali domain. Semua fitur administrasi Direktori Aktif dan layanan yang diperlukan diinstal secara otomatis, bahkan jika mereka sebagian besar dari peran lain atau tidak muncul dipilih di antarmuka Manajer Server.
Manajer Server juga menyajikan dialog informasi yang menunjukkan fitur manajemen mana yang secara implisit menginstal peran ini; ini setara dengan argumen -IncludeManagementTools .
Fitur Tambahan dapat ditambahkan di sini sesuai keinginan.
Layanan Domain Active Directory
Dialog Active Directory Domain Services menyediakan informasi terbatas tentang persyaratan dan praktik terbaik. Ini terutama bertindak sebagai konfirmasi bahwa Anda memilih peran AD DS " jika layar ini tidak muncul, Anda tidak memilih AD DS.
Konfirmasi
Dialog Konfirmasi adalah titik pemeriksaan akhir sebelum penginstalan peran dimulai. Ini menawarkan opsi untuk menghidupkan ulang komputer sesuai kebutuhan setelah penginstalan peran, tetapi penginstalan AD DS tidak memerlukan boot ulang.
Dengan mengklik Instal, Anda mengonfirmasi bahwa Anda siap untuk memulai penginstalan peran. Anda tidak dapat membatalkan penginstalan peran setelah dimulai.
Hasil
Dialog Hasil menunjukkan kemajuan penginstalan saat ini dan status penginstalan saat ini. Penginstalan peran berlanjut terlepas dari apakah Manajer Server ditutup.
Memverifikasi hasil penginstalan masih merupakan praktik terbaik. Jika Anda menutup dialog Hasil sebelum penginstalan selesai, Anda dapat memeriksa hasilnya menggunakan bendera pemberitahuan Manajer Server. Manajer Server juga menunjukkan pesan peringatan untuk server apa pun yang telah menginstal peran AD DS tetapi tidak dikonfigurasi lebih lanjut sebagai pengontrol domain.
Pemberitahuan Tugas
Detail AD DS
Detail Tugas
Promosikan ke Pengendali Domain
Di akhir penginstalan peran AD DS, Anda dapat melanjutkan konfigurasi dengan menggunakan tautan Promosikan server ini ke pengendali domain. Ini diperlukan untuk menjadikan server pengontrol domain, tetapi tidak perlu menjalankan wizard konfigurasi segera. Misalnya, Anda mungkin hanya ingin menyediakan server dengan biner AD DS sebelum mengirimkannya ke kantor cabang lain untuk konfigurasi nanti. Dengan menambahkan peran AD DS sebelum pengiriman, Anda menghemat waktu saat mencapai tujuannya. Anda juga mengikuti praktik terbaik untuk tidak membuat pengendali domain tetap offline selama ber hari atau minggu. Terakhir, ini memungkinkan Anda memperbarui komponen sebelum promosi pengontrol domain, menghemat Anda setidaknya satu reboot berikutnya.
Memilih tautan ini nanti memanggil cmdlet ADDSDeployment: install-addsforest, install-addsdomain, atau install-addsdomaincontroller.
Menghapus instalasi/Menonaktifkan
Anda menghapus peran AD DS seperti peran lain, terlepas dari apakah Anda mempromosikan server ke pengendali domain. Namun, menghapus peran AD DS memerlukan hidupkan ulang setelah selesai.
Penghapusan peran Active Directory Domain Services berbeda dari penginstalan, karena memerlukan demosi pengendali domain sebelum dapat selesai. Ini diperlukan untuk mencegah pengendali domain menghapus biner perannya tanpa pembersihan metadata yang tepat di forest. Untuk informasi selengkapnya, lihat Menurunkan Pengontrol dan Domain Domain (Tingkat 200).
Peringatan
Menghapus peran AD DS dengan Dism.exe atau modul WINDOWS PowerShell DISM setelah promosi ke Pengendali Domain tidak didukung dan akan mencegah server melakukan booting secara normal.
Tidak seperti Manajer Server atau modul Penyebaran AD DS untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Jangan gunakan dism.exe atau modul WINDOWS PowerShell DISM untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengendali domain.
Membuat Domain Akar Hutan AD DS dengan Manajer Server
Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services, dalam kasus di mana Anda sebelumnya telah menginstal peran AD DS dan memulai Wizard Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server.
Konfigurasi Penyebaran
Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk membuat forest Direktori Aktif baru, klik Tambahkan forest baru. Anda harus memberikan nama domain akar yang valid; nama tidak dapat diberi label tunggal (misalnya, nama harus contoso.com atau serupa dan bukan hanya contoso) dan harus menggunakan persyaratan penamaan domain DNS yang diizinkan.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Peringatan
Jangan membuat forest Direktori Aktif baru dengan nama yang sama dengan nama DNS eksternal. Misalnya, jika URL DNS Internet Anda adalah https://contoso.com, Anda harus memilih nama yang berbeda untuk forest internal Anda untuk menghindari masalah kompatibilitas di masa mendatang. Nama tersebut harus unik dan tidak mungkin untuk lalu lintas web. Misalnya: corp.contoso.com.
Forest baru tidak memerlukan kredensial baru untuk akun Administrator domain. Proses promosi pengendali domain menggunakan kredensial akun Administrator bawaan dari pengendali domain pertama yang digunakan untuk membuat akar forest. Tidak ada cara (secara default) untuk menonaktifkan atau mengunci akun Administrator bawaan dan mungkin satu-satunya titik masuk ke dalam forest jika akun domain administratif lainnya tidak dapat digunakan. Sangat penting untuk mengetahui kata sandi sebelum menyebarkan forest baru.
DomainName memerlukan nama DNS domain yang sepenuhnya memenuhi syarat dan diperlukan.
Opsi Pengendali Domain
Opsi Pengendali Domain memungkinkan Anda mengonfigurasi tingkat fungsional forest dan tingkat fungsional domain untuk domain akar forest baru. Secara default, pengaturan ini adalah Windows Server 2012 di domain akar forest baru. Tingkat fungsional forest Windows Server 2012 tidak menyediakan fungsionalitas baru melalui tingkat fungsional forest Windows Server 2008 R2. Tingkat fungsional domain Windows Server 2012 hanya diperlukan untuk mengimplementasikan pengaturan Kerberos baru "selalu berikan klaim" dan "Gagalkan permintaan autentikasi yang tidak diamorasi." Penggunaan utama untuk tingkat fungsional di Windows Server 2012 adalah membatasi partisipasi dalam domain ke pengendali domain yang memenuhi persyaratan sistem operasi minimum yang diizinkan. Dengan kata lain, Anda dapat menentukan tingkat fungsional domain Windows Server 2012 hanya pengontrol domain yang menjalankan Windows Server 2012 yang dapat menghosting domain. Windows Server 2012 mengimplementasikan bendera pengendali domain baru yang disebut DS_WIN8_REQUIRED dalam fungsi DSGetDcName netLogon yang secara eksklusif menemukan pengendali domain Windows Server 2012. Ini memungkinkan Anda fleksibilitas forest yang lebih homogen atau heterogen dalam hal sistem operasi mana yang diizinkan untuk dijalankan pada pengendali domain.
Untuk informasi selengkapnya tentang Lokasi pengendali domain, tinjau Fungsi Layanan Direktori.
Satu-satunya kemampuan pengendali domain yang dapat dikonfigurasi adalah opsi server DNS. Microsoft menyarankan agar semua pengendali domain menyediakan layanan DNS untuk ketersediaan tinggi di lingkungan terdistribusi, itulah sebabnya opsi ini dipilih secara default saat menginstal pengendali domain dalam mode atau domain apa pun. Katalog Global dan opsi pengontrol domain baca saja tidak tersedia saat membuat domain akar forest baru; pengendali domain pertama harus GC, dan tidak dapat menjadi pengendali domain baca saja (RODC).
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server, yang secara default tidak memerlukan kata sandi yang kuat; hanya yang tidak kosong. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.
Opsi DNS dan Kredensial Delegasi DNS
Halaman Opsi DNS memungkinkan Anda mengonfigurasi delegasi DNS dan memberikan kredensial administratif DNS alternatif.
Anda tidak dapat mengonfigurasi opsi DNS atau delegasi di Panduan Konfigurasi Layanan Domain Direktori Aktif saat menginstal Domain Akar Hutan Direktori Aktif baru tempat Anda memilih server DNS di halaman Opsi Pengendali Domain. Opsi Buat delegasi DNS tersedia saat membuat zona DNS akar forest baru di infrastruktur server DNS yang sudah ada. Opsi ini memungkinkan Anda untuk memberikan kredensial administratif DNS alternatif yang memiliki hak untuk memperbarui zona DNS.
Untuk informasi selengkapnya tentang apakah Anda perlu membuat delegasi DNS, lihat Memahami Delegasi Zona.
Opsi Tambahan
Halaman Opsi Tambahan memperlihatkan nama NetBIOS domain dan memungkinkan Anda mengambil alihnya. Secara default, nama domain NetBIOS cocok dengan label paling kiri dari nama domain yang sepenuhnya memenuhi syarat yang disediakan pada halaman Konfigurasi Penyebaran. Misalnya, jika Anda memberikan nama domain corp.contoso.com yang sepenuhnya memenuhi syarat, nama domain NetBIOS default adalah CORP.
Jika namanya 15 karakter atau kurang dan tidak bertentangan dengan nama NetBIOS lain, nama tersebut tidak diubah. Jika berkonflik dengan nama NetBIOS lain, angka ditambahkan ke nama tersebut. Jika namanya lebih dari 15 karakter, wizard menyediakan saran unik yang terpotong. Dalam kedua kasus, wizard terlebih dahulu memvalidasi nama belum digunakan melalui pencarian WINS dan siaran NetBIOS.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Jalur
Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi database, dan berbagi SYSVOL. Lokasi default selalu dalam subdirektori %systemroot% (yaitu C:\Windows).
Tinjau Opsi dan Tampilkan Skrip
Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikan mereka memenuhi kebutuhan Anda sebelum Anda memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan saat menggunakan Manajer Server. Ini hanyalah opsi untuk mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi
Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai satu skrip Windows PowerShell. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. Contoh:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Catatan
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword (yang sengaja dihilangkan dari skrip). Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.
Pemeriksaan Prasyarat
Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung forest AD DS baru.
Saat menginstal domain akar forest baru, Wizard Konfigurasi Layanan Domain Direktori Aktif Manajer Server memanggil serangkaian pengujian modular. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.
Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama.
Untuk informasi selengkapnya tentang pemeriksaan prasyarat tertentu, lihat Pemeriksaan Prasyarat.
Penginstalan
Saat halaman Penginstalan ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Catatan
Anda dapat menjalankan beberapa penginstalan peran dan wizard konfigurasi AD DS dari konsol Server Manager yang sama secara bersamaan.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.
Menyebarkan Forest dengan Windows PowerShell
Bagian ini menjelaskan cara menginstal pengendali domain pertama di domain akar forest menggunakan Windows PowerShell pada komputer Core Windows Server 2012.
Proses Penginstalan Peran Ad DS Windows PowerShell
Dengan menerapkan beberapa cmdlet penyebaran ServerManager langsung ke dalam proses penyebaran Anda, Anda lebih mewujudkan visi administrasi yang disederhanakan AD DS.
Gambar berikutnya menggambarkan proses penginstalan peran Active Directory Domain Services, dimulai dengan Anda menjalankan PowerShell.exe dan berakhir tepat sebelum promosi pengendali domain.
| ServerManager Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature | -Nama -Restart -IncludeAllSubFeature -IncludeManagementTools -Sumber -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Catatan
Meskipun tidak diperlukan, argumen -IncludeManagementTools sangat disarankan saat menginstal biner peran AD DS
Modul ServerManager mengekspos bagian penginstalan, status, dan penghapusan peran modul DISM baru untuk Windows PowerShell. Lapisan ini menyederhanakan tugas terbanyak dan mengurangi kebutuhan untuk penggunaan langsung modul DISM yang kuat (tetapi berbahaya saat disalahgunakan).
Gunakan Get-Command untuk mengekspor alias dan cmdlet di ServerManager.
Get-Command -module ServerManager
Contohnya:
Untuk menambahkan peran Active Directory Domain Services, cukup jalankan Install-WindowsFeature dengan nama peran AD DS sebagai argumen. Seperti Manajer Server, semua layanan yang diperlukan implisit ke penginstalan peran AD DS secara otomatis.
Install-WindowsFeature -name AD-Domain-Services
Jika Anda juga ingin alat manajemen AD DS diinstal - dan ini sangat disarankan - maka berikan argumen -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Contohnya:
Untuk mencantumkan semua fitur dan peran dengan status penginstalannya, gunakan Get-WindowsFeature tanpa argumen. Tentukan argumen -ComputerName untuk status penginstalan dari server jarak jauh.
Get-WindowsFeature
Karena Get-WindowsFeature tidak memiliki mekanisme pemfilteran, Anda harus menggunakan Where-Object dengan alur untuk menemukan fitur tertentu. Alur adalah saluran yang digunakan antara beberapa cmdlet untuk meneruskan data dan cmdlet Where-Object bertindak sebagai filter. Variabel $_ bawaan bertindak sebagai objek saat ini yang melewati alur dengan properti apa pun yang mungkin ada di dalamnya.
Get-WindowsFeature | where-object <options>
Misalnya, untuk menemukan semua fitur yang berisi "Active Dir" di properti Nama Tampilan mereka, gunakan:
Get-WindowsFeature | where displayname -like "*active dir*"
Contoh lebih lanjut yang diilustrasikan di bawah ini:
Untuk informasi selengkapnya tentang operasi Windows PowerShell dengan alur dan Where-Object, lihat Piping dan Alur di Windows PowerShell.
Perhatikan juga bahwa Windows PowerShell 3.0 secara signifikan menyederhanakan argumen baris perintah yang diperlukan dalam operasi alur ini. Windows PowerShell 2.0 akan memerlukan:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Dengan menggunakan alur Windows PowerShell, Anda dapat membuat hasil yang dapat dibaca. Contohnya:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Perhatikan cara menggunakan cmdlet Select-Object dengan argumen -expandproperty mengembalikan data yang menarik:
Catatan
Argumen Select-Object -expandproperty sedikit memperlambat performa penginstalan keseluruhan.
Membuat Domain Akar Forest AD DS dengan Windows PowerShell
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsforest
Cmdlet Install-AddsForest hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domainname.
| ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -Brankas ModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Catatan
Argumen -DomainNetBIOSName diperlukan jika Anda ingin mengubah nama 15 karakter yang dihasilkan secara otomatis berdasarkan awalan nama domain DNS atau jika nama melebihi 15 karakter.
Cmdlet dan argumen ADDSDeployment Konfigurasi Penyebaran Manajer Server yang setara adalah:
Install-ADDSForest
-DomainName <string>
Argumen cmdlet ADDSDeployment Opsi Pengendali Domain Manajer Server yang setara adalah:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Argumen Install-ADDSForest mengikuti default yang sama dengan Server Manager jika tidak ditentukan.
Operasi argumen Brankas ModeAdministratorPassword bersifat khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat forest baru bernama corp.contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi bertopeng:
Install-ADDSForest "DomainName corp.contoso.comJika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. Contohnya:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Peringatan
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest Direktori Aktif. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Cmdlet ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Anda tidak dapat melewati opsi konfigurasi ini saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda menginstal peran Server DNS sebelum mengonfigurasi pengontrol domain:
-SkipAutoConfigureDNS
Operasi DomainNetBIOSName juga khusus:
Jika argumen DomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 15 karakter atau kurang, maka promosi berlanjut dengan nama yang dihasilkan secara otomatis.
Jika argumen DomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 16 karakter atau lebih, maka promosi gagal.
Jika argumen DomainNetBIOSName ditentukan dengan nama domain NetBIOS 15 karakter atau lebih sedikit, maka promosi berlanjut dengan nama yang ditentukan.
Jika argumen DomainNetBIOSName ditentukan dengan nama domain NetBIOS 16 karakter atau lebih, maka promosi gagal.
Argumen cmdlet ADDSDeployment Opsi Tambahan Manajer Server yang setara adalah:
-domainnetbiosname <string>
Argumen cmdlet ADDSDeployment Jalur Manajer Server yang setara adalah:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSForest untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit dari argumen cmdlet.
Contohnya:
Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:
-skipprechecks
Peringatan
Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.
Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSForest mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis.
Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .
Peringatan
Mengambil alih boot ulang tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar.
Lihat Juga
Active Directory Domain Services (TechNet Portal)Active Directory Domain Services untuk Windows Server 2008 R2Active Directory Domain Services untuk Windows Server 2008Windows Server Technical Reference (Windows Server 2003)Active Directory Administrative Center: Memulai (Windows Server 2008 R2)Administrasi Direktori Aktif dengan Windows PowerShell (Windows Server 2008 R2)Tanyakan kepada Tim Layanan Direktori (Blog Dukungan Teknis Komersial Microsoft Resmi)
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk