Menginstal Pengontrol Domain Windows Server 2012 Replika di Domain yang Sudah Ada (Tingkat 200)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Topik ini mencakup langkah-langkah yang diperlukan untuk meningkatkan forest atau domain yang ada ke Windows Server 2012, menggunakan Manajer Server atau Windows PowerShell. Ini mencakup cara menambahkan pengendali domain yang menjalankan Windows Server 2012 ke domain yang sudah ada.
Meningkatkan dan Mereplika Alur Kerja
Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services saat sebelumnya Anda menginstal peran AD DS dan Anda telah memulai Panduan Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server untuk membuat pengendali domain baru di domain yang sudah ada.
Mutakhirkan dan Replika Windows PowerShell
ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
---|---|
Install-AddsDomainController | -SkipPreChecks -DomainName -Brankas ModeAdministratorPassword -Sitename -ADPrepCredential -ApplicationPartitionsToReplicate -AllowDomainControllerReinstall -Confirm -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -Force -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoDnsOnNetwork -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -Sitename -SystemKey -SYSVOLPath -UseExistingAccount -Whatif |
Catatan
Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Perusahaan dan Admin Skema (jika Anda meningkatkan forest) atau grup Admin Domain (jika Anda menambahkan DC baru ke domain yang sudah ada).
Penyebaran
Konfigurasi Penyebaran
Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk memutakhirkan forest yang sudah ada atau menambahkan pengontrol domain bisa-tulis ke domain yang sudah ada, klik Tambahkan pengendali domain ke domain yang sudah ada dan klik Pilih untuk Menentukan informasi domain untuk domain ini. Manajer Server meminta kredensial yang valid jika diperlukan.
Memutakhirkan forest memerlukan kredensial yang menyertakan keanggotaan grup di grup Admin Perusahaan dan Admin Skema di Windows Server 2012. Panduan Konfigurasi Layanan Domain Direktori Aktif meminta Anda nanti jika kredensial Anda saat ini tidak memiliki izin atau keanggotaan grup yang memadai.
Proses Adprep otomatis adalah satu-satunya perbedaan operasional antara menambahkan pengendali domain ke domain Windows Server 2012 yang ada dan domain tempat pengendali domain menjalankan versi Windows Server yang lebih lama.
Cmdlet dan argumen ADDSDeployment Konfigurasi Penyebaran adalah:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Pengujian tertentu dilakukan di setiap halaman, beberapa di antaranya berulang nanti sebagai pemeriksaan prasyarat diskrit. Misalnya, jika domain yang dipilih tidak memenuhi tingkat fungsi minimal, Anda tidak perlu melalui promosi ke pemeriksaan prasyarat untuk mengetahui:
Opsi Pengendali Domain
Halaman Opsi Pengendali Domain menentukan kemampuan pengendali domain untuk pengendali domain baru. Kemampuan pengontrol domain yang dapat dikonfigurasi adalah server DNS, Katalog Global, dan pengontrol domain baca-saja. Microsoft menyarankan agar semua pengontrol domain menyediakan layanan DNS dan GC untuk ketersediaan tinggi di lingkungan terdistribusi. GC selalu dipilih secara default dan server DNS dipilih secara default jika domain saat ini menghosting DNS yang sudah ada di DC-nya berdasarkan kueri Start of Authority. Halaman Opsi Pengendali Domain juga memungkinkan Anda memilih nama situs logis Direktori Aktif yang sesuai dari konfigurasi forest. Secara default, situs memilih situs dengan subnet yang paling benar. Jika hanya ada satu situs, situs akan dipilih secara otomatis.
Catatan
Jika server bukan milik subnet Direktori Aktif dan ada lebih dari satu situs Direktori Aktif, tidak ada yang dipilih dan tombol Berikutnya tidak tersedia sampai Anda memilih situs dari daftar.
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.
Argumen ADDSDeployment Opsi Pengendali Domain adalah:
-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>
Penting
Nama situs harus sudah ada ketika disediakan sebagai argumen untuk -sitename. Cmdlet install-AddsDomainController tidak membuat situs. Anda dapat menggunakan cmdlet new-adreplicationsite untuk membuat situs baru.
Operasi argumen Brankas ModeAdministratorPassword bersifat khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat pengontrol domain tambahan di domain treyresearch.net dan diminta untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi:
Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)
Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. Contohnya:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Peringatan
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest Direktori Aktif. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Cmdlet ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Anda tidak dapat melewati opsi konfigurasi ini saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda menginstal peran Server DNS sebelum mengonfigurasi pengontrol domain:
-SkipAutoConfigureDNS
Halaman Opsi Pengendali Domain memperingatkan bahwa Anda tidak dapat membuat pengendali domain baca saja jika pengendali domain yang ada menjalankan Windows Server 2003. Ini diharapkan, dan Anda dapat menutup peringatan.
Opsi DNS dan Kredensial Delegasi DNS
Halaman Opsi DNS memungkinkan Anda mengonfigurasi delegasi DNS jika Anda memilih opsi server DNS di halaman Opsi Pengendali Domain dan jika menunjuk ke zona tempat delegasi DNS diizinkan. Anda mungkin perlu memberikan kredensial alternatif pengguna yang merupakan anggota grup Admin DNS.
Argumen cmdlet ADDSDeployment Opsi DNS adalah:
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Untuk informasi selengkapnya tentang apakah Anda perlu membuat delegasi DNS, lihat Memahami Delegasi Zona.
Opsi Tambahan
Halaman Opsi Tambahan menyediakan opsi konfigurasi untuk memberi nama pengendali domain sebagai sumber replikasi, atau Anda dapat menggunakan pengendali domain apa pun sebagai sumber replikasi.
Anda juga dapat memilih untuk menginstal pengontrol domain menggunakan media yang dicadangkan menggunakan opsi Instal dari media (IFM). Kotak centang Instal dari media menyediakan opsi telusuri setelah dipilih dan Anda harus mengklik Verifikasi untuk memastikan jalur yang disediakan adalah media yang valid. Media yang digunakan oleh opsi IFM dibuat dengan Windows Server Backup atau Ntdsutil.exe dari komputer Windows Server 2012 lain yang ada saja; Anda tidak dapat menggunakan Windows Server 2008 R2 atau sistem operasi sebelumnya untuk membuat media untuk pengendali domain Windows Server 2012. Untuk informasi selengkapnya tentang perubahan dalam IFM, lihat Lampiran Administrasi Yang Disederhanakan. Jika menggunakan media yang dilindungi dengan SYSKEY, Manajer Server meminta kata sandi gambar selama verifikasi.
Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:
-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>
Jalur
Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi database, dan berbagi SYSVOL. Lokasi default selalu berada dalam subdirektori dari %systemroot%.
Argumen cmdlet ADDSDeployment Jalur Direktori Aktif adalah:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Opsi Persiapan
Halaman Opsi Persiapan memberi tahu Anda bahwa konfigurasi AD DS mencakup perluasan Skema (forestprep) dan memperbarui domain (domainprep). Anda hanya melihat halaman ini ketika forest dan domain belum disiapkan oleh penginstalan pengendali domain Windows Server 2012 sebelumnya atau dari menjalankan Adprep.exe secara manual. Misalnya, Panduan Konfigurasi Layanan Domain Direktori Aktif menekan halaman ini jika Anda menambahkan pengendali domain baru ke domain akar hutan Windows Server 2012 yang sudah ada.
Memperluas Skema dan memperbarui domain tidak terjadi saat Anda mengklik Berikutnya. Peristiwa ini hanya terjadi selama fase penginstalan. Halaman ini hanya menghadirkan kesadaran tentang peristiwa yang akan terjadi nanti dalam penginstalan.
Halaman ini juga memvalidasi bahwa kredensial pengguna saat ini adalah anggota grup Admin Skema dan Admin Perusahaan, karena Anda memerlukan keanggotaan dalam grup ini untuk memperluas skema atau menyiapkan domain. Klik Ubah untuk memberikan kredensial pengguna yang memadai jika halaman memberi tahu Anda bahwa kredensial saat ini tidak memberikan izin yang memadai.
Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:
-adprepcredential <pscredential>
Penting
Seperti versi Windows Server sebelumnya, persiapan domain otomatis untuk pengendali domain yang menjalankan Windows Server 2012 tidak menjalankan GPPREP. Jalankan adprep.exe /gpprep secara manual untuk semua domain yang sebelumnya tidak disiapkan untuk Windows Server 2003, Windows Server 2008, atau Windows Server 2008 R2. Anda harus menjalankan GPPrep hanya sekali dalam riwayat domain, bukan dengan setiap peningkatan. Adprep.exe tidak menjalankan /gpprep secara otomatis karena operasinya dapat menyebabkan semua file dan folder di folder SYSVOL direplikasi ulang pada semua pengontrol domain.
RODCPrep otomatis berjalan saat Anda mempromosikan RODC pertama yang tidak ditahapkan di domain. Ini tidak terjadi ketika Anda mempromosikan pengendali domain Windows Server 2012 pertama yang dapat ditulis. Anda juga masih dapat secara manual adprep.exe /rodcprep jika Anda berencana untuk menyebarkan pengontrol domain baca-saja.
Tinjau Opsi dan Tampilkan Skrip
Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikan bahwa pengaturan tersebut memenuhi kebutuhan Anda sebelum Anda memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan menggunakan Manajer Server. Halaman ini hanya memungkinkan Anda meninjau dan mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi.
Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai satu skrip Windows PowerShell. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung.
Contoh:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Catatan
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword . Untuk memaksa permintaan konfirmasi menghilangkan nilai saat menjalankan cmdlet secara interaktif
Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSDomainController untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit argumen untuk cmdlet.
Pemeriksaan Prasyarat
Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa domain dan forest mampu mendukung pengendali domain Windows Server 2012 baru.
Saat menginstal pengontrol domain baru, Wizard Konfigurasi Layanan Domain Direktori Aktif Manajer Server memanggil serangkaian pengujian modular berseri. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.
Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama.
Untuk informasi selengkapnya tentang pemeriksaan prasyarat tertentu, lihat Pemeriksaan Prasyarat.
Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:
-skipprechecks
Peringatan
Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.
Klik Instal untuk memulai proses promosi pengendali domain. Ini adalah kesempatan terakhir untuk membatalkan penginstalan. Anda tidak dapat membatalkan proses promosi setelah dimulai. Komputer akan di-boot ulang secara otomatis di akhir promosi, terlepas dari hasil promosi. Halaman Pemeriksaan Prasyarat menampilkan masalah apa pun yang dihadapi selama proses dan panduan untuk menyelesaikan masalah.
Penginstalan
Saat halaman Penginstalan ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
%systemroot%\debug\adprep\logs
%systemroot%\debug\netsetup.log (jika server berada dalam grup kerja)
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsdomaincontroller
Lihat Meningkatkan dan Replika Windows PowerShell untuk argumen yang diperlukan dan opsional.
Cmdlet Install-AddsDomainController hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domainname dan -credential. Perhatikan bagaimana operasi Adprep terjadi secara otomatis sebagai bagian dari menambahkan pengontrol domain Windows Server 2012 pertama ke forest Windows Server 2003 yang sudah ada:
Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSDomainController mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis. Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .
Peringatan
Mengambil alih boot ulang tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar.
Untuk mengonfigurasi pengendali domain dari jarak jauh menggunakan Windows PowerShell, bungkus cmdlet install-addsdomaincontroller di dalam cmdlet perintah pemanggilan. Ini memerlukan penggunaan kurung kurawal.
invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>
Contoh:
Catatan
Untuk informasi selengkapnya tentang cara kerja penginstalan dan proses Adprep, lihat Pemecahan Masalah Penyebaran Pengendali Domain.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Jika berhasil, pengendali domain akan secara otomatis melakukan boot ulang setelah 10 detik.
Seperti versi Windows Server sebelumnya, persiapan domain otomatis untuk pengendali domain yang menjalankan Windows server 2012 tidak menjalankan GPPREP. Jalankan adprep.exe /gpprep secara manual untuk semua domain yang sebelumnya tidak disiapkan untuk Windows Server 2003, Windows Server 2008, atau Windows Server 2008 R2. Anda harus menjalankan GPPrep hanya sekali dalam riwayat domain, bukan dengan setiap peningkatan. Adprep.exe tidak menjalankan /gpprep secara otomatis karena operasinya dapat menyebabkan semua file dan folder di folder SYSVOL direplikasi ulang pada semua pengontrol domain.