Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La Configurazione guidata dei servizi di dominio di Active Directory è uno strumento di Server Manager che consente agli amministratori di promuovere i server a controller di dominio o di demuoverli in base alle esigenze. Questo articolo offre una panoramica dettagliata delle pagine della procedura guidata, inclusi i relativi controlli e opzioni, per facilitare l'esplorazione efficace dei processi di installazione e rimozione. Sia che si stia creando una nuova foresta, aggiungendo un controller di dominio a un dominio esistente o abbassando di livello un controller di dominio, questa guida descrive i passaggi e le considerazioni per ogni operazione.
Riepilogo di ogni pagina
Le tabelle di questa sezione riepilogano le pagine visualizzate quando si usa la Configurazione guidata Servizi di dominio Active Directory per alzare di livello un server a un controller di dominio o per abbassare di livello un controller di dominio. Selezionare il collegamento per ogni pagina per altre informazioni sulle opzioni e sui controlli visualizzati in tale pagina.
Quando si alza di livello un server a un controller di dominio, si passa attraverso le pagine seguenti:
| Pagina di configurazione di Active Directory | Description |
|---|---|
| Deployment Configuration | Selezionare il tipo di operazione di distribuzione da eseguire: creare una nuova foresta (primo controller di dominio), creare un nuovo dominio all'interno di una foresta esistente o aggiungere un controller di dominio aggiuntivo a un dominio esistente. Questa pagina convalida anche i requisiti di base e le richieste per i nomi di dominio. |
| Opzioni controller di dominio | Configurare i livelli di funzionalità della foresta e del dominio, selezionare i ruoli del controller di dominio, tra cui server DNS, Catalogo Globale e opzioni controller di dominio Read-Only. Impostare la password DSRM (Directory Services Restore Mode) necessaria per le operazioni e la manutenzione offline di Active Directory Domain Services. |
| DNS Options | Configurare le impostazioni di delega DNS durante l'installazione del ruolo del server DNS. Creare record di delega nella zona DNS padre per garantire la corretta risoluzione dei nomi e il trasferimento dell'autorità per la zona DNS del nuovo controller di dominio. |
| RODC Options | Configurare gli account amministratore delegati in grado di gestire localmente il controller di dominio di sola lettura (RODC) e configurare i Criteri di Replica delle Password (PRP) per controllare quali password utente e account computer possono essere memorizzate nella cache sul RODC per l'autenticazione. |
| Additional Options | Specificare il nome di dominio NetBIOS per i nuovi domini, selezionare un controller di dominio specifico come origine di replica e configurare l'installazione da opzioni multimediali usando supporti di backup creati con Windows Server Backup o ntdsutil.exe per ridurre il tempo di installazione. |
| Paths | Impostare percorsi di file system personalizzati per il database di Active Directory (ntds.dit), i log delle transazioni di database e SYSVOL la cartella condivisa anziché usare i percorsi predefiniti delle unità di sistema per migliorare le prestazioni o la gestione dell'archiviazione. |
| Preparation Options | Specificare le credenziali di Enterprise Admins, Schema Admins o Domain Admins per eseguire i comandi necessari adprep.exe (forestprep, domainprepo rodcprep) quando l'account utente corrente non dispone di autorizzazioni sufficienti per la preparazione dello schema o del dominio. |
| Review Options | Esaminare e convalidare tutte le impostazioni di configurazione selezionate prima di avviare il processo di installazione. Esportare la configurazione come script di Windows PowerShell per scopi di automazione o documentazione e apportare modifiche finali, se necessario. |
| Prerequisites Check | Visualizzare i risultati completi dei controlli di convalida dei prerequisiti, tra cui connettività di rete, risoluzione DNS, verifica delle autorizzazioni e requisiti di sistema. Mostra eventuali avvisi o errori che devono essere risolti prima di procedere. |
| Results | Visualizzare i risultati finali e lo stato del processo di installazione o promozione del controller di dominio, tra cui conferma dell'esito positivo, eventuali avvisi post-installazione e opzioni per riavviare il server per completare la configurazione. |
Quando si abbassa di livello un controller di dominio, si esplorano le pagine seguenti:
| Pagina di configurazione di Active Directory | Description |
|---|---|
| Credentials | Specificare le credenziali necessarie per l'operazione di abbassamento di livello, incluse le credenziali di amministratore di dominio per i controller di dominio aggiuntivi o le credenziali di Enterprise Admins per l'ultimo controller di dominio in un dominio. Configurare le opzioni di rimozione forzata se il controller di dominio non può contattare altri controller di dominio. |
| Warnings | Esaminare gli avvisi relativi alla rimozione di ruoli e servizi critici ospitati dal controller di dominio, ad esempio server DNS, catalogo globale o ruoli master delle operazioni. Confermare l'impatto della rimozione di questi ruoli prima di procedere con l'abbassamento di livello. |
| Removal Options | Configurare le opzioni di rimozione della delega della zona DNS quando il controller di dominio che ospita le zone DNS viene abbassato di livello. Rimuovere il server DNS dalle deleghe di zona per evitare problemi di risoluzione DNS dopo l'abbassamento di livello. |
| Nuova password amministratore | Impostare una nuova password per l'account amministratore locale predefinito che verrà usato dopo l'abbassamento di livello quando il computer diventa un server membro o un computer del gruppo di lavoro anziché un controller di dominio. |
| Review Options | Esaminare e convalidare tutte le impostazioni di abbassamento di livello prima di avviare il processo. Esportare la configurazione come script di Windows PowerShell a scopo di automazione e confermare le impostazioni finali prima di avviare l'abbassamento di livello del controller di dominio. |
Pagine durante la promozione di un server in un controller di dominio
Le sezioni seguenti descrivono le pagine visualizzate quando si usa la Configurazione guidata Servizi di dominio Active Directory per alzare di livello un server a un controller di dominio.
Deployment Configuration
Server Manager begins every domain controller installation with the Deployment Configuration page. Le opzioni e i campi obbligatori visualizzati in questa pagina e nelle pagine successive dipendono dall'operazione di distribuzione selezionata.
The wizard runs some validations and tests on the Deployment Configuration page and again later as part of prerequisite checks. Ad esempio, viene eseguito un controllo quando si tenta di installare il primo controller di dominio di Windows Server in una foresta. Se il livello funzionale della foresta non supporta la versione di Windows Server del controller di dominio, viene visualizzato un errore in questa pagina.
Le sezioni seguenti descrivono le operazioni di distribuzione che è possibile selezionare in questa pagina.
Creare una foresta
Lo screenshot seguente mostra le opzioni visualizzate quando si crea una foresta:
Quando si crea una foresta, è necessario specificare un nome per il dominio radice della foresta.
- Il nome di dominio radice della foresta non può essere con etichetta singola. Ad esempio, deve essere
example-domain.comanzichéexample-domain. - Deve usare le convenzioni di denominazione del dominio DNS (Domain Name System) consentite. Per altre informazioni sulle convenzioni di denominazione dei domini DNS, vedere Convenzioni di denominazione in Active Directory per computer, domini, siti e unità organizzative.
- È possibile specificare un nome di dominio internazionalizzato (IDN).
- Il nome di dominio radice della foresta non può essere con etichetta singola. Ad esempio, deve essere
Il nome di qualsiasi foresta Active Directory creata deve essere diverso dal nome DNS esterno. Ad esempio, se l'URL DNS Internet è
https://example-domain.com, è necessario scegliere un nome diverso per la foresta interna per evitare problemi di compatibilità futuri. Tale nome deve essere univoco e improbabile per il traffico Web, ad esempiocorp.example-domain.com.È necessario essere membri del gruppo Administrators nel server in cui si vuole creare una foresta.
Per altre informazioni su come creare una foresta, vedere Installare una nuova foresta di Active Directory in Windows Server 2012 (livello 200).
Creare un dominio
Lo screenshot seguente mostra le opzioni visualizzate quando si crea un dominio:
Note
Quando si crea un dominio ad albero, è necessario specificare il nome del dominio radice della foresta anziché il dominio padre. Tuttavia, le pagine e le opzioni rimanenti della procedura guidata sono le stesse se si crea un dominio figlio o un dominio ad albero.
Per Nome di dominio padreselezionare Seleziona per passare al dominio padre o all'albero di Active Directory oppure immettere un nome di dominio o albero padre valido.
In Nuovo nome di dominio immettere il nome del nuovo dominio.
- Per un dominio ad albero, fornire un nome di dominio radice valido e pienamente qualificato. Il nome non può essere con etichetta singola e deve soddisfare i requisiti del nome di dominio DNS.
- Per un dominio figlio specificare un nome di dominio figlio con etichetta singola valido. Il nome deve soddisfare i requisiti del nome di dominio DNS.
Se le tue credenziali attuali non appartengono al dominio, la Configurazione guidata dei Servizi di dominio Active Directory ti chiederà le credenziali di dominio. Select Change to provide domain credentials.
Per altre informazioni su come creare un dominio, vedere Installare un nuovo dominio albero o un elemento figlio di Active Directory in Windows Server 2012 (livello 200).
Aggiungere un controller di dominio a un dominio esistente
Lo screenshot seguente mostra le opzioni visualizzate quando si aggiunge un nuovo controller di dominio a un dominio esistente:
For Domain, select Select to go to the domain, or enter a valid domain name.
Se necessario, Server Manager richiede le credenziali valide. Per installare un ulteriore controller di dominio, è necessario appartenere al gruppo Domain Admins.
Inoltre, l'installazione del primo controller di dominio che esegue Windows Server in una foresta richiede credenziali che includono le appartenenze ai gruppi Enterprise Admins e Schema Admins. La Configurazione guidata di Active Directory Domain Services le richiede successivamente se le credenziali correnti non hanno le necessarie autorizzazioni o appartenenze ai gruppi.
Per altre informazioni su come aggiungere un controller di dominio a un dominio esistente, vedere Installare un controller di dominio di replica Windows Server 2012 in un dominio esistente (livello 200).
Opzioni controller di dominio
Le opzioni visualizzate nella pagina Opzioni controller di dominio dipendono dall'operazione di distribuzione. Le sezioni seguenti descrivono le opzioni configurate per ogni operazione.
Nuove opzioni della foresta
Quando si crea una foresta, nella pagina Opzioni controller di dominio vengono visualizzate le opzioni visualizzate nello screenshot seguente:
I valori predefiniti dei livelli di funzionalità della foresta e del dominio dipendono dalla versione di Windows Server.
A partire dalla versione di Windows Server 2012, il livello funzionale del dominio offre le seguenti impostazioni nel modello amministrativo del key distribution center (KDC) il supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos:
- Fornire sempre dichiarazioni
- Fallire le richieste di autenticazione non protette.
Per altre informazioni, vedere Supporto per attestazioni, autenticazione composta e blindatura Kerberos.
Tutti i domini creati in una foresta operano automaticamente a livello di funzionalità del dominio uguale al livello funzionale della foresta selezionato. Inoltre, tutti i controller di dominio nel dominio eseguono la versione di Windows Server del livello di funzionalità del dominio selezionato.
Per altre informazioni sulle funzionalità disponibili a vari livelli funzionali, vedere Livelli funzionali di Servizi di dominio Active Directory.
Le funzionalità disponibili in un controller di dominio dipendono dalla versione di Windows Server eseguita dal controller di dominio.
Quando si crea una foresta, l'opzione server DNS (Domain Name System) è selezionata per impostazione predefinita. Il primo controller di dominio nella foresta deve essere un server di catalogo globale e non può essere un controller di dominio di sola lettura (RODC).
Per accedere a un controller di dominio che non esegue Servizi di dominio Active Directory, è necessaria la password della modalità di ripristino dei servizi directory (DSRM). La password specificata deve rispettare i criteri password applicati al server. Per impostazione predefinita, tale criterio non richiede una password complessa. Richiede solo una password non vuota. Scegliere sempre una password complessa e di difficile individuazione o preferibilmente una passphrase. Per informazioni su come sincronizzare la password DSRM con la password di un account utente di dominio, vedere l'articolo del supporto tecnico sulla sincronizzazione delle password.
Per altre informazioni su come creare una foresta, vedere Installare una nuova foresta di Active Directory in Windows Server 2012 (livello 200).
Nuove opzioni di dominio figlio
Quando si crea un dominio figlio, nella pagina Opzioni controller di dominio vengono visualizzate le opzioni visualizzate nello screenshot seguente:
Il valore predefinito del livello di funzionalità del dominio dipende dalla versione di Windows Server. È possibile specificare qualsiasi valore maggiore o uguale al livello di funzionalità della foresta.
È possibile configurare le opzioni del controller di dominio seguenti:
- Server DNS (Domain Name System)
- Catalogo globale (GC)
Non è possibile configurare il primo controller di dominio in un nuovo dominio come RODC.
È consigliabile che tutti i controller di dominio forniscano servizi di catalogo DNS e globale per la disponibilità elevata in ambienti distribuiti. Per questo motivo, la procedura guidata abilita queste opzioni per impostazione predefinita quando si crea un dominio.
È anche possibile usare questa pagina per selezionare un nome di sito logico di Active Directory appropriato dalla configurazione della foresta. Per impostazione predefinita, viene selezionato il sito con la subnet più corretta. Se è presente un solo sito, tale sito viene selezionato automaticamente.
Important
Se il server non appartiene a una subnet di Active Directory e sono presenti più siti, non viene selezionato alcun elemento. The Next button isn't available until you select a site from the list.
Per altre informazioni su come creare un dominio, vedere Installare un nuovo dominio albero o un elemento figlio di Active Directory in Windows Server 2012 (livello 200).
Opzioni per l'aggiunta di un controller di dominio a un dominio
Quando si aggiunge un controller di dominio a un dominio, nella pagina Opzioni controller di dominio vengono visualizzate le opzioni visualizzate nello screenshot seguente:
È possibile configurare le opzioni del controller di dominio seguenti:
- Server DNS (Domain Name System)
- Catalogo globale (GC)
- Controller di dominio di sola lettura
È consigliabile che tutti i controller di dominio forniscano servizi di catalogo DNS e globale per la disponibilità elevata in ambienti distribuiti. Per questo motivo, queste opzioni sono abilitate per impostazione predefinita. Per ulteriori informazioni sulla distribuzione dei controller di dominio di sola lettura (RODC), vedere Guida alla pianificazione e distribuzione dei Controller di Dominio di Sola Lettura.
Per altre informazioni su come aggiungere un controller di dominio a un dominio esistente, vedere Installare un controller di dominio di replica Windows Server 2012 in un dominio esistente (livello 200).
DNS Options
If you install the DNS server role, the following DNS Options page appears:
Quando si installa il ruolo del server DNS, i record di delega che puntano al server DNS in quanto autorevoli per la zona devono essere creati nella zona padre del DNS. I record di delega trasferiscono l'autorità di risoluzione dei nomi. Forniscono anche riferimenti corretti ad altri server DNS e client di nuovi server autorevoli per la nuova zona. Questi record di risorse includono i record seguenti:
- Un record di risorse server dei nomi (NS) per effettuare la delega. Questo record di risorse annuncia che il server denominato
ns1.na.example.microsoft.comè un server autorevole per il sottodominio delegato. - Record di risorse host (A o AAAA), noto anche come record glue. Questo record deve essere presente per risolvere il nome del server specificato nel record di risorse NS nel relativo indirizzo IP. The process of resolving the host name in this resource record to the delegated DNS server in the NS resource record is sometimes referred to as glue chasing.
È possibile permettere alla Configurazione guidata dei Servizi di dominio Active Directory di creare automaticamente questi record. Nella pagina Opzioni controller di dominio , se si seleziona Avanti, la procedura guidata verifica che i record appropriati esistano nella zona DNS padre. Se la procedura guidata non è in grado di verificare che i record esistano nel dominio padre, la procedura guidata consente di creare una delega DNS per un nuovo dominio (o aggiornare la delega esistente) automaticamente e continuare con la nuova installazione del controller di dominio.
In alternativa, è possibile creare questi record di delega DNS prima di installare il ruolo del server DNS. To create a zone delegation, open DNS Manager, right-click the parent domain, and then select New Delegation. Seguire i passaggi nella Procedura guidata nuova delega per creare la delega.
Il processo di installazione tenta di creare la delega per garantire che i computer in altri domini siano in grado di risolvere query DNS per gli host, inclusi i controller di dominio e i computer membro, nel sottodominio DNS. I record di delega possono essere creati automaticamente solo nei server DNS Microsoft. If the parent DNS domain zone resides on third-party DNS servers such as Berkeley Internet Name Domain (BIND) servers, a warning about the failure to create DNS delegation records appears on the Prerequisites Check page. Per altre informazioni sull'avviso, vedere Problemi noti per l'installazione e la rimozione di Active Directory Domain Services.
Le deleghe tra il dominio padre e il sottodominio da promuovere possono essere create e convalidate prima o dopo l'installazione. Non esiste alcun motivo per ritardare l'installazione di un nuovo controller di dominio perché non è possibile creare o aggiornare la delega DNS.
Per altre informazioni sulla delega, vedere Informazioni sulla delega della zona. Se la delega di zona non è possibile nella situazione, è possibile prendere in considerazione altri metodi per fornire la risoluzione dei nomi da altri domini agli host nel dominio. Ad esempio, l'amministratore DNS di un altro dominio può configurare l'inoltro condizionale, le zone stub o le zone secondarie per risolvere i nomi nel dominio. Per altre informazioni, vedere le risorse seguenti:
RODC Options
Il seguente screenshot mostra le opzioni visualizzate quando si installa un RODC (controller di dominio di sola lettura).
È possibile usare l'opzione Account amministratore delegato per specificare gli account che sono assegnati autorizzazioni amministrative locali per il controller di dominio di sola lettura (RODC). Questi utenti possono operare con privilegi equivalenti al gruppo Administrators del computer locale. Non sono membri del gruppo Domain Admins o del gruppo incorporato Administrators del dominio. Questa opzione è utile per delegare l'amministrazione della succursale senza concedere autorizzazioni amministrative al dominio. La configurazione delle deleghe di amministrazione non è necessaria. Per altre informazioni, vedere Separazione dei ruoli di amministratore.
È possibile usare le opzioni rimanenti nella pagina per configurare i criteri di replica delle password (PRP), che funge da elenco di controllo di accesso (ACL). Questo criterio determina se un controller di dominio di sola lettura può archiviare nella cache una password. Dopo che il controller di dominio di sola lettura (RODC) riceve una richiesta di accesso per un utente o computer autenticato, fa riferimento al PRP per determinare se la password dell'account deve essere memorizzata nella cache. Lo stesso account può quindi eseguire gli accessi successivi in modo più efficiente. Quando un account è memorizzato nella cache, il RODC può autenticare l'account anche se il collegamento WAN al sito hub è offline.
Il PRP elenca due tipi di account:
- Account con password che possono essere memorizzate nella cache
- Account con password negate esplicitamente dalla memorizzazione nella cache
Se un account utente o computer è presente nell'elenco di account che possono essere archiviati, il controller di dominio di sola lettura non ha necessariamente archiviato la password per tale account. Ad esempio, un amministratore può specificare in anticipo gli account che un controller di dominio di sola lettura deve conservare nella cache.
Le password non vengono memorizzate nella cache per gli account utente o computer non negati o consentiti, in modo esplicito o implicito. Se questi utenti o computer non hanno accesso a un controller di dominio scrivibile, non possono accedere alle risorse o alle funzionalità fornite da Servizi di dominio Active Directory. Per altre informazioni su PRP, vedere Criteri di replica delle password. Per altre informazioni sulla gestione di PRP, vedere Amministrazione dei criteri di replica delle password.
Per altre informazioni sull'installazione di controller di dominio di sola lettura, vedere Installare un controller di dominio di sola lettura di Active Directory in Windows Server 2012 (livello 200).
Additional Options
The following screenshot shows the option that appears on the Additional Options page when you create a domain:
The following screenshot shows the options that appear on the Additional Options page when you add a domain controller to an existing domain:
You can use the Replicate from option to specify a domain controller as the replication source, or to allow the wizard to choose any domain controller as the replication source.
È possibile usare l'opzione Installa da media per specificare un'origine di media già salvata da usare per installare il controller di dominio. If the installation media is stored locally, you can use the Path option to select the file location. Questa opzione non è disponibile per un'installazione remota. You can select Verify to ensure the provided path is valid media. Devi creare il supporto che utilizzi per questa opzione usando Windows Server Backup oppure
ntdsutil.exeda un altro computer Windows Server esistente. Non è possibile usare un sistema operativo precedente a Windows Server 2012 per creare supporti per il controller di dominio. Se il supporto è protetto con una password SysKey, Server Manager richiede la password dell'immagine durante la verifica.
Per altre informazioni su come creare un dominio, vedere Installare un nuovo dominio albero o un elemento figlio di Active Directory in Windows Server 2012 (livello 200). Per altre informazioni su come aggiungere un controller di dominio a un dominio esistente, vedere Installare un controller di dominio di replica Windows Server 2012 in un dominio esistente (livello 200).
Paths
The following screenshot shows the options that appear on the Paths page:
You can use the Paths page to override the default folder locations of the AD DS database (NTDS.DIT), the database transaction logs, and the SYSVOL share. I percorsi predefiniti si trovano sempre nella %systemroot% cartella . Per un'installazione locale, è possibile selezionare un percorso per l'archiviazione dei file.
Preparation Options
The following screenshot shows the Preparation Options page:
Questa Pagina richiede di specificare le credenziali per eseguire adprep.exe. La procedura guidata visualizza questa pagina quando vengono soddisfatte entrambe le condizioni seguenti:
- Non sei attualmente connesso con credenziali sufficienti per eseguire comandi
adprep.exe. - Per completare l'installazione di Servizi di dominio Active Directory, è necessario eseguire
adprep.exe.
Lo adprep.exe strumento è necessario per l'esecuzione nelle situazioni seguenti:
Il
adprep /forestprepcomando deve essere eseguito per aggiungere il primo controller di dominio che esegue Windows Server 2012 a una foresta esistente. Per eseguire questo comando, è necessario essere membri del gruppo Enterprise Admins, del gruppo Schema Admins e del gruppo Domain Admins del dominio che ospita il master dello schema. Affinché questo comando venga eseguito correttamente, è necessario che sia presente la connettività tra il computer in cui si esegue il comando e il master dello schema per la foresta.Il
adprep /domainprepcomando deve essere eseguito per aggiungere il primo controller di dominio che esegue Windows Server 2012 a un dominio esistente. Questo comando deve essere eseguito da un membro del gruppo Domain Admins del dominio in cui si installa il controller di dominio che esegue Windows Server. Affinché questo comando venga eseguito correttamente, è necessario che sia presente la connettività tra il computer in cui si esegue il comando e il master infrastruttura per il dominio.Il comando
adprep /rodcprepdeve essere eseguito per aggiungere il primo RODC a una foresta esistente. Per eseguire questo comando è necessario essere membro del gruppo Enterprise Admins. Affinché questo comando venga eseguito correttamente, deve essere presente la connettività tra il computer in cui si esegue il comando e il master dell'infrastruttura per ogni partizione di directory dell'applicazione nella foresta.
For more information about adprep.exe, see Adprep.exe integration and Running Adprep.exe.
Review Options
The following screenshot shows the Review Options page:
You can use the Review Options page to validate your settings and ensure that they meet your requirements before you start the installation. Questa pagina non è l'ultima opportunità in Server Manager per arrestare l'installazione. È possibile usare questa pagina per rivedere e confermare le impostazioni prima di continuare la configurazione.
On this page, you also have the option of using the View script button to create a Unicode text file that contains the current
ADDSDeploymentmodule configuration as a single Windows PowerShell script. Di conseguenza, è possibile usare l'interfaccia grafica di Server Manager come studio di distribuzione di Windows PowerShell:- Usare l'Utilità di configurazione guidata dei Servizi di dominio di Active Directory per configurare le opzioni.
- Esportare la configurazione.
- Annullare la procedura guidata.
Questo processo crea un esempio valido e sintatticamente corretto che può essere utilizzato direttamente o successivamente modificato.
Prerequisites Check
The following screenshot shows the Prerequisites Check page:
In questa pagina vengono visualizzati potenziali problemi rilevati durante il controllo dei prerequisiti. I risultati possono elencare gli avvisi, inclusi quelli seguenti:
I controller di dominio che eseguono Windows Server hanno un'impostazione predefinita, Consenti algoritmi di crittografia compatibili con Windows NT 4, che impedisce ai client che usano algoritmi di crittografia più deboli di stabilire sessioni di canale sicure. Per altre informazioni sul potenziale impatto e una soluzione alternativa, vedere Disabilitare l'impostazione AllowNT4Crypto in tutti i controller di dominio interessati.
Non è possibile creare o aggiornare una delega DNS. For more information, see DNS Options.
Le chiamate di Strumentazione di gestione di Windows (WMI) hanno esito negativo. Il controllo dei prerequisiti richiede chiamate WMI. Se una chiamata WMI è bloccata dalle regole del firewall, può non riuscire e restituire un errore di server RPC (Remote Procedure Call).
For more information about the specific prerequisite checks that are performed for AD DS installation, see Prerequisite tests.
Results
The following screenshot shows the Results page:
In questa pagina è possibile rivedere i risultati dell'installazione.
È anche possibile riavviare il server di destinazione da questa pagina al termine della procedura guidata. Tuttavia, se l'installazione ha esito positivo, il server viene riavviato indipendentemente dal fatto che si selezioni l'opzione.
In alcuni casi, il server di destinazione non viene riavviato. Se la procedura guidata termina su un server di destinazione che non è aggiunto al dominio prima dell'installazione, lo stato del sistema del server di destinazione può rendere il server non raggiungibile in rete. Lo stato del sistema può anche impedire di disporre delle autorizzazioni per gestire il server remoto.
Se il server di destinazione non viene riavviato in questi casi, è necessario riavviarlo manualmente. Non è possibile usare strumenti, ad esempio shutdown.exe o Windows PowerShell, per riavviarlo. È possibile usare i Servizi Desktop Remoto per accedere e arrestare in remoto il server di destinazione.
Pagine quando si abbassa di livello un controller di dominio
Le sezioni seguenti descrivono le pagine visualizzate quando si usa la Configurazione guidata Servizi di dominio Active Directory per abbassare di livello un controller di dominio.
Credentials
The following screenshot shows the Credentials page that appears at the start of the demotion process.
In questa pagina si configurano le opzioni di abbassamento di livello. Per eseguire l'abbassamento di livello in varie situazioni sono necessarie le credenziali seguenti:
L'abbassamento di livello di un controller di dominio aggiuntivo richiede le credenziali Domain Admin. Selezionando Rimozione forzata del controller di dominio declassa il controller di dominio senza rimuovere i metadati dell'oggetto del controller di dominio da Active Directory.
Important
Non selezionare l'opzione Forzare la rimozione di questo controller di dominio a meno che il controller di dominio non possa contattare altri controller di dominio e non esiste un modo ragionevole per risolvere il problema di rete. La retrocessione forzata crea metadati orfani in Active Directory nei rimanenti controller di dominio all'interno della foresta. Inoltre, tutte le modifiche non replicate nel controller di dominio, ad esempio password o nuovi account utente, vengono perse per sempre. I metadati orfani sono la causa radice in una percentuale significativa di casi di supporto Microsoft per Servizi di dominio Active Directory, Microsoft Exchange, SQL Server e altro software. If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Per istruzioni, vedere Pulire i metadati del server.
L'abbassamento di livello dell'ultimo controller di dominio in un dominio richiede l'appartenenza al gruppo Enterprise Admins, perché questa azione rimuove il dominio stesso. Se il dominio è l'ultimo nella foresta, con questa azione la foresta verrà rimossa anch'essa. Server Manager ti informa se il controller di dominio corrente è l'ultimo controller del dominio. Selezionare ultimo controller di dominio nel dominio per confermare che il controller di dominio è l'ultimo controller di dominio nel dominio.
Per ulteriori informazioni sulla rimozione di Servizi di dominio Active Directory, vedere Rimozione di Active Directory Domain Services (livello 100) e Retrocedere i controller di dominio e i domini.
Warnings
Quando si usa Server Manager per abbassare di livello un controller di dominio, la procedura guidata visualizza avvisi in determinati casi. If the domain controller also hosts other roles, such as the DNS server or global catalog server roles, the following Warnings page appears:
Before you can select Next to continue, you must select Proceed with removal to acknowledge that demoting the domain controller makes those roles unavailable.
Se si forza la rimozione di un controller di dominio:
Tutte le modifiche apportate agli oggetti di Active Directory che non vengono replicate in altri controller di dominio nel dominio vengono perse.
Tutte le partizioni di directory dell'applicazione nel controller di dominio vengono rimosse. Se il controller di dominio contiene l'ultima replica di una o più partizioni di directory dell'applicazione, tali partizioni non esistono più al termine dell'operazione di rimozione.
Le operazioni critiche nel dominio e nella foresta possono essere interessate nei modi seguenti se il controller di dominio ospita determinati ruoli:
Role Risultato della rimozione del controller di dominio Azione da eseguire prima di continuare Global catalog Gli utenti potrebbero avere problemi di accesso ai domini nella foresta. Assicurarsi che nella foresta e nel sito siano presenti server di catalogo globali sufficienti per l'accesso degli utenti. Se necessario, designare un altro server di catalogo globale e aggiornare client e applicazioni con le nuove informazioni. DNS server Tutti i dati DNS archiviati nelle zone integrate in Active Directory vengono persi. Dopo aver rimosso Servizi di dominio Active Directory, il server DNS non è in grado di eseguire la risoluzione dei nomi per le zone DNS integrate in Active Directory. Aggiornare la configurazione DNS di tutti i computer che attualmente fanno riferimento all'indirizzo IP del server DNS per la risoluzione dei nomi. Configurarli con l'indirizzo IP di un nuovo server DNS. Infrastructure master I client nel dominio potrebbero avere difficoltà a individuare oggetti in altri domini. Trasferire il ruolo master dell'infrastruttura a un controller di dominio che non è un server di catalogo globale. Master ID relativo (RID) Potrebbero verificarsi problemi durante la creazione di account utente, account computer e gruppi di sicurezza. Trasferire il ruolo master RID a un controller di dominio che si trova nello stesso dominio del controller di dominio che si sta declassificando. Emulatore del controller di dominio primario (PDC) Le operazioni eseguite dall'emulatore PDC, ad esempio gli aggiornamenti di Criteri di gruppo e le reimpostazioni delle password per gli account non Active Directory Domain Services, non funzionano correttamente. Trasferire il ruolo master dell'emulatore PDC a un controller di dominio che si trova nello stesso dominio del controller di dominio che si sta declassando. Schema master Non è più possibile modificare lo schema per la foresta. Trasferire il ruolo master dello schema a un controller di dominio nel dominio radice nella foresta. Maestro per la denominazione dei domini Non è più possibile aggiungere o rimuovere domini dalla foresta. Trasferire il ruolo master di denominazione del dominio a un controllore di dominio nel dominio radice all'interno della foresta.
Prima di rimuovere un controller di dominio che ospita tutti i ruoli master operazioni, provare a trasferire il ruolo a un altro controller di dominio.
Se non è possibile trasferire il ruolo, rimuovere prima i Servizi di dominio Active Directory (AD DS) dal computer. Quindi, per prendere il ruolo, usare ntdsutil.exe nel controller di dominio a cui si intende assegnare il ruolo. Se possibile, usa un partner di replica recente nello stesso sito del controller di dominio che stai disattivando. Per altre informazioni sul trasferimento e la acquisizione dei ruoli master delle operazioni, vedere Trasferire o sequestrare i ruoli master operazione in Servizi di dominio Active Directory.
Se la procedura guidata non è in grado di determinare se il controller di dominio ospita un ruolo master delle operazioni, eseguire il comando netdom.exe per determinare se il controller di dominio esegue qualche ruolo master delle operazioni.
Dopo aver disinstallato Servizi di dominio Active Directory dall'ultimo controller di dominio nel dominio, il dominio non esiste più.
Removal Options
Se il controller di dominio abbassato di livello è un server DNS delegato per ospitare la zona DNS, viene visualizzata la pagina seguente. Offre la possibilità di rimuovere il server DNS dalla delega della zona DNS.
Per ulteriori informazioni sulla rimozione di Servizi di dominio Active Directory, vedere Rimozione di Active Directory Domain Services (livello 100) e Retrocedere i controller di dominio e i domini.
La nuova password dell'amministratore
La pagina Nuova password amministratore richiede di specificare una password per l'account amministratore del computer locale predefinito. Questa password viene usata al termine dell'abbassamento di livello e il computer diventa un server membro del dominio o un computer del gruppo di lavoro.
Per ulteriori informazioni sulla rimozione di Servizi di dominio Active Directory, vedere Rimozione di Active Directory Domain Services (livello 100) e Retrocedere i controller di dominio e i domini.
Review Options
The following screenshot shows the Review Options page that you see when you demote a domain controller:
È possibile usare questa pagina per esaminare le selezioni e avviare l'abbassamento di livello.
Questa pagina offre anche la possibilità di esportare le impostazioni di configurazione per l'abbassamento di livello in uno script di Windows PowerShell in modo da automatizzare altre demozioni.
To demote the server, select Demote.