Menginstal Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Artikel ini menjelaskan cara membuat akun RODC bertahap lalu melampirkan server ke akun tersebut selama penginstalan RODC. Artikel ini juga menjelaskan cara menginstal RODC tanpa melakukan penginstalan bertahap.
Alur Kerja RODC Tahap
Penginstalan pengontrol domain baca saja bertahap (RODC) berfungsi dalam dua fase diskrit:
Penahapan akun komputer yang tidak ditempati
Melampirkan RODC ke akun tersebut selama promosi
Diagram berikut mengilustrasikan proses penahapan Pengendali Domain Baca-Saja Layanan Domain Direktori Aktif, tempat Anda membuat akun komputer RODC kosong di domain menggunakan Pusat Administratif Direktori Aktif (Dsac.exe).
Tahap RODC Windows PowerShell
ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
---|---|
Add-addsreadonlydomaincontrolleraccount | -SkipPreChecks -DomainControllerAccountName -DomainName -Sitename -AllowPasswordReplicationAccountName -Credential -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
Catatan
Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Domain.
Lampirkan Alur Kerja RODC
Diagram di bawah ini mengilustrasikan proses konfigurasi Active Directory Domain Services, di mana Anda sudah menginstal peran AD DS, Anda mentahapkan akun RODC, dan mulai Mempromosikan Server ini ke Pengendali Domain menggunakan Manajer Server untuk membuat RODC baru di domain yang ada, melampirkannya ke akun komputer bertahap.
Melampirkan RODC Windows PowerShell
ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
---|---|
Install-AddsDomaincontroller | -SkipPreChecks -DomainName -Brankas ModeAdministratorPassword -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -InstallationMediaPath -LogPath -Norebootoncompletion -ReplicationSourceDC -SystemKey -SYSVOLPath -UseExistingAccount |
Catatan
Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Domain.
Staging
Anda melakukan operasi penahapan akun komputer pengontrol domain baca-saja dengan membuka Pusat Administratif Direktori Aktif (Dsac.exe). Pilih nama domain di panel navigasi. Klik ganda Pengendali Domain di daftar manajemen. Pilih Pra-buat akun pengontrol domain baca-saja di panel tugas.
Untuk informasi selengkapnya tentang Pusat Administratif Direktori Aktif, lihat Manajemen AD DS Tingkat Lanjut Menggunakan Pusat Administratif Direktori Aktif (Tingkat 200) dan tinjau Pusat Administratif Direktori Aktif: Memulai.
Jika Anda memiliki pengalaman membuat pengontrol domain baca-saja, Anda akan menemukan bahwa wizard penginstalan memiliki antarmuka grafis yang sama seperti yang terlihat saat menggunakan snap-in Pengguna direktori aktif dan Komputer yang lebih lama dari Windows Server 2008 dan menggunakan kode yang sama, yang mencakup mengekspor konfigurasi dalam format file tanpa pengawasan yang digunakan oleh dcpromo usang.
Windows Server 2012 memperkenalkan cmdlet ADDSDeployment baru untuk menahapkan akun komputer RODC, tetapi wizard tidak menggunakan cmdlet untuk operasinya. Bagian berikut menampilkan cmdlet dan argumen yang setara untuk membuat informasi yang terkait dengan masing-masing lebih mudah dipahami.
Tautan Pra-buat akun pengontrol domain Baca-saja di panel tugas Pusat Administratif Direktori Aktif setara dengan cmdlet ADDSDeployment Windows PowerShell:
Add-addsreadonlydomaincontrolleraccount
Selamat datang
Dialog Selamat Datang di Wizard Penginstalan Layanan Domain Direktori Aktif memiliki satu opsi bernama Gunakan penginstalan mode tingkat lanjut. Pilih opsi ini dan pilih Berikutnya untuk menampilkan opsi kebijakan replikasi kata sandi. Hapus opsi ini untuk menggunakan nilai default untuk opsi kebijakan replikasi kata sandi (ini dibahas secara lebih rinci nanti di bagian ini).
Kredensial Jaringan
Opsi nama domain dalam dialog Kredensial Jaringan menampilkan domain yang ditargetkan oleh Pusat Administratif Direktori Aktif secara default. Kredensial Anda saat ini digunakan secara default. Jika mereka tidak menyertakan keanggotaan dalam grup Admin Domain, pilih Info Masuk Alternatif, dan pilih Atur untuk menyediakan wizard dengan nama pengguna dan kata sandi yang merupakan anggota Admin Domain.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-credential <pscredential>
Perlu diingat bahwa sistem penahapan adalah port langsung dari Windows Server 2008 R2 dan tidak menyediakan fungsionalitas Adprep baru. Jika Anda berencana untuk menyebarkan akun RODC bertahap, Anda harus terlebih dahulu menyebarkan RODC yang tidak bertahap di domain tersebut sehingga operasi rodcprep otomatis berjalan, atau jalankan adprep.exe /rodcprep secara manual terlebih dahulu.
Jika tidak, Anda akan menerima kesalahan. Anda tidak akan dapat menginstal pengontrol domain baca-saja di domain ini karena adprep /rodcprep belum dijalankan.
Tentukan Nama Komputer
Dialog Tentukan Nama Komputer mengharuskan Anda memasukkan nama Komputer label tunggal pengontrol domain yang tidak ada. Pengendali domain yang Anda konfigurasikan dan lampirkan ke akun ini nanti harus memiliki nama yang sama, atau operasi promosi tidak akan mendeteksi akun bertahap.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-domaincontrolleraccountname <string>
Pilih Situs
Dialog Pilih Situs memperlihatkan daftar situs Direktori Aktif untuk forest saat ini. Operasi pengontrol domain baca-saja bertahap mengharuskan Anda memilih satu situs dari daftar. RODC menggunakan informasi ini untuk membuat objek Pengaturan NTDS-nya di partisi Konfigurasi dan menggabungkan dirinya ke situs yang benar ketika dimulai untuk pertama kalinya setelah disebarkan.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-sitename <string>
Opsi Pengendali Domain Tambahan
Dialog Opsi Pengendali Domain Tambahan memungkinkan Anda menentukan bahwa pengendali domain menyertakan berjalan sebagai Server DNS dan Katalog Global. Microsoft merekomendasikan agar pengontrol domain baca-saja menyediakan layanan DNS dan GC, sehingga keduanya diinstal secara default; salah satu niat peran RODC adalah skenario kantor cabang di mana jaringan area luas mungkin tidak tersedia dan tanpa layanan DNS dan katalog global tersebut, komputer di cabang tidak akan dapat menggunakan sumber daya dan fungsionalitas AD DS.
Opsi Pengontrol domain baca-saja (RODC) telah dipilih sebelumnya dan tidak dapat dinonaktifkan. Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
Catatan
Secara default, nilai -NoGlobalCatalog $false, yang berarti pengendali domain akan menjadi server katalog global jika argumen tidak ditentukan.
Tentukan Kebijakan Replikasi Kata Sandi
Dialog Tentukan Kebijakan Replikasi Kata Sandi memungkinkan Anda mengubah daftar default akun yang diizinkan untuk menyimpan kata sandi mereka pada pengontrol domain baca-saja ini. Akun dalam daftar yang dikonfigurasi dengan Tolak atau yang tidak ada dalam daftar (implisit) tidak menyimpan kata sandi mereka. Akun yang tidak diizinkan untuk menyimpan kata sandi pada RODC dan tidak dapat menyambungkan dan mengautentikasi ke pengontrol domain bisa-tulis tidak dapat mengakses sumber daya atau fungsionalitas yang disediakan oleh Direktori Aktif.
Penting
Panduan hanya memperlihatkan dialog ini jika Anda memilih kotak centang Gunakan Penginstalan Mode Tingkat Lanjut pada layar selamat datang. Jika Anda mengosongkan kotak centang ini, maka panduan menggunakan grup dan nilai default berikut:
- Administrator - Tolak
- Operator Server - Tolak
- Operator Pencadangan - Tolak
- Operator Akun - Tolak
- Grup Replikasi Kata Sandi RODC Yang Ditolak - Tolak
- Grup Replikasi Kata Sandi RODC yang Diizinkan - Izinkan
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Delegasi Penginstalan dan Administrasi RODC
Dialog Delegasi Penginstalan dan Administrasi RODC memungkinkan Anda mengonfigurasi pengguna atau grup yang berisi pengguna yang diizinkan untuk melampirkan server ke akun komputer RODC. Pilih Atur untuk menelusuri domain untuk pengguna atau grup. Pengguna atau grup yang ditentukan dalam dialog ini mendapatkan izin administratif lokal ke RODC. Pengguna atau anggota grup yang ditentukan dapat melakukan operasi pada RODC dengan hak istimewa yang setara dengan grup Administrator komputer. Mereka bukan* anggota Admin Domain atau grup Administrator bawaan domain.
Gunakan opsi ini untuk mendelegasikan administrasi kantor cabang tanpa memberikan keanggotaan administrator cabang ke grup Admin Domain. Mendelegasikan administrasi RODC tidak diperlukan.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-delegatedadministratoraccountname <string>
Ringkasan
Dialog Ringkasan memungkinkan Anda mengonfirmasi pengaturan Anda. Ini adalah kesempatan terakhir untuk menghentikan penginstalan sebelum wizard membuat akun bertahap. Pilih Berikutnya saat Anda siap untuk membuat akun komputer RODC bertahap. Pilih Ekspor Pengaturan untuk menyimpan file jawaban dalam format file dcpromo yang tidak dijaga.
Pembuatan
Wizard Penginstalan Active Directory Domain Services membuat pengontrol domain baca-saja yang dipentaskan di Direktori Aktif. Anda tidak dapat membatalkan operasi ini setelah operasi dimulai.
Gunakan cmdlet berikut untuk menahapkan akun komputer pengontrol domain baca-saja menggunakan modul ADDSDeployment Windows PowerShell:
Add-addsreadonlydomaincontrolleraccount
Lihat Tahap RODC Windows PowerShell untuk argumen yang diperlukan dan opsional.
Karena Add-addsreadonlydomaincontrolleraccount hanya memiliki satu tindakan dengan dua fase (pemeriksaan dan penginstalan prasyarat), cuplikan layar berikut menunjukkan fase penginstalan dengan argumen minimum yang diperlukan.
Operasi RODC tahap membuat akun komputer RODC di Direktori Aktif. Pusat Administratif Direktori Aktif memperlihatkan Tipe Pengendali Domain sebagai Akun Pengendali Domain yang Tidak Ditempati. Jenis pengendali domain ini menunjukkan bahwa akun RODC bertahap siap untuk dilampirkan server sebagai pengontrol domain baca-saja.
Penting
Pusat Administratif Direktori Aktif tidak lagi diperlukan untuk melampirkan server ke akun komputer pengontrol domain baca-saja. Gunakan Manajer Server dan Wizard Konfigurasi Layanan Domain Direktori Aktif atau cmdlet modul ADDSDeployment Windows PowerShell Install-AddsDomainController untuk melampirkan RODC baru ke akun bertahapnya. Langkah-langkahnya mirip dengan menambahkan pengontrol domain bisa-tulis baru ke domain yang ada, dengan pengecualian bahwa akun komputer RODC bertahap berisi opsi konfigurasi yang diputuskan pada saat Anda menggelar akun komputer RODC.
Melampirkan
Konfigurasi Penyebaran
Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk menambahkan pengontrol domain baca-saja ke domain yang sudah ada, pilih Tambahkan pengontrol domain ke domain yang sudah ada dan pilih tombol Pilih untuk Menentukan informasi domain untuk domain ini. Manajer Server secara otomatis meminta kredensial yang valid, atau Anda dapat memilih Ubah.
Melampirkan RODC memerlukan keanggotaan di grup Admin Domain di Windows Server 2012. Panduan Konfigurasi Layanan Domain Direktori Aktif meminta Anda nanti jika kredensial Anda saat ini tidak memiliki izin atau keanggotaan grup yang memadai.
Cmdlet dan argumen AddSDeployment Windows PowerShell Konfigurasi Penyebaran adalah:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opsi Pengendali Domain
Halaman Opsi Pengendali Domain memperlihatkan opsi pengendali domain untuk pengendali domain baru. Ketika halaman ini dimuat, Wizard Konfigurasi Layanan Domain Direktori Aktif mengirimkan kueri LDAP ke pengendali domain yang ada untuk memeriksa akun yang tidak ditempati. Jika kueri menemukan akun komputer pengendali domain yang tidak ditempati yang memiliki nama yang sama dengan komputer saat ini, maka wizard menampilkan pesan informasi di bagian atas halaman yang membaca akun RODC yang telah dibuat sebelumnya yang cocok dengan nama server target yang ada di direktori. Pilih apakah akan menggunakan akun RODC yang ada ini atau menginstal ulang pengontrol domain ini. Wizard menggunakan gunakan akun RODC yang ada sebagai konfigurasi default.
Penting
Anda dapat menggunakan opsi Instal ulang pengontrol domain ini ketika pengendali domain mengalami masalah fisik dan tidak dapat kembali ke fungsionalitas. Ini menghemat waktu saat mengonfigurasi pengontrol domain pengganti, dengan meninggalkan akun komputer pengendali domain dan metadata objek di Direktori Aktif. Instal komputer baru dengan nama yang sama, dan promosikan sebagai pengendali domain di domain. Opsi Instal ulang pengendali domain ini tidak tersedia jika Anda menghapus metadata objek pengendali domain dari Direktori Aktif (pembersihan metadata).
Anda tidak dapat mengonfigurasi opsi pengendali domain saat melampirkan server ke akun komputer RODC. Anda mengonfigurasi opsi pengendali domain saat membuat akun komputer RODC bertahap.
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.
Argumen AddSDeployment Windows PowerShell Opsi Pengendali Domain adalah:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Penting
Nama situs harus sudah ada ketika disediakan sebagai argumen untuk -sitename. Cmdlet install-AddsDomainController tidak membuat nama situs. Anda dapat menggunakan cmdlet new-adreplicationsite untuk membuat situs baru.
Argumen Install-ADDSDomainController mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.
Operasi argumen Brankas ModeAdministratorPassword bersifat khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat RODC baru di corp.contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. Contohnya:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Peringatan
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest AD. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Opsi Tambahan
Halaman Opsi Tambahan menyediakan opsi konfigurasi untuk memberi nama pengendali domain sebagai sumber replikasi, atau Anda dapat menggunakan pengontrol domain apa pun sebagai sumber replikasi.
Anda juga dapat memilih untuk menginstal pengontrol domain menggunakan media yang dicadangkan menggunakan opsi Instal dari media (IFM). Kotak centang Instal dari media menyediakan opsi telusuri setelah dipilih dan Anda harus memilih Verifikasi untuk memastikan jalur yang disediakan adalah media yang valid.
Panduan untuk sumber IFM:
- Media yang digunakan oleh opsi IFM dibuat dengan Windows Server Backup atau Ntdsutil.exe dari Pengontrol Domain Windows Server lain yang ada dengan versi sistem operasi yang sama saja. Misalnya, Anda tidak dapat menggunakan Windows Server 2008 R2 atau sistem operasi sebelumnya untuk membuat media untuk pengendali domain Windows Server 2012.
- Data sumber IFM harus berasal dari Pengendali Domain yang dapat ditulis. Meskipun sumber dari RODC secara teknis akan bekerja untuk membuat RODC baru, ada peringatan replikasi positif palsu bahwa RODC sumber IFM tidak mereplikasi.
Untuk informasi selengkapnya tentang perubahan dalam IFM, lihat Penginstalan Ntdsutil.exe dari Perubahan Media. Jika menggunakan media yang dilindungi dengan SYSKEY, Manajer Server meminta kata sandi gambar selama verifikasi.
Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Jalur
Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi database, dan berbagi SYSVOL. Lokasi default selalu berada dalam subdirektori dari %systemroot%. Argumen cmdlet AddSDeployment Jalur adalah:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Tinjau Opsi dan Tampilkan Skrip
Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikan bahwa pengaturan tersebut memenuhi kebutuhan Anda sebelum Anda memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan menggunakan Manajer Server. Halaman ini hanya memungkinkan Anda meninjau dan mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi. Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai satu skrip Windows PowerShell. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. Contoh:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true
Catatan
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword . Untuk memaksa permintaan konfirmasi menghilangkan nilai saat menjalankan cmdlet secara interaktif
Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSDomainController untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit argumen untuk cmdlet.
Pemeriksaan Prasyarat
Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung forest AD DS baru.
Saat menginstal domain akar forest baru, Server Manager Active Directory Domain Services Configuration Wizard memanggil serangkaian pengujian modular berseri. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses penginstalan pengontrol domain tidak dapat dilanjutkan hingga semua pengujian prasyarat lulus.
Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama. Untuk informasi selengkapnya tentang pemeriksaan prasyarat, lihat Pemeriksaan Prasyarat.
Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:
-skipprechecks
Peringatan
Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.
Pilih Instal untuk memulai proses promosi pengendali domain. Ini adalah kesempatan terakhir untuk membatalkan penginstalan. Anda tidak dapat membatalkan proses promosi setelah dimulai. Komputer akan di-boot ulang secara otomatis di akhir promosi, terlepas dari hasil promosi.
Penginstalan
Saat halaman Penginstalan ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsdomaincontroller
Lihat Melampirkan RODC Windows PowerShell untuk argumen yang diperlukan dan opsional.
Cmdlet Install-addsdomaincontroller hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domainname, -useexistingaccount, dan -credential. Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSDomainController mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis:
Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .
Peringatan
Mengambil alih boot ulang tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.
RODC tanpa Alur Kerja Penahapan
Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services, saat sebelumnya Anda menginstal peran AD DS dan Anda telah memulai Panduan Konfigurasi Layanan Domain Direktori Aktif menggunakan Manajer Server untuk membuat pengontrol domain baca-saja yang tidak berstatus baru di domain Windows Server 2012 yang sudah ada.
RODC tanpa Penahapan Windows PowerShell
ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
---|---|
Install-AddsDomainController | -SkipPreChecks -DomainName -Brankas ModeAdministratorPassword -Sitename -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey -SYSVOLPath -AllowPasswordReplicationAccountName -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
Catatan
Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Domain.
RODC tanpa Penyebaran Penahapan
Konfigurasi Penyebaran
Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran. Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk menambahkan pengontrol domain baca-saja yang tidak terpasang ke domain Windows Server 2012 yang sudah ada, pilih Tambahkan pengendali domain ke domain yang sudah ada dan pilih tombol Pilih untuk Menentukan informasi domain untuk domain ini. Manajer Server secara otomatis meminta kredensial yang valid, atau Anda dapat memilih Ubah.
Melampirkan RODC memerlukan keanggotaan di grup Admin Domain di Windows Server 2012. Panduan Konfigurasi Layanan Domain Direktori Aktif meminta Anda nanti jika kredensial Anda saat ini tidak memiliki izin atau keanggotaan grup yang memadai.
Cmdlet dan argumen AddSDeployment Windows PowerShell Konfigurasi Penyebaran adalah:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opsi Pengendali Domain
Halaman Opsi Pengendali Domain menentukan kemampuan pengendali domain untuk pengendali domain baru. Kemampuan pengontrol domain yang dapat dikonfigurasi adalah server DNS, Katalog Global, dan pengontrol domain baca-saja. Microsoft menyarankan agar semua pengontrol domain menyediakan layanan DNS dan GC untuk ketersediaan tinggi di lingkungan terdistribusi. GC selalu dipilih secara default dan server DNS dipilih secara default jika domain saat ini menghosting DNS yang sudah ada di DC-nya berdasarkan kueri Start of Authority.
Halaman Opsi Pengendali Domain juga memungkinkan Anda memilih nama situs logis Direktori Aktif yang sesuai dari konfigurasi forest. Secara default, situs memilih situs dengan subnet yang paling benar. Jika hanya ada satu situs, situs tersebut akan memilih situs tersebut secara otomatis.
Penting
Jika server bukan milik subnet Direktori Aktif dan ada lebih dari satu situs Direktori Aktif, tidak ada yang dipilih dan tombol Berikutnya tidak tersedia sampai Anda memilih situs dari daftar.
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi. Argumen AddSDeployment Windows PowerShell Opsi Pengendali Domain adalah:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Penting
Nama situs harus sudah ada ketika disediakan sebagai argumen untuk -sitename. Cmdlet install-AddsDomainController tidak membuat nama situs. Anda dapat menggunakan cmdlet new-adreplicationsite untuk membuat situs baru.
Argumen Install-ADDSDomainController mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.
Operasi argumen Brankas ModeAdministratorPassword bersifat khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat RODC baru di corp.contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
Jika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Terakhir, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, lalu menggunakannya kembali nanti, tanpa kata sandi teks yang jelas yang pernah muncul. Contohnya:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Peringatan
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat di atas bahu Anda mengetahui kata sandi DSRM pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest AD. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Opsi RODC
Halaman Opsi RODC memungkinkan Anda mengubah pengaturan:
Akun Administrator yang Didelegasikan
Akun yang diizinkan untuk mereplikasi kata sandi ke RODC
Akun yang ditolak dari replikasi kata sandi ke RODC
Akun administrator yang didelegasikan mendapatkan izin administratif lokal ke RODC. Pengguna ini dapat beroperasi dengan hak istimewa yang setara dengan grup Administrator komputer lokal. Mereka bukan anggota Admin Domain atau grup Administrator bawaan domain. Opsi ini berguna untuk mendelegasikan administrasi kantor cabang tanpa memberikan izin administratif domain. Mengonfigurasi delegasi administrasi tidak diperlukan.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-delegatedadministratoraccountname <string>
Akun yang tidak diizinkan untuk menyimpan kata sandi pada RODC dan tidak dapat menyambungkan dan mengautentikasi ke pengontrol domain bisa-tulis tidak dapat mengakses sumber daya atau fungsionalitas yang disediakan oleh Direktori Aktif.
Penting
Jika tidak dimodifikasi, grup dan pengaturan default akan digunakan:
- Administrator - Tolak
- Operator Server - Tolak
- Operator Pencadangan - Tolak
- Operator Akun - Tolak
- Grup Replikasi Kata Sandi RODC Yang Ditolak - Tolak
- Grup Replikasi Kata Sandi RODC yang Diizinkan - Izinkan
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Opsi Tambahan
Halaman Opsi Tambahan menyediakan opsi konfigurasi untuk memberi nama pengendali domain sebagai sumber replikasi, atau Anda dapat menggunakan pengontrol domain apa pun sebagai sumber replikasi.
Anda juga dapat memilih untuk menginstal pengontrol domain menggunakan media yang dicadangkan menggunakan opsi Instal dari media (IFM). Kotak centang Instal dari media menyediakan opsi telusuri setelah dipilih dan Anda harus memilih Verifikasi untuk memastikan jalur yang disediakan adalah media yang valid.
Panduan untuk sumber IFM:
- Media yang digunakan oleh opsi IFM dibuat dengan Windows Server Backup atau Ntdsutil.exe dari Pengontrol Domain Windows Server lain yang ada dengan versi sistem operasi yang sama saja. Misalnya, Anda tidak dapat menggunakan Windows Server 2008 R2 atau sistem operasi sebelumnya untuk membuat media untuk pengendali domain Windows Server 2012.
- Data sumber IFM harus berasal dari Pengendali Domain yang dapat ditulis. Meskipun sumber dari RODC secara teknis akan bekerja untuk membuat RODC baru, ada peringatan replikasi positif palsu bahwa RODC sumber IFM tidak mereplikasi.
Untuk informasi selengkapnya tentang perubahan dalam IFM, lihat Penginstalan Ntdsutil.exe dari Perubahan Media. Jika menggunakan media yang dilindungi dengan SYSKEY, Manajer Server meminta kata sandi gambar selama verifikasi.
Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Jalur
Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi database, dan berbagi SYSVOL. Lokasi default selalu berada dalam subdirektori dari %systemroot%. Argumen cmdlet AddSDeployment Jalur adalah:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Opsi Persiapan
Halaman Opsi Persiapan memberi tahu Anda bahwa konfigurasi AD DS mencakup perluasan Skema (forestprep) dan memperbarui domain (domainprep). Anda hanya melihat halaman ini ketika forest atau domain belum disiapkan oleh penginstalan pengendali domain Windows Server 2012 sebelumnya atau dari menjalankan Adprep.exe secara manual. Misalnya, Panduan Konfigurasi Layanan Domain Direktori Aktif menekan halaman ini jika Anda menambahkan pengendali domain replika baru ke domain akar hutan Windows Server 2012 yang sudah ada.
Memperluas Skema dan memperbarui domain tidak terjadi saat Anda memilih Berikutnya. Peristiwa ini hanya terjadi selama fase penginstalan. Halaman ini hanya menghadirkan kesadaran tentang peristiwa yang akan terjadi nanti dalam penginstalan.
Halaman ini juga memvalidasi bahwa kredensial pengguna saat ini adalah anggota grup Admin Skema dan Admin Perusahaan, karena Anda memerlukan keanggotaan dalam grup ini untuk memperluas skema atau menyiapkan domain. Pilih Ubah untuk memberikan kredensial pengguna yang memadai jika halaman memberi tahu Anda bahwa kredensial saat ini tidak memberikan izin yang memadai.
Argumen cmdlet ADDSDeployment Opsi Tambahan adalah:
-adprepcredential <pscredential>
Penting
Seperti versi Windows Server sebelumnya, persiapan domain otomatis Windows Server 2012 tidak menjalankan GPPREP. Jalankan adprep.exe /gpprep secara manual untuk semua domain yang sebelumnya tidak disiapkan untuk Windows Server 2003, Windows Server 2008, atau Windows Server 2008 R2. Anda harus menjalankan GPPrep hanya sekali dalam riwayat domain, bukan dengan setiap peningkatan. Adprep.exe tidak menjalankan /gpprep secara otomatis karena operasinya dapat menyebabkan semua file dan folder di folder SYSVOL direplikasi ulang pada semua pengontrol domain.
RODCPrep otomatis berjalan saat Anda mempromosikan RODC pertama yang tidak ditahapkan di domain. Ini tidak terjadi ketika Anda mempromosikan pengendali domain Windows Server 2012 pertama yang dapat ditulis. Anda juga masih dapat menjalankan adprep.exe /rodcprep secara manual jika Anda berencana untuk menyebarkan pengontrol domain baca-saja.
Tinjau Opsi dan Tampilkan Skrip
Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikan bahwa pengaturan tersebut memenuhi kebutuhan Anda sebelum Anda memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan menggunakan Manajer Server. Halaman ini hanya memungkinkan Anda meninjau dan mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi.
Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai satu skrip Windows PowerShell. Ini memungkinkan Anda menggunakan antarmuka grafis Server Manager sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sinonis untuk modifikasi lebih lanjut atau penggunaan langsung. Contoh:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true
Catatan
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak mengandalkan default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword . Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.
Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSDomainController untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit argumen untuk cmdlet.
Pemeriksaan Prasyarat
Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung forest AD DS baru.
Saat menginstal domain akar forest baru, Server Manager Active Directory Domain Services Configuration Wizard memanggil serangkaian pengujian modular berseri. Pengujian ini memberi tahu Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan sampai semua pengujian prasyarat lulus.
Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama.
Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:
-skipprechecks
Pilih Instal untuk memulai proses promosi pengendali domain. Ini adalah kesempatan terakhir untuk membatalkan penginstalan. Anda tidak dapat membatalkan proses promosi setelah dimulai. Komputer akan di-boot ulang secara otomatis di akhir promosi, terlepas dari hasil promosi.
Penginstalan
Saat halaman Penginstalan ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsdomaincontroller
Lihat tabel AddSDeployment Cmdlet di awal bagian ini untuk argumen yang diperlukan dan opsional.
Cmdlet Install-addsdomaincontroller hanya memiliki dua fase (pemeriksaan prasyarat dan penginstalan). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domainname, -readonlyreplica, -sitename, dan -credential. Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSDomainController mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis:
Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .
Peringatan
Mengambil alih boot ulang tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar. Jika Anda keluar dari pengontrol domain, Anda tidak dapat masuk kembali secara interaktif sampai Anda memulai ulang.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.