Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo argomento viene illustrato come aggiungere domini figlio e albero a una foresta di Windows Server 2012 esistente, con Server Manager o Windows PowerShell.
Flusso di lavoro per domini figlio e domini albero
Il diagramma seguente illustra il processo di configurazione di Servizi di dominio Active Directory, quando in precedenza è stato installato il ruolo Servizi di dominio Active Directory ed è stata avviata la Configurazione guidata Servizi di dominio Active Directory mediante Server Manager per creare un nuovo dominio in una foresta esistente.
Windows PowerShell per domini figlio e domini albero
ADDSDeployment Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
---|---|
Install-AddsDomain | -SkipPreChecks -NewDomainName -ParentDomainName -SafeModeAdministratorPassword -ADPrepCredential -AllowDomainReinstall -Confirm -CreateDNSDelegation -Credential -DatabasePath -DNSDelegationCredential -NoDNSOnNetwork -DomainMode -DomainType -Force -InstallDNS -LogPath -NewDomainNetBIOSName -NoGlobalCatalog -NoNorebootoncompletion -ReplicationSourceDC -SiteName -SkipAutoConfigureDNS -SYSVOLPath -Whatif |
Note
The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.
Deployment
Deployment Configuration
Nella cattura di schermata seguente vengono visualizzate le opzioni per aggiungere un dominio figlio:
Nella cattura di schermata seguente vengono visualizzate le opzioni per aggiungere un dominio albero:
Server Manager begins every domain controller promotion with the Deployment Configuration page. Le opzioni restanti e i campi obbligatori in questa pagina e nella pagine successive sono diversi a seconda dell'operazione di distribuzione selezionata.
In questo argomento vengono combinate due operazioni diverse: innalzamento di livello di un dominio figlio e innalzamento di livello di un dominio albero. La sola differenza tra le due operazioni è il tipo di dominio che si sceglie di creare. Tutti gli altri passaggi sono identici per entrambe le operazioni.
Per creare un nuovo dominio figlio, fare clic su Aggiungi un nuovo dominio a una foresta esistente e scegliere Dominio figlio. Per Nome dominio padre, digitare o selezionare il nome del dominio padre. A questo punto digitare il nome del nuovo dominio nella casella Nuovo nome dominio. Specificare un nome di dominio figlio con etichetta singola valido. Il nome deve rispettare i requisiti DNS per i nomi di dominio.
Per creare un dominio albero in una foresta esistente, fare clic su Aggiungi un nuovo dominio a una foresta esistente e scegliere Dominio albero. Digitare il nome del dominio radice della foresta e quindi digitare il nome del nuovo dominio. Specificare un nome valido e completo per il dominio radice. Il nome non può avere un'etichetta singola e deve rispettare i requisiti DNS per i nomi di dominio.
Per altre informazioni sui nomi DNS, vedi Convenzioni di denominazione in Active Directory per computer, domini, siti e unità organizzative.
La Configurazione guidata Servizi di dominio Active Directory di Server Manager richiede l'immissione delle credenziali per il dominio se le proprie attuali credenziali non appartengono al dominio. Click Change to provide domain credentials for the promotion operation.
Il cmdlet di ADDSDeployment per Configurazione distribuzione e gli argomenti sono:
Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>
Opzioni controller di dominio
La pagina Opzioni controller di dominio specifica le opzioni per il nuovo controller di dominio. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.
È consigliabile che tutti i controller di dominio forniscano servizi DNS e di catalogo globale per garantire un'elevata disponibilità negli ambienti distribuiti. Il catalogo globale è sempre selezionato per impostazione predefinita e DNS è selezionato per impostazione predefinita se il dominio corrente ospita già DNS sui controller di dominio in base a una query Origine di autorità. È necessario specificare anche un Livello di funzionalità dominio. Il livello di funzionalità dominio predefinito è Windows Server 2012 ed è possibile scegliere qualsiasi altro valore uguale o superiore al livello di funzionalità foresta corrente.
Nella pagina Opzioni controller di dominio è anche possibile scegliere dalla configurazione della foresta un nome del sito di Active Directory logico e appropriato. Per impostazione predefinita, viene selezionato il sito con la subnet più corretta. Se è presente un solo sito, viene selezionato automaticamente.
Important
If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.
La Password modalità ripristino servizi directory specificata deve soddisfare i criteri password applicati al server. Scegliere sempre una password complessa e di difficile individuazione o preferibilmente una passphrase.
Gli argomenti del cmdlet ADDSDeployment per Opzioni controller di dominio sono:
-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>
Important
The site name must already exist when provided as a value to the sitename argument. The install-AddsDomainController cmdlet does not create site names. You can use the new-adreplicationsite cmdlet to create new sites.
The Install-ADDSDomainController cmdlet arguments follow the same defaults as Server Manager if not specified.
The SafeModeAdministratorPassword argument's operation is special:
If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
Ad esempio, per creare un nuovo dominio figlio denominato NorthAmerica nella foresta Contoso.com e ricevere la richiesta di immettere e confermare una password nascosta:
Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child
Se viene indicato con un valore, tale valore deve essere una stringa sicura. Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Poiché l'opzione precedente non chiede conferma della password, utilizzarla con estrema cautela, in quanto la password non è visibile.
È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Infine, è possibile archiviare la password offuscata in un file e quindi riutilizzarla in seguito, senza visualizzare mai la password non crittografata. For example:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
È sconsigliabile inserire o archiviare una password non crittografata o di testo offuscato. In questo modo, la password per la modalità ripristino servizi directory per il controller di dominio diverrebbe nota a chiunque esegua questo comando in uno script o riesca a leggerla dallo schermo dell'utente. Tutti gli utenti con accesso al file possono invertire la password offuscata. Conoscendo la password sarebbe quindi possibile accedere a un controller di dominio avviato in modalità ripristino servizi directory e infine fingersi il controller di dominio, innalzando i propri privilegi al massimo livello in una foresta Active Directory. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. La procedura consigliata è di evitare completamente l'archiviazione delle password.
Il modulo ADDSDeployment offre un'altra opzione per ignorare la configurazione automatica di impostazioni del client DNS, server d'inoltro e parametri radice. Non è configurabile quando si usa Server Manager. Questo argomento è importante solo se il servizio del server DNS è già stato installato prima di configurare il controller di dominio:
-SkipAutoConfigureDNS
Opzioni DNS e credenziali di delega DNS
The DNS Options page enables you to provide alternate DNS Admin credentials for delegation.
Quando si installa un nuovo dominio in una foresta esistente, in cui è stata selezionata l'installazione DNS nella pagina Opzioni controller di dominio, non è possibile configurare alcuna opzione. La delega viene eseguita automaticamente e irrevocabilmente. È possibile specificare credenziali amministrative DNS alternative con i diritti per aggiornare la struttura.
The DNS Options ADDSDeployment Windows PowerShell arguments are:
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Per altre informazioni sulla delega DNS, vedi Informazioni sulla delega delle zone.
Additional Options
The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Se, ad esempio, è stato specificato il nome di dominio completo corp.contoso.com, il nome di dominio NetBIOS predefinito è CORP.
Se il nome non contiene più di 15 caratteri e non è in conflitto con un altro nome NetBIOS, non viene modificato. Se è in conflitto con un altro nome NetBIOS, al nome viene aggiunto un numero. Se il nome contiene più di 15 caratteri, la procedura guidata propone un suggerimento univoco troncato. In entrambi i casi, la procedura guidata convalida prima il nome che non è già in uso tramite una ricerca WINS e una trasmissione NetBIOS.
Per altre informazioni sui nomi DNS, vedi Convenzioni di denominazione in Active Directory per computer, domini, siti e unità organizzative.
The Install-AddsDomain arguments follow the same defaults as Server Manager if not specified. The DomainNetBIOSName operation is special:
If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.
If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.
If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.
If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.
The Additional Options ADDSDeployment cmdlet argument is:
-newdomainnetbiosname <string>
Paths
The Paths page enables you to override the default folder locations of the AD DS database, the data base transaction logs, and the SYSVOL share. Le posizioni predefinite sono sempre in sottodirectory di %systemroot%.
The Paths ADDSDeployment cmdlet arguments are:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Verifica opzioni e Visualizza script
The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Questa non è l'ultima possibilità per interrompere l'installazione quando si utilizza Server Manager. È semplicemente un'opzione per confermare le impostazioni prima di proseguire con la configurazione.
The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. In questo modo è possibile utilizzare l'interfaccia grafica di Server Manager come strumento di distribuzione di Windows PowerShell. Utilizzare la Configurazione guidata Servizi di dominio Active Directory per configurare le opzioni, esportare la configurazione e annullare la procedura guidata. Questo processo crea un esempio valido e sintatticamente corretto che può essere utilizzato direttamente o successivamente modificato. For example:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Server Manager completa in genere tutti gli argomenti con i valori durante l'innalzamento di livello e non usa le impostazioni predefinite perché queste potrebbero cambiare nelle future versioni di Windows o nei Service Pack. The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Per forzare un prompt di conferma, omettere il valore quando si esegue il cmdlet in modo interattivo.
Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. In questo modo è possibile visualizzare i valori espliciti e impliciti degli argomenti per un cmdlet.
Prerequisites Check
The Prerequisites Check is a new feature in AD DS domain configuration. Questa nuova fase convalida che la configurazione server sia in grado di supportare un nuovo dominio Servizi di dominio Active Directory.
Quando si installa un nuovo dominio radice della foresta, la Configurazione guidata Servizi di dominio Active Directory di Server Manager richiama una serie di test modulari serializzati. Questi test avvisano l'utente con le opzioni di ripristino suggerite. È possibile eseguire i test ogni volta che è necessario. Il processo del controller di dominio non può continuare finché tutti i test sui prerequisiti non vengono superati.
The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.
For more information on the specific prerequisite checks, see Prerequisite Checking.
You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:
-skipprechecks
Warning
Microsoft sconsiglia di ignorare il controllo dei prerequisiti perché l'innalzamento di livello del controller di dominio potrebbe essere solo parziale o la foresta Servizi di dominio Active Directory potrebbe risultare danneggiata.
Click Install to begin the domain controller promotion process. È l'ultima opportunità per annullare l'installazione. Non è possibile annullare il processo di innalzamento di livello una volta iniziato. Al termine dell'innalzamento di livello il computer verrà riavviato automaticamente, indipendentemente dai risultati.
Installation
When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. I dettagli delle operazioni vengono visualizzati in questa pagina e scritti nei log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Per installare un nuovo dominio Active Directory con il modulo ADDSDeployment, usare il cmdlet seguente:
Install-addsdomain
Per gli argomenti obbligatori e facoltativi, vedi Child and Tree Domain Windows PowerShell . Il cmdlet Install-addsdomain ha solo due fasi (controllo dei prerequisiti e installazione). The two figures below show the installation phase with the minimum required arguments of -domaintype, -newdomainname, -parentdomainname, and -credential. Note how, just like Server Manager, Install-ADDSDomain reminds you that promotion will reboot the server automatically.
To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.
Warning
Si sconsiglia di eseguire l'override del riavvio. Il controller di dominio deve essere riavviato per funzionare correttamente.
Results
The Results page shows the success or failure of the promotion and any important administrative information. Il controller di dominio verrà automaticamente riavviato dopo 10 secondi.