Menginstal Active Directory Domain Services (Tingkat 100)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Topik ini menjelaskan cara menginstal AD DS di Windows Server 2012 dengan menggunakan salah satu metode berikut:
Persyaratan kredensial untuk menjalankan Adprep.exe dan menginstal Active Directory Domain Services
Melakukan Penginstalan RODC Bertahap menggunakan Antarmuka Pengguna Grafis
Persyaratan kredensial untuk menjalankan Adprep.exe dan menginstal Active Directory Domain Services
Kredensial berikut diperlukan untuk menjalankan Adprep.exe dan menginstal AD DS.
Untuk menginstal forest baru, Anda harus masuk sebagai Administrator lokal untuk komputer.
Untuk menginstal domain anak baru atau pohon domain baru, Anda harus masuk sebagai anggota grup Admin Perusahaan.
Untuk menginstal pengontrol domain tambahan di domain yang sudah ada, Anda harus menjadi anggota grup Admin Domain.
Catatan
Jika Anda tidak menjalankan perintah adprep.exe secara terpisah dan Anda menginstal pengendali domain pertama yang menjalankan Windows Server 2012 di domain atau forest yang ada, Anda akan diminta untuk menyediakan kredensial untuk menjalankan perintah Adprep. Persyaratan kredensial adalah sebagai berikut:
Untuk memperkenalkan pengendali domain Windows Server 2012 pertama di forest, Anda perlu menyediakan kredensial untuk anggota grup Admin Perusahaan, grup Admin Skema, dan grup Admin Domain di domain yang menghosting master skema.
Untuk memperkenalkan pengontrol domain Windows Server 2012 pertama di domain, Anda perlu memberikan kredensial untuk anggota grup Admin Domain.
Untuk memperkenalkan pengendali domain baca-saja (RODC) pertama di forest, Anda perlu memberikan kredensial untuk anggota grup Admin Perusahaan.
Catatan
Jika Anda telah menjalankan adprep /rodcprep di Windows Server 2008 atau Windows Server 2008 R2, Anda tidak perlu menjalankannya lagi untuk Windows Server 2012.
Menginstal AD DS dengan Menggunakan Windows PowerShell
Dimulai dengan Windows Server 2012, Anda dapat menginstal AD DS menggunakan Windows PowerShell. Dcpromo.exe tidak digunakan lagi dimulai dengan Windows Server 2012, tetapi Anda masih dapat menjalankan dcpromo.exe dengan menggunakan file jawaban (dcpromo /unattend:<answerfile> atau dcpromo /answer:<answerfile>). Kemampuan untuk terus menjalankan dcpromo.exe dengan file jawaban menyediakan organisasi yang memiliki sumber daya yang diinvestasikan dalam waktu otomatisasi yang ada untuk mengonversi otomatisasi dari dcpromo.exe ke Windows PowerShell. Untuk informasi selengkapnya tentang menjalankan dcpromo.exe dengan file jawaban, lihat https://support.microsoft.com/kb/947034.
Untuk informasi selengkapnya tentang menghapus AD DS menggunakan Windows PowerShell, lihat Menghapus AD DS menggunakan Windows PowerShell.
Mulailah dengan menambahkan peran menggunakan Windows PowerShell. Perintah ini menginstal peran server AD DS dan menginstal alat administrasi server AD DS dan AD LDS, termasuk alat berbasis GUI seperti Pengguna Direktori Aktif dan Komputer dan alat baris perintah seperti dcdia.exe. Alat administrasi server tidak diinstal secara default saat Anda menggunakan Windows PowerShell. Anda perlu menentukan "IncludeManagementTools untuk mengelola server lokal atau menginstal Alat Administrasi Server Jarak Jauh untuk mengelola server jarak jauh.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Tidak ada boot ulang yang diperlukan sampai setelah penginstalan AD DS selesai.
Anda kemudian dapat menjalankan perintah ini untuk melihat cmdlet yang tersedia dalam modul ADDSDeployment.
Get-Command -Module ADDSDeployment
Untuk melihat daftar argumen yang dapat ditentukan untuk cmdlet dan sintaks:
Get-Help <cmdlet name>
Misalnya, untuk melihat argumen untuk membuat akun pengontrol domain baca-saja (RODC) yang tidak ditempati, ketik
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Argumen opsional muncul dalam tanda kurung siku.
Anda juga dapat mengunduh contoh dan konsep Bantuan terbaru untuk cmdlet Windows PowerShell. Untuk informasi selengkapnya, lihat about_Updatable_Help.
Anda dapat menjalankan cmdlet Windows PowerShell terhadap server jarak jauh:
Di Windows PowerShell, gunakan Invoke-Command dengan cmdlet ADDSDeployment. Misalnya, untuk menginstal AD DS di server jarak jauh bernama ConDC3 di domain contoso.com, ketik:
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
-atau-
- Di Manajer Server, buat grup server yang menyertakan server jarak jauh. Klik kanan nama server jarak jauh dan klik Windows PowerShell.
Bagian berikutnya menjelaskan cara menjalankan cmdlet modul ADDSDeployment untuk menginstal AD DS.
Menginstal domain akar forest baru menggunakan Windows PowerShell
Menginstal domain anak atau pohon baru menggunakan Windows PowerShell
Menginstal pengontrol domain tambahan (replika) menggunakan Windows PowerShell
Argumen cmdlet ADDSDeployment
Tabel berikut ini mencantumkan argumen untuk cmdlet ADDSDeployment di Windows PowerShell. Argumen dalam huruf tebal diperlukan. Argumen yang setara untuk dcpromo.exe tercantum dalam tanda kurung jika dinamai berbeda di Windows PowerShell.
Sakelar Windows PowerShell menerima argumen $TRUE atau $FALSE. Argumen yang $TRUE secara default tidak perlu ditentukan.
Untuk mengambil alih nilai default, Anda dapat menentukan argumen dengan nilai $False. Misalnya, karena -InstallDNS secara otomatis dijalankan untuk penginstalan forest baru jika tidak ditentukan, satu-satunya cara untuk mencegah penginstalan DNS saat Anda menginstal forest baru adalah dengan menggunakan:
-InstallDNS:$False
Demikian pula, karena -InstallDNS memiliki nilai default $False jika Anda menginstal pengendali domain di lingkungan yang tidak menghosting server DNS Windows Server, Anda perlu menentukan argumen berikut untuk menginstal server DNS:
-InstallDNS:$True
| Argumen | Deskripsi |
|---|---|
| Catatan Kredensial>ADPrepCredential <PS: Diperlukan jika Anda menginstal pengontrol domain Windows Server 2012 pertama di domain atau forest dan kredensial pengguna saat ini tidak mencukupi untuk melakukan operasi. | Menentukan akun dengan keanggotaan grup Admin Perusahaan dan Admin Skema yang dapat menyiapkan forest, sesuai dengan aturan Get-Credential dan objek PSCredential. Jika tidak ada nilai yang ditentukan, nilai argumen kredensial digunakan. |
| AllowDomainControllerReinstall | Menentukan apakah akan terus menginstal pengontrol domain bisa-tulis ini, meskipun akun pengendali domain bisa-tulis lain dengan nama yang sama terdeteksi. Gunakan $True hanya jika Anda yakin bahwa akun saat ini tidak digunakan oleh pengontrol domain bisa-tulis lainnya. Defaultnya adalah $False. Argumen ini tidak valid untuk RODC. |
| IzinkanDomainReinstall | Menentukan apakah domain yang ada dibuat ulang. Defaultnya adalah $False. |
| AllowPasswordReplicationAccountName <string []> | Menentukan nama akun pengguna, akun grup, dan akun komputer yang kata sandinya dapat direplikasi ke RODC ini. Gunakan string kosong "" jika Anda ingin menjaga nilai tetap kosong. Secara default, hanya Grup Replikasi Kata Sandi RODC yang Diizinkan yang diizinkan, dan awalnya dibuat kosong. Menyediakan nilai sebagai array string. Contohnya: Kode -AllowPasswordReplicationAccountName "JSmith","JSmithPC","Pengguna Cabang" |
| String ApplicationPartitionsToReplicate <[]>Catatan: Tidak ada opsi yang setara di UI. Jika Anda menginstal menggunakan UI, atau menggunakan IFM, maka semua partisi aplikasi akan direplikasi. | Menentukan partisi direktori aplikasi untuk direplikasi. Argumen ini hanya diterapkan ketika Anda menentukan argumen -InstallationMediaPath untuk diinstal dari media (IFM). Secara default, semua partisi aplikasi akan mereplikasi berdasarkan cakupannya sendiri. Menyediakan nilai sebagai array string. Contohnya: Kode- -ApplicationPartitionsToReplicate "partition1","partition2","partition3" |
| Konfirmasikan | Meminta Anda mengonfirmasi sebelum menjalankan cmdlet. |
| Catatan CreateDnsDelegation : Anda tidak dapat menentukan argumen ini saat menjalankan cmdlet Add-ADDSReadOnlyDomainController. | Menunjukkan apakah akan membuat delegasi DNS yang mereferensikan server DNS baru yang Anda instal bersama dengan pengendali domain. Hanya berlaku untuk DNS terintegrasi Active Directory. Catatan delegasi hanya dapat dibuat di server DNS Microsoft yang online dan dapat diakses. Catatan delegasi tidak dapat dibuat untuk domain yang segera diurutkan ke domain tingkat atas seperti .com, .gov, .biz, .edu atau domain kode negara dua huruf seperti .nz dan .au. Default dihitung secara otomatis berdasarkan lingkungan. |
| Catatan Kredensial PS Kredensial<>: Diperlukan hanya jika kredensial pengguna saat ini tidak cukup untuk melakukan operasi. | Menentukan akun domain yang dapat masuk ke domain, sesuai dengan aturan Get-Credential dan objek PSCredential. Jika tidak ada nilai yang ditentukan, kredensial pengguna saat ini akan digunakan. |
| CriticalReplicationOnly | Menentukan apakah operasi penginstalan AD DS hanya melakukan replikasi penting sebelum reboot lalu berlanjut. Replikasi noncritical terjadi setelah penginstalan selesai dan komputer di-boot ulang. Menggunakan argumen ini tidak disarankan. Tidak ada yang setara untuk opsi ini di antarmuka pengguna (UI). |
| String DatabasePath <> | Menentukan jalur non"Universal Naming Convention (UNC) yang sepenuhnya memenuhi syarat ke direktori pada disk tetap komputer lokal yang berisi database domain, misalnya, C:\Windows\NTDS. Defaultnya adalah %SYSTEMROOT%\NTDS. Penting: Meskipun Anda dapat menyimpan database AD DS dan file log pada volume yang diformat dengan Sistem File Tangguh (ReFS), tidak ada manfaat khusus untuk menghosting AD DS di ReFS, selain manfaat normal ketahanan yang Anda dapatkan untuk menghosting data apa pun di ReFS. |
| String DelegatedAdministratorAccountName <> | Menentukan nama pengguna atau grup yang dapat menginstal dan mengelola RODC. Secara default, hanya anggota grup Admin Domain yang dapat mengelola RODC. |
| DenyPasswordReplicationAccountName <string []> | Menentukan nama akun pengguna, akun grup, dan akun komputer yang kata sandinya tidak akan direplikasi ke RODC ini. Gunakan string kosong "" jika Anda tidak ingin menolak replikasi kredensial pengguna atau komputer apa pun. Secara default, Administrator, Operator Server, Operator Cadangan, Operator Akun, dan Grup Replikasi Kata Sandi RODC yang Ditolak ditolak. Secara default, Grup Replikasi Kata Sandi RODC yang Ditolak mencakup Penerbit Cert, Admin Domain, Admin Perusahaan, Pengendali Domain Perusahaan, Pengendali Domain Baca-Saja Perusahaan, Pemilik Pembuat Kebijakan Grup, akun krbtgt, dan Admin Skema. Menyediakan nilai sebagai array string. Contohnya: Kode- -DenyPasswordReplicationAccountName "RegionalAdmins","AdminPCs" |
| Catatan Kredensial>PS DnsDelegationCredential<: Anda tidak dapat menentukan argumen ini saat menjalankan cmdlet Add-ADDSReadOnlyDomainController. | Menentukan nama pengguna dan kata sandi untuk membuat delegasi DNS, sesuai dengan aturan Get-Credential dan objek PSCredential. |
| DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Atau DomainMode <DomainMode> {2 | 3 | 4 | 5 | 6} |
Menentukan tingkat fungsi domain selama pembuatan domain baru. Tingkat fungsi domain tidak boleh lebih rendah dari tingkat fungsi forest, tetapi bisa lebih tinggi. Nilai default secara otomatis dihitung dan diatur ke tingkat fungsional forest yang ada atau nilai yang diatur untuk -ForestMode. |
| DomainName Diperlukan untuk cmdlet Install-ADDSForest dan Install-ADDSDomainController. |
Menentukan FQDN domain tempat Anda ingin menginstal pengontrol domain tambahan. |
| String DomainNetbiosName <> Diperlukan untuk Install-ADDSForest jika nama awalan FQDN lebih panjang dari 15 karakter. |
Gunakan dengan Install-ADDSForest. Menetapkan nama NetBIOS ke domain akar forest baru. |
| DomainType <DomainType> {ChildDomain | TreeDomain} atau {child | tree} | Menunjukkan jenis domain yang ingin Anda buat: pohon domain baru di forest yang sudah ada, anak dari domain yang sudah ada, atau forest baru. Default untuk DomainType adalah ChildDomain. |
| Paksa | Ketika parameter ini ditentukan, peringatan apa pun yang biasanya muncul selama penginstalan dan penambahan pengendali domain akan ditekan untuk memungkinkan cmdlet menyelesaikan eksekusinya. Parameter ini dapat berguna untuk disertakan saat penginstalan skrip. |
| ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012 | Win2012R2} Atau ForestMode <ForestMode> {2 | 3 | 4 | 5 | 6} |
Menentukan tingkat fungsi forest saat Anda membuat forest baru. Nilai defaultnya adalah Win2012. |
| InstallationMediaPath | Menunjukkan lokasi media penginstalan yang akan digunakan untuk menginstal pengendali domain baru. |
| InstallDns | Menentukan apakah layanan Server DNS harus diinstal dan dikonfigurasi pada pengendali domain. Untuk forest baru, defaultnya adalah $True dan Server DNS diinstal. Untuk domain anak baru atau pohon domain, jika domain induk (atau domain akar hutan untuk pohon domain) sudah menghosting dan menyimpan nama DNS untuk domain, maka default untuk parameter ini adalah $True. Untuk penginstalan pengendali domain di domain yang sudah ada, jika parameter ini dibiarkan tidak ditentukan dan domain saat ini sudah menghosting dan menyimpan nama DNS untuk domain, maka default untuk parameter ini $True. Jika tidak, jika nama domain DNS dihosting di luar Direktori Aktif, defaultnya $False dan tidak ada Server DNS yang diinstal. |
| String LogPath <> | Menentukan jalur non-UNC yang sepenuhnya memenuhi syarat ke direktori pada disk tetap komputer lokal yang berisi file log domain, misalnya, C:\Windows\Logs. Defaultnya adalah %SYSTEMROOT%\NTDS. Penting: Jangan simpan file log Direktori Aktif pada volume data yang diformat dengan Sistem File Tangguh (ReFS). |
| MoveInfrastructureOperationMasterRoleIfNecessary | Menentukan apakah akan mentransfer peran master operasi master infrastruktur (juga dikenal sebagai operasi master tunggal fleksibel atau FSMO) ke pengendali domain yang Anda buat "jika saat ini dihosting di server katalog global" dan Anda tidak berencana untuk membuat pengendali domain yang Anda buat server katalog global. Tentukan parameter ini untuk mentransfer peran master infrastruktur ke pengendali domain yang Anda buat jika transfer diperlukan; dalam hal ini, tentukan opsi NoGlobalCatalog jika Anda ingin peran master infrastruktur tetap berada di tempatnya saat ini. |
| Catatan string>NewDomainName<: Hanya diperlukan untuk Install-ADDSDomain. | Menentukan nama domain tunggal untuk domain baru. Misalnya, jika Anda ingin membuat domain anak baru bernama emea.corp.fabrikam.com, Anda harus menentukan emea sebagai nilai argumen ini. |
| String NewDomainNetbiosName <> Diperlukan untuk Install-ADDSDomain jika nama awalan FQDN lebih panjang dari 15 karakter. |
Gunakan dengan Install-ADDSDomain. Menetapkan nama NetBIOS ke domain baru. Nilai default berasal dari nilai "NewDomainName. |
| NoDnsOnNetwork | Menentukan bahwa layanan DNS tidak tersedia pada jaringan. Parameter ini hanya digunakan ketika pengaturan IP adapter jaringan untuk komputer ini tidak dikonfigurasi dengan nama server DNS untuk resolusi nama. Ini menunjukkan bahwa server DNS akan diinstal pada komputer ini untuk resolusi nama. Jika tidak, pengaturan IP adaptor jaringan harus terlebih dahulu dikonfigurasi dengan alamat server DNS. Menghilangkan parameter ini (default) menunjukkan bahwa pengaturan klien TCP/IP adapter jaringan pada komputer server ini akan digunakan untuk menghubungi server DNS. Oleh karena itu, jika Anda tidak menentukan parameter ini, pastikan bahwa pengaturan klien TCP/IP terlebih dahulu dikonfigurasi dengan alamat server DNS pilihan. |
| NoGlobalCatalog | Menentukan bahwa Anda tidak ingin pengendali domain menjadi server katalog global. Pengendali domain yang menjalankan Windows Server 2012 diinstal dengan katalog global secara default. Dengan kata lain, ini berjalan secara otomatis tanpa komputasi, kecuali Anda menentukan: Kode- -NoGlobalCatalog |
| NoRebootOnCompletion | Menentukan apakah akan menghidupkan ulang komputer setelah menyelesaikan perintah, terlepas dari keberhasilannya. Secara default, komputer akan dimulai ulang. Untuk mencegah server memulai ulang, tentukan: Kode- -NoRebootOnCompletion:$True Tidak ada yang setara untuk opsi ini di antarmuka pengguna (UI). |
| Catatan string>ParentDomainName<: Diperlukan untuk cmdlet Install-ADDSDomain | Menentukan FQDN dari domain induk yang ada. Anda menggunakan argumen ini saat menginstal domain turunan atau pohon domain baru. Misalnya, jika Anda ingin membuat domain anak baru bernama emea.corp.fabrikam.com, Anda harus menentukan corp.fabrikam.com sebagai nilai argumen ini. |
| ReadOnlyReplica | Menentukan apakah akan menginstal pengontrol domain baca-saja (RODC). |
| String ReplicationSourceDC <> | Menunjukkan FQDN pengontrol domain mitra tempat Anda mereplikasi informasi domain. Defaultnya secara otomatis dihitung. |
| Brankas ModeAdministratorPassword <securestring> | Menyediakan kata sandi untuk akun administrator saat komputer dimulai dalam Mode Brankas atau varian Mode Brankas, seperti Mode Pemulihan Layanan Direktori. Defaultnya adalah kata sandi kosong. Anda harus menyediakan kata sandi. Kata sandi harus disediakan dalam format System.Security.SecureString, seperti yang disediakan oleh read-host -assecurestring atau ConvertTo-SecureString. Operasi argumen Brankas ModeAdministratorPassword adalah khusus:Jika tidak ditentukan sebagai argumen, cmdlet meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif. Jika ditentukan tanpa nilai, dan tidak ada argumen lain yang ditentukan untuk cmdlet, cmdlet meminta Anda untuk memasukkan kata sandi bertopeng tanpa konfirmasi. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif. Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif. Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman:-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring). Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan. -safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force) |
| String SiteName <> Diperlukan untuk cmdlet Add-addsreadonlydomaincontrolleraccount |
Menentukan situs tempat pengontrol domain akan diinstal. Tidak ada argumen nama situs saat Anda menjalankan Install-ADDSForest karena situs pertama yang dibuat adalah Default-First-Site-Name. Nama situs harus sudah ada ketika disediakan sebagai argumen untuk -sitename. Cmdlet tidak akan membuat situs. |
| SkipAutoConfigureDNS | Melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Argumen ini berlaku hanya jika layanan Server DNS sudah diinstal atau diinstal secara otomatis dengan -InstallDNS. |
| String SystemKey <> | Menentukan kunci sistem untuk media tempat Anda mereplikasi data. Defaultnya adalah tidak ada. Data harus dalam format yang disediakan oleh read-host -assecurestring atau ConvertTo-SecureString. |
| String SysvolPath <> | Menentukan jalur non-UNC yang sepenuhnya memenuhi syarat ke direktori pada disk tetap komputer lokal, misalnya, C:\Windows\SYSVOL. Defaultnya adalah %SYSTEMROOT%\SYSVOL. Penting: SYSVOL tidak dapat disimpan pada volume data yang diformat dengan Sistem File Tangguh (ReFS). |
| SkipPreChecks | Tidak menjalankan pemeriksaan prasyarat sebelum memulai penginstalan. Tidak disarankan untuk menggunakan pengaturan ini. |
| WhatIf | Menunjukkan apa yang akan terjadi jika cmdlet berjalan. Cmdlet tidak dijalankan. |
Menentukan Kredensial Windows PowerShell
Anda dapat menentukan kredensial tanpa mengungkapkannya dalam teks biasa di layar dengan menggunakan Get-credential.
Operasi untuk argumen -Brankas ModeAdministratorPassword dan LocalAdministratorPassword adalah khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan:
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Peringatan
Menyediakan atau menyimpan kata sandi teks yang jelas tidak disarankan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Dengan pengetahuan itu, mereka dapat meniru pengendali domain itu sendiri dan meningkatkan hak istimewa mereka ke tingkat tertinggi di forest Direktori Aktif.
Menggunakan cmdlet pengujian
Setiap cmdlet ADDSDeployment memiliki cmdlet pengujian yang sesuai. Cmdlet pengujian hanya menjalankan pemeriksaan prasyarat untuk operasi penginstalan; tidak ada pengaturan penginstalan yang dikonfigurasi. Argumen untuk setiap cmdlet pengujian sama dengan untuk cmdlet penginstalan yang sesuai, tetapi "SkipPreChecks tidak tersedia untuk cmdlet pengujian.
| Cmdlet pengujian | Deskripsi |
|---|---|
| Test-ADDSForestInstallation | Menjalankan prasyarat untuk menginstal forest Direktori Aktif baru. |
| Test-ADDSDomainInstallation | Menjalankan prasyarat untuk menginstal domain baru di Direktori Aktif. |
| Test-ADDSDomainControllerInstallation | Menjalankan prasyarat untuk menginstal pengendali domain di Direktori Aktif. |
| Test-ADDSReadOnlyDomainControllerAccountCreation | Menjalankan prasyarat untuk menambahkan akun pengontrol domain baca-saja (RODC). |
Menginstal domain akar forest baru menggunakan Windows PowerShell
Sintaks perintah untuk menginstal forest baru adalah sebagai berikut. Argumen opsional muncul dalam tanda kurung siku.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword <SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Catatan
Argumen -DomainNetBIOSName diperlukan jika Anda ingin mengubah nama 15 karakter yang dibuat secara otomatis berdasarkan awalan nama domain DNS atau jika nama melebihi 15 karakter.
Misalnya, untuk menginstal forest baru bernama corp.contoso.com dan diminta dengan aman untuk memberikan kata sandi DSRM, ketik:
Install-ADDSForest -DomainName "corp.contoso.com"
Catatan
Server DNS diinstal secara default saat Anda menjalankan Install-ADDSForest.
Untuk menginstal forest baru bernama corp.contoso.com, buat delegasi DNS di domain contoso.com, atur tingkat fungsional domain ke Windows Server 2008 R2 dan atur tingkat fungsional forest ke Windows Server 2008, instal database Direktori Aktif dan SYSVOL pada drive D:\, instal file log di drive E:\, dan diminta untuk menyediakan kata sandi dan jenis Mode Pemulihan Layanan Direktori:
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Menginstal domain anak atau pohon baru menggunakan Windows PowerShell
Sintaks perintah untuk menginstal domain baru adalah sebagai berikut. Argumen opsional muncul dalam tanda kurung siku.
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Catatan
Argumen -credential hanya diperlukan ketika Anda saat ini tidak masuk sebagai anggota grup Admin Perusahaan.
Argumen -NewDomainNetBIOSName diperlukan jika Anda ingin mengubah nama 15 karakter yang dihasilkan secara otomatis berdasarkan awalan nama domain DNS atau jika nama melebihi 15 karakter.
Misalnya, untuk menggunakan kredensial corp\EnterpriseAdmin1 untuk membuat domain anak baru bernama child.corp.contoso.com, menginstal server DNS, membuat delegasi DNS di domain corp.contoso.com, mengatur tingkat fungsional domain ke Windows Server 2003, menjadikan pengontrol domain server katalog global di situs bernama Houston, gunakan DC1.corp.contoso.com sebagai pengontrol domain sumber replikasi, instal database Direktori Aktif dan SYSVOL pada drive D:\, instal file log di drive E:\, dan diminta untuk memberikan kata sandi Mode Pemulihan Layanan Direktori tetapi tidak diminta untuk mengonfirmasi perintah, ketik:
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Menginstal pengontrol domain tambahan (replika) menggunakan Windows PowerShell
Sintaks perintah untuk menginstal pengontrol domain tambahan adalah sebagai berikut. Argumen opsional muncul dalam tanda kurung siku.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Untuk menginstal pengendali domain dan server DNS di domain corp.contoso.com dan diminta untuk menyediakan info masuk Administrator domain dan kata sandi DSRM, ketik:
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
Jika komputer sudah bergabung dengan domain dan Anda adalah anggota grup Admin Domain, Anda bisa menggunakan:
Install-ADDSDomainController -DomainName "corp.contoso.com"
Untuk dimintai nama domain, ketik:
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
Perintah berikut akan menggunakan kredensial Contoso\EnterpriseAdmin1 untuk menginstal pengontrol domain bisa-tulis dan server katalog global di situs bernama Boston, menginstal server DNS, membuat delegasi DNS di domain contoso.com, menginstal dari media yang disimpan di folder c:\ADDS IFM, menginstal database Direktori Aktif dan SYSVOL di D:\ drive, instal file log di drive E:\, minta server secara otomatis memulai ulang setelah penginstalan AD DS selesai, dan diminta untuk memberikan kata sandi Mode Pemulihan Layanan Direktori:
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Melakukan penginstalan RODC bertahap menggunakan Windows PowerShell
Sintaks perintah untuk membuat akun RODC adalah sebagai berikut. Argumen opsional muncul dalam tanda kurung siku.
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccuntName <string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName <string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string []>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common Parameters>]
Sintaks perintah untuk melampirkan server ke akun RODC adalah sebagai berikut. Argumen opsional muncul dalam tanda kurung siku.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Misalnya, untuk membuat akun RODC bernama RODC1:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Kemudian jalankan perintah berikut di server yang ingin Anda lampirkan ke akun RODC1. Server tidak dapat digabungkan ke domain. Pertama, instal peran server AD DS dan alat manajemen:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Jalankan perintah berikut untuk membuat RODC:
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
Tekan Y untuk mengonfirmasi atau menyertakan argumen "konfirmasi untuk mencegah permintaan konfirmasi.
Menginstal AD DS dengan menggunakan Manajer Server
AD DS dapat diinstal di Windows Server 2012 dengan menggunakan Wizard Tambahkan Peran di Manajer Server, diikuti oleh Panduan Konfigurasi Layanan Domain Direktori Aktif, yang baru dimulai di Windows Server 2012. Wizard Penginstalan Active Directory Domain Services (dcpromo.exe) tidak digunakan lagi mulai Windows Server 2012.
Bagian berikut menjelaskan cara membuat kumpulan server untuk menginstal dan mengelola AD DS di beberapa server, dan cara menggunakan wizard untuk menginstal AD DS.
Membuat kumpulan server
Manajer Server dapat mengumpulkan server lain di jaringan selama dapat diakses dari komputer yang menjalankan Manajer Server. Setelah dikumpulkan, Anda memilih server tersebut untuk penginstalan jarak jauh AD DS atau opsi konfigurasi lain yang mungkin dalam Manajer Server. Komputer yang menjalankan Manajer Server secara otomatis mengumpulkan dirinya sendiri. Untuk informasi selengkapnya tentang kumpulan server, lihat Menambahkan Server ke Manajer Server.
Catatan
Untuk mengelola komputer yang bergabung dengan domain menggunakan Manajer Server di server grup kerja, atau sebaliknya, diperlukan langkah-langkah konfigurasi tambahan. Untuk informasi selengkapnya, lihat "Menambahkan dan mengelola server di grup kerja" di Menambahkan Server ke Manajer Server.
Menginstal AD DS
Kredensial administratif
Persyaratan kredensial untuk menginstal AD DS bervariasi tergantung pada konfigurasi penyebaran mana yang Anda pilih. Untuk informasi selengkapnya, lihat Persyaratan kredensial untuk menjalankan Adprep.exe dan menginstal Active Directory Domain Services.
Gunakan prosedur berikut untuk menginstal AD DS menggunakan metode GUI. Langkah-langkah dapat dilakukan secara lokal atau jarak jauh. Untuk penjelasan lebih rinci tentang langkah-langkah ini, lihat topik berikut:
Menginstal Pengontrol Domain Windows Server 2012 Replika di Domain yang Sudah Ada (Tingkat 200)
Menginstal Domain Anak atau Pohon Direktori Aktif Windows Server 2012 Baru (Tingkat 200)
Menginstal Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)
Untuk menginstal AD DS dengan menggunakan Manajer Server
Di Manajer Server, klik Kelola dan klik Tambahkan Peran dan Fitur untuk memulai Wizard Tambahkan Peran.
Pada halaman Sebelum Anda memulai, klik Berikutnya.
Pada halaman Pilih jenis penginstalan, klik Penginstalan berbasis peran atau berbasis fitur lalu klik Berikutnya.
Pada halaman Pilih server tujuan, klik Pilih server dari kumpulan server, klik nama server tempat Anda ingin menginstal AD DS lalu klik Berikutnya.
Untuk memilih server jarak jauh, pertama-tama buat kumpulan server dan tambahkan server jarak jauh ke dalamnya. Untuk informasi selengkapnya tentang membuat kumpulan server, lihat Menambahkan Server ke Manajer Server.
Pada halaman Pilih peran server, klik Layanan Domain Direktori Aktif, lalu pada kotak dialog Tambahkan Peran dan Panduan Fitur, klik Tambahkan Fitur, lalu klik Berikutnya.
Pada halaman Pilih fitur , pilih fitur tambahan apa pun yang ingin Anda instal dan klik Berikutnya.
Pada halaman Layanan Domain Direktori Aktif, tinjau informasi lalu klik Berikutnya.
Pada halaman Konfirmasi pilihan instalasi, klik Instal.
Pada halaman Hasil , verifikasi bahwa penginstalan berhasil, dan klik Promosikan server ini ke pengendali domain untuk memulai Panduan Konfigurasi Layanan Domain Direktori Aktif.
Penting
Jika Anda menutup Panduan Tambahkan Peran pada saat ini tanpa memulai Panduan Konfigurasi Layanan Domain Direktori Aktif, Anda bisa memulai ulang dengan mengklik Tugas di Manajer Server.
Pada halaman Konfigurasi Penyebaran, pilih salah satu opsi berikut ini:
Jika Anda menginstal pengendali domain tambahan di domain yang sudah ada, klik Tambahkan pengontrol domain ke domain yang sudah ada, dan ketik nama domain (misalnya, emea.corp.contoso.com) atau klik Pilih... untuk memilih domain, dan kredensial (misalnya, tentukan akun yang merupakan anggota grup Admin Domain) lalu klik Berikutnya.
Catatan
Nama domain dan kredensial pengguna saat ini disediakan secara default hanya jika komputer bergabung dengan domain dan Anda melakukan penginstalan lokal. Jika Anda menginstal AD DS di server jarak jauh, Anda perlu menentukan kredensial, berdasarkan desain. Jika kredensial pengguna saat ini tidak cukup untuk melakukan penginstalan, klik Ubah... untuk menentukan kredensial yang berbeda.
Untuk informasi selengkapnya, lihat Menginstal Pengontrol Domain Windows Server 2012 Replika di Domain yang Sudah Ada (Tingkat 200).
Jika Anda menginstal domain anak baru, klik Tambahkan domain baru ke forest yang sudah ada, untuk Pilih jenis domain, pilih Domain Anak, ketik atau telusuri nama DNS domain induk (misalnya, corp.contoso.com), ketik nama relatif domain anak baru (misalnya emea), ketik kredensial yang digunakan untuk membuat domain baru, lalu klik Berikutnya.
Untuk informasi selengkapnya, lihat Menginstal Windows Server 2012 Active Directory Child atau Tree Domain Baru (Level 200).
Jika Anda menginstal pohon domain baru, klik Tambahkan domain baru ke forest yang sudah ada, untuk Pilih jenis domain, pilih Domain Pohon, ketik nama domain akar (misalnya, corp.contoso.com), ketik nama DNS domain baru (misalnya, fabrikam.com), ketik kredensial untuk digunakan untuk membuat domain baru, lalu klik Berikutnya.
Untuk informasi selengkapnya, lihat Menginstal Windows Server 2012 Active Directory Child atau Tree Domain Baru (Level 200).
Jika Anda menginstal forest baru, klik Tambahkan forest baru lalu ketik nama domain akar (misalnya, corp.contoso.com).
Untuk informasi selengkapnya, lihat Menginstal Forest Direktori Aktif Windows Server 2012 Baru (Tingkat 200).
Pada halaman Opsi Pengendali Domain, pilih salah satu opsi berikut ini:
Jika Anda membuat forest atau domain baru, pilih tingkat fungsi domain dan forest, klik server Sistem Nama Domain (DNS), tentukan kata sandi DSRM, lalu klik Berikutnya.
Jika Anda menambahkan pengendali domain ke domain yang sudah ada, klik server Sistem Nama Domain (DNS), Katalog Global (GC), atau Pengontrol Domain Baca Saja (RODC) sesuai kebutuhan, pilih nama situs, dan ketik kata sandi DSRM lalu klik Berikutnya.
Untuk informasi selengkapnya tentang opsi mana di halaman ini yang tersedia atau tidak tersedia dalam kondisi yang berbeda, lihat Opsi Pengendali Domain.
Pada halaman Opsi DNS (yang muncul hanya jika Anda menginstal server DNS), klik Perbarui delegasi DNS sesuai kebutuhan. Jika Anda melakukannya, berikan kredensial yang memiliki izin untuk membuat catatan delegasi DNS di zona DNS induk.
Jika server DNS yang menghosting zona induk tidak dapat dihubungi, opsi Perbarui Delegasi DNS tidak tersedia.
Untuk informasi selengkapnya tentang apakah Anda perlu memperbarui delegasi DNS, lihat Memahami Delegasi Zona. Jika Anda mencoba memperbarui delegasi DNS dan mengalami kesalahan, lihat Opsi DNS.
Pada halaman Opsi RODC (yang muncul hanya jika Anda menginstal RODC), tentukan nama grup atau pengguna yang akan mengelola RODC, tambahkan akun ke atau hapus akun dari grup replikasi kata sandi yang diizinkan atau ditolak, lalu klik Berikutnya.
Untuk informasi selengkapnya, lihat Kebijakan Replikasi Kata Sandi.
Pada halaman Opsi Tambahan, pilih salah satu opsi berikut ini:
Jika Anda membuat domain baru, ketik nama NetBIOS baru atau verifikasi nama NetBIOS default domain, lalu klik Berikutnya.
Jika Anda menambahkan pengendali domain ke domain yang sudah ada, pilih pengontrol domain yang ingin Anda replikasi data penginstalan AD DS dari (atau izinkan wizard untuk memilih pengendali domain apa pun). Jika Anda menginstal dari media, klik Instal dari jenis jalur media dan verifikasi jalur ke file sumber penginstalan, lalu klik Berikutnya.
Anda tidak dapat menggunakan instal dari media (IFM) untuk menginstal pengendali domain pertama di domain. IFM tidak berfungsi di berbagai versi sistem operasi. Dengan kata lain, untuk menginstal pengendali domain tambahan yang menjalankan Windows Server 2012 dengan menggunakan IFM, Anda harus membuat media cadangan pada pengendali domain Windows Server 2012. Untuk informasi selengkapnya tentang IFM, lihat Menginstal Pengendali Domain Tambahan dengan Menggunakan IFM.
Pada halaman Jalur , ketik lokasi untuk database Direktori Aktif, file log, dan folder SYSVOL (atau terima lokasi default), dan klik Berikutnya.
Penting
Jangan simpan database Direktori Aktif, file log, atau folder SYSVOL pada volume data yang diformat dengan Sistem File Tangguh (ReFS).
Pada halaman Opsi Persiapan, ketik kredensial yang cukup untuk menjalankan adprep. Untuk informasi selengkapnya, lihat Persyaratan kredensial untuk menjalankan Adprep.exe dan menginstal Active Directory Domain Services.
Pada halaman Tinjau Opsi , konfirmasi pilihan Anda, klik Tampilkan skrip jika Anda ingin mengekspor pengaturan ke skrip Windows PowerShell, lalu klik Berikutnya.
Pada halaman Pemeriksaan Prasyarat, konfirmasikan bahwa validasi prasyarat selesai lalu klik Instal.
Pada halaman Hasil , verifikasi bahwa server berhasil dikonfigurasi sebagai pengendali domain. Server akan dimulai ulang secara otomatis untuk menyelesaikan penginstalan AD DS.
Melakukan Penginstalan RODC Bertahap menggunakan Antarmuka Pengguna Grafis
Penginstalan RODC bertahap memungkinkan Anda membuat RODC dalam dua tahap. Pada tahap pertama, anggota grup Admin Domain membuat akun RODC. Pada tahap kedua, server dilampirkan ke akun RODC. Tahap kedua dapat diselesaikan oleh anggota grup Admin Domain atau pengguna atau grup domain yang didelegasikan.
Untuk membuat akun RODC dengan menggunakan alat manajemen Direktori Aktif
Anda dapat membuat akun RODC menggunakan Pusat Administratif Direktori Aktif atau Pengguna Direktori Aktif dan Komputer.
Klik Mulai, klik Alat Administratif, lalu klik Pusat Administratif Direktori Aktif.
Di panel navigasi (panel kiri), klik nama domain.
Di daftar Manajemen (panel tengah), klik Unit Organisasi Pengendali Domain.
Di Panel Tugas (panel kanan), klik Buat sebelumnya akun pengontrol domain baca-saja.
-Atau-
Klik Mulai, klik Alat Administratif, lalu klik Pengguna Direktori Aktif dan Komputer.
Klik kanan unit organisasi Pengendali Domain (OU) atau klik UNIT Organisasi Pengendali Domain, lalu klik Tindakan.
Klik Pra-buat akun Pengendali Domain Baca-saja.
Pada halaman Selamat Datang di Wizard Penginstalan Layanan Domain Direktori Aktif, jika Anda ingin mengubah default Kebijakan Replikasi Kata Sandi (PRP), pilih Gunakan penginstalan mode tingkat lanjut, lalu klik Berikutnya.
Pada halaman Kredensial Jaringan, di bawah Tentukan kredensial akun yang akan digunakan untuk melakukan penginstalan, klik Kredensial saya saat ini yang masuk atau klik Info masuk alternatif, lalu klik Atur. Dalam kotak dialog Keamanan Windows, berikan nama pengguna dan kata sandi untuk akun yang dapat menginstal pengontrol domain tambahan. Untuk menginstal pengontrol domain tambahan, Anda harus menjadi anggota grup Admin Perusahaan atau grup Admin Domain. Setelah selesai memberikan kredensial, klik Berikutnya.
Pada halaman Tentukan Nama Komputer, ketik nama komputer server yang akan menjadi RODC.
Pada halaman Pilih Situs , pilih situs dari daftar atau pilih opsi untuk menginstal pengendali domain di situs yang sesuai dengan alamat IP komputer tempat Anda menjalankan panduan, lalu klik Berikutnya.
Pada halaman Opsi Pengendali Domain Tambahan, buat pilihan berikut, lalu klik Berikutnya:
Server DNS: Opsi ini dipilih secara default sehingga pengendali domain Anda dapat berfungsi sebagai server Sistem Nama Domain (DNS). Jika Anda tidak ingin pengendali domain menjadi server DNS, kosongkan opsi ini. Namun, jika Anda tidak menginstal peran server DNS pada RODC dan RODC adalah satu-satunya pengendali domain di kantor cabang, pengguna di kantor cabang tidak akan dapat melakukan resolusi nama ketika jaringan area luas (WAN) ke situs hub offline.
Katalog global: Opsi ini dipilih secara default. Ini menambahkan katalog global, partisi direktori baca-saja ke pengendali domain, dan memungkinkan fungsionalitas pencarian katalog global. Jika Anda tidak ingin pengendali domain menjadi server katalog global, hapus opsi ini. Namun, jika Anda tidak menginstal server katalog global di kantor cabang atau mengaktifkan penembolokan keanggotaan grup universal untuk situs yang menyertakan RODC, pengguna di kantor cabang tidak akan dapat masuk ke domain ketika WAN ke situs hub offline.
Pengontrol domain baca-saja. Saat Anda membuat akun RODC, opsi ini dipilih secara default dan Anda tidak dapat menghapusnya.
Jika Anda memilih kotak centang Gunakan penginstalan mode tingkat lanjut di halaman Selamat Datang , halaman Tentukan Kebijakan Replikasi Kata Sandi akan muncul. Secara default, tidak ada kata sandi akun yang direplikasi ke RODC, dan akun sensitif keamanan (seperti anggota grup Admin Domain) secara eksplisit ditolak agar kata sandi mereka direplikasi ke RODC.
Untuk menambahkan akun lain ke kebijakan, klik Tambahkan, lalu klik Izinkan kata sandi untuk akun untuk mereplikasi ke RODC ini atau klik Tolak kata sandi untuk akun agar tidak mereplikasi ke RODC ini lalu pilih akun.
Setelah selesai (atau untuk menerima pengaturan default), klik Berikutnya.
Pada halaman Delegasi Penginstalan dan Administrasi RODC, ketik nama pengguna atau grup yang akan melampirkan server ke akun RODC yang Anda buat. Anda hanya dapat mengetikkan nama satu prinsip keamanan.
Untuk mencari direktori untuk pengguna atau grup tertentu, klik Atur. Di Pilih Pengguna atau Grup, ketik nama pengguna atau grup. Kami menyarankan agar Anda mendelegasikan penginstalan dan administrasi RODC ke grup.
Pengguna atau grup ini juga akan memiliki hak administratif lokal pada RODC setelah penginstalan. Jika Anda tidak menentukan pengguna atau grup, hanya anggota grup Admin Domain atau grup Admin Perusahaan yang dapat melampirkan server ke akun.
Setelah selesai, klik Berikutnya.
Pada halaman Ringkasan , tinjau pilihan Anda. Klik Kembali untuk mengubah pilihan apa pun, jika perlu.
Untuk menyimpan pengaturan yang Anda pilih ke file jawaban yang bisa Anda gunakan untuk mengotomatiskan operasi AD DS berikutnya, klik Ekspor pengaturan. Ketik nama untuk file jawaban Anda, lalu klik Simpan.
Ketika Anda yakin bahwa pilihan Anda akurat, klik Berikutnya untuk membuat akun RODC.
Pada halaman Menyelesaikan Wizard Penginstalan Layanan Domain Direktori Aktif, klik Selesai.
Setelah akun RODC dibuat, Anda dapat melampirkan server ke akun untuk menyelesaikan penginstalan RODC. Tahap kedua ini dapat diselesaikan di kantor cabang tempat RODC akan berada. Server tempat Anda melakukan prosedur ini tidak boleh bergabung ke domain. Dimulai di Windows Server 2012, Anda menggunakan Wizard Tambahkan Peran di Manajer Server untuk melampirkan server ke akun RODC.
Untuk melampirkan server ke akun RODC menggunakan Manajer Server
Masuk sebagai Administrator lokal.
Di Manajer Server, klik Tambahkan peran dan fitur.
Pada halaman Sebelum Anda memulai, klik Berikutnya.
Pada halaman Pilih jenis penginstalan, klik Penginstalan berbasis peran atau berbasis fitur lalu klik Berikutnya.
Pada halaman Pilih server tujuan, klik Pilih server dari kumpulan server, klik nama server tempat Anda ingin menginstal AD DS lalu klik Berikutnya.
Pada halaman Pilih peran server, klik Layanan Domain Direktori Aktif, klik Tambahkan Fitur lalu klik Berikutnya.
Pada halaman Pilih fitur , pilih fitur tambahan apa pun yang ingin Anda instal dan klik Berikutnya.
Pada halaman Layanan Domain Direktori Aktif, tinjau informasi lalu klik Berikutnya.
Pada halaman Konfirmasi pilihan instalasi, klik Instal.
Pada halaman Hasil , verifikasi Penginstalan berhasil, dan klik Promosikan server ini ke pengendali domain untuk memulai Panduan Konfigurasi Layanan Domain Direktori Aktif.
Penting
Jika Anda menutup Panduan Tambahkan Peran pada saat ini tanpa memulai Panduan Konfigurasi Layanan Domain Direktori Aktif, Anda bisa memulai ulang dengan mengklik Tugas di Manajer Server.
(media/Install-Active-Directory-Domain-Services--Level-100-/ADDS_SMI_Tasks.gif)
Pada halaman Konfigurasi Penyebaran, klik Tambahkan pengendali domain ke domain yang sudah ada, ketik nama domain (misalnya, emea.contoso.com) dan kredensial (misalnya, tentukan akun yang didelegasikan untuk mengelola dan menginstal RODC), lalu klik Berikutnya.
Pada halaman Opsi Pengendali Domain, klik Gunakan akun RODC yang ada, ketik dan konfirmasi kata sandi Mode Pemulihan Layanan Direktori, lalu klik Berikutnya.
Pada halaman Opsi Tambahan, jika Anda menginstal dari media, klik Instal dari jenis jalur media dan verifikasi jalur ke file sumber penginstalan, pilih pengontrol domain yang ingin Anda replikasi data penginstalan AD DS dari (atau izinkan wizard untuk memilih pengontrol domain apa pun) lalu klik Berikutnya.
Pada halaman Jalur , ketik lokasi untuk database Direktori Aktif, file log, dan folder SYSVOL, atau terima lokasi default, lalu klik Berikutnya.
Pada halaman Opsi Tinjau, konfirmasi pilihan Anda, klik Tampilkan Skrip untuk mengekspor pengaturan ke skrip Windows PowerShell, lalu klik Berikutnya.
Pada halaman Pemeriksaan Prasyarat, konfirmasikan bahwa validasi prasyarat selesai lalu klik Instal.
Untuk menyelesaikan penginstalan AD DS, server akan dimulai ulang secara otomatis.
Lihat Juga
Pemecahan Masalah PenyebaranPengendali Domain Instal Windows Server 2012 Active Directory Forest Baru (Tingkat 200)Instal Anak Direktori Aktif Windows Server 2012 Baru atau Domain Pohon (Tingkat 200)Instal Pengontrol Domain Windows Server 2012 Replika di Domain yang Ada (Tingkat 200)