Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo argomento viene illustrata la nuova funzionalità di innalzamento di livello dei controller di dominio di Servizi di dominio Active Directory di Windows Server 2012 a livello introduttivo. In Windows Server 2012, Servizi di dominio Active Directory sostituisce lo strumento Dcpromo con un sistema di distribuzione basato su Server Manager e Windows PowerShell.
Amministrazione semplificata di Servizi di dominio Active Directory
In Windows Server 2012 è stata introdotta la nuova generazione di amministrazione semplificata di Servizi di dominio Active Directory. Si tratta dell'innovazione più radicale realizzata dopo Windows 2000 Server. L'amministrazione semplificata di Servizi di dominio Active Directory prende le mosse dagli insegnamenti appresi in dodici anni di Active Directory per offrire un'esperienza amministrativa più supportata, flessibile e intuitiva ad architetti e amministratori. Il risultato è stata la creazione di nuove versioni delle tecnologie esistenti oltre all'estensione delle funzionalità dei componenti rilasciati in Windows Server 2008 R2.
Informazioni sull'amministrazione semplificata di Servizi di dominio Active Directory
L'Amministrazione semplificata di Servizi di dominio Active Directory è una nuova forma della distribuzione dei domini. Di seguito sono riportate alcune funzionalità:
La distribuzione dei ruoli di Servizi di dominio Active Directory fa ora parte della nuova architettura di Server Manager e consente l'installazione remota.
Il motore di distribuzione e configurazione di Servizi di dominio Active Directory è ora Windows PowerShell, anche quando si usa un'installazione grafica.
L'innalzamento di livello include ora il controllo dei prerequisiti che convalida la disponibilità di foreste e domini, riducendo la possibilità di innalzamenti di livello non riusciti.
Il livello di funzionalità della foresta di Windows Server 2012 non implementa nuove caratteristiche e il livello di funzionalità del dominio è richiesto solo per un subset di nuove caratteristiche Kerberos, sollevando gli amministratori dalla frequente necessità di un ambiente di controller di dominio omogeneo.
Scopo e vantaggi
Queste modifiche potrebbero apparire più complesse anziché più semplici. Nella riprogettazione del processo di distribuzione di Servizi di dominio Active Directory, tuttavia, si è presentata l'opportunità di unire diversi passaggi e procedure consigliate in azioni meno numerose e più semplici. Ciò significa, ad esempio, che la configurazione grafica di un nuovo controller di dominio di replica è ora costituita da otto finestre di dialogo contro le dodici precedenti. Creating a new Active Directory forest requires a single Windows PowerShell command with only one argument: the name of the domain.
L'importanza di Windows PowerShell in Windows Server 2012 è data dal fatto che, mentre l'elaborazione distribuita continua a evolvere, Windows PowerShell consente di usare un solo motore per la configurazione e la manutenzione sia dall'interfaccia grafica che da dall'interfaccia della riga di comando. Con Windows PowerShell i professionisti IT possono creare lo script completo di qualsiasi componente esattamente come farebbero gli sviluppatori con un'API. Mentre l'elaborazione basata su cloud diventa universale, Windows PowerShell offre infine la possibilità di amministrare in modalità remota un server, dove un computer senza interfaccia grafica ha le stesse funzionalità di gestione di uno con monitor e mouse.
Un amministratore esperto di Servizi di dominio Active Directory potrà mettere a frutto le proprie precedenti conoscenze, mentre un amministratore agli inizi sperimenterà una curva di apprendimento più bassa.
Technical Overview
Informazioni importanti prima di iniziare
In questo argomento si presuppone una certa familiarità con le versioni precedenti di Servizi di dominio Active Directory e non vengono forniti dettagli di base sullo scopo e sulle funzionalità. Per altre informazioni su Servizi di dominio Active Directory, vedere le pagine seguenti del portale TechNet:
Functional Descriptions
Installazione dei ruoli di Servizi di dominio Active Directory
L'installazione di Servizi di dominio Active Directory usa Server Manager e Windows PowerShell, come tutti gli altri ruoli del server e funzionalità in Windows Server 2012. Il programma Dcpromo.exe non contiene più le opzioni di configurazione GUI.
Si usa una procedura guidata grafica in Server Manager o il modulo di ServerManager per Windows PowerShell sia nelle installazioni locali che in quelle remote. Eseguendo più istanze di queste procedure guidate o cmdlet e impostando come destinazione server diversi, è possibile distribuire Servizi di dominio Active Directory in più controller di dominio contemporaneamente, tutti da una sola console. Anche se queste nuove funzionalità non sono compatibili con le versioni precedenti di Windows Server 2008 R2 o sistemi operativi precedenti, è tuttavia possibile usare ancora l'applicazione Dism.exe introdotta in Windows Server 2008 R2 per l'installazione locale del ruolo dalla classica riga di comando.
Configurazione del ruolo Servizi di dominio Active Directory
Configurazione di Active Directory Domain Services "in precedenza come DCPROMO" è ora un'operazione distinta dall'installazione del ruolo. Dopo l'installazione del ruolo Servizi di dominio Active Directory, un amministratore configura il server come controller di dominio con un'altra procedura guidata in Server Manager o con il modulo ADDSDeployment di Windows PowerShell.
La configurazione del ruolo Servizi di dominio Active Directory si basa su dodici anni di esperienza sul campo e ora i controller di dominio vengono configurati in base alle più recenti procedure consigliate di Microsoft. Domain Name System e i cataloghi globali, ad esempio, vengono installati per impostazione predefinita in ogni controller di dominio.
La configurazione guidata di Active Directory di Server Manager unisce più finestre di dialogo in meno prompt e non nasconde più le impostazioni in modalità "avanzata". L'intero processo di innalzamento di livello viene eseguito in una finestra di dialogo a espansione durante l'installazione. La procedura guidata e il modulo ADDSDeployment di Windows PowerShell mostrano le principali modifiche e problemi di sicurezza, con collegamenti a ulteriori informazioni.
Dcpromo.exe è stato lasciato in Windows Server 2012 solo per le installazioni automatiche dalla riga di comando e non esegue più l'installazione guidata grafica. Si consiglia di interrompere l'uso di Dcpromo.exe per le installazioni automatiche e di sostituirlo con il modulo ADDSDeployment, perché l'eseguibile attualmente deprecato non verrà incluso nella versione successiva di Windows.
Queste nuove funzionalità non sono compatibili con le versioni precedenti di Windows Server 2008 R2 o sistemi operativi precedenti.
Important
Dcpromo.exe non contiene più una procedura guidata grafica e non installa più i file binari del ruolo o delle funzionalità. Se si tenta di eseguire Dcpromo.exe dalla shell Esplora risorse, viene restituito:
"L'installazione guidata servizi di dominio Active Directory viene spostato in Server Manager. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=220921".
Se si tenta di eseguire Dcpromo.exe /unattend, i file binari vengono ancora installati, come nei sistemi operativi precedenti, ma viene visualizzato l'avviso:
"Il dcpromo in modalità automatica viene sostituito dal modulo ADDSDeployment per Windows PowerShell. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?LinkId=220924".
Dcpromo.exe è deprecato in Windows Server 2012 e non verrà incluso nelle versioni future di Windows né verrà ulteriormente migliorato in questo sistema operativo. Gli amministratori devono interromperne l'uso e passare ai moduli supportati di Windows PowerShell se desiderano creare controller di dominio dalla riga di comando.
Prerequisite Checking
La configurazione dei controller di dominio implementa anche una fase di controllo dei prerequisiti che valuta la foresta e il dominio prima di procedere con l'innalzamento di livello dei controller di dominio. Sono inclusi la disponibilità del ruolo FSMO, i privilegi utente, la compatibilità dello schema esteso e altri requisiti. Questa nuova progettazione riduce i problemi in cui l'innalzamento di livello dei controller di dominio inizia e quindi si ferma a metà con un errore di configurazione irreversibile. Di conseguenza sarà meno possibile che siano presenti metadati di controller di dominio orfani nella foresta o che un server venga erroneamente usato come controller di dominio.
Distribuzione di una foresta con Server Manager
In questa sezione viene illustrato come installare il primo controller di dominio in un dominio radice della foresta con Server Manager in un computer Windows Server 2012 grafico.
Processo di installazione del ruolo Servizi di dominio Active Directory di Server Manager
Il diagramma seguente illustra il processo di installazione del ruolo Servizi di dominio Active Directory, che inizia con l'esecuzione di ServerManager.exe e termina prima dell'innalzamento di livello del controller di dominio.
Pool di server e aggiunta di ruoli
Tutti i computer Windows Server 2012 accessibili dal computer che esegue Server Manager sono idonei per il pool. Dopo aver creato il pool, è possibile selezionare i server per l'installazione remota di Servizi di dominio Active Directory o per la configurazione di altre opzioni disponibili in Server Manager.
Per aggiungere i server, scegliere una delle procedure seguenti:
Fare clic su Aggiungi altri server da gestire nel riquadro iniziale del dashboard
Click the Manage menu and select Add Servers
Right-click All Servers and choose Add Servers
Viene visualizzata la finestra di dialogo Aggiungi server:
La finestra offre tre modi per aggiungere i server al pool per usarli o raggrupparli:
Ricerca in Active Directory (utilizza LDAP, richiede che i computer appartengano a un dominio, consente di filtrare i sistemi operativi e supporta i caratteri jolly)
Ricerca DNS (utilizza gli alias DNS o gli indirizzi IP tramite ARP, trasmissioni NetBIOS o ricerca WINS; non consente di filtrare i sistemi operativi e non supporta i caratteri jolly)
Importazione (utilizza un elenco di server nel formato file di testo con CR/LF come separatori)
Click Find Now to return a list of servers from that same Active Directory domain that the computer is joined to, Click one or more server names from the list of servers. Click the right arrow to add the servers to the Selected list. Use the Add Servers dialog to add selected servers to dashboard role groups. Or Click Manage, and then click Create Server Group, or click Create Server Group on the dashboard Welcome to Server Manager tile to create custom server groups.
Note
La procedura di aggiunta dei server non verifica se un server è online o accessibile. Al successivo aggiornamento, tuttavia, tutti i server che non sono raggiungibili vengono contrassegnati nella visualizzazione Gestibilità di Server Manager.
È possibile installare i ruoli in modalità remota in qualsiasi computer Windows Server 2012 aggiunto al pool, come indicato:
Non è possibile gestire completamente server che eseguono sistemi operativi precedenti a Windows Server 2012. La selezione di Aggiungi ruoli e funzionalità esegue il modulo Install-WindowsFeaturedi Windows PowerShell ServerManager.
È anche possibile usare il dashboard di Server Manager in un controller di dominio esistente per selezionare l'installazione di Servizi di dominio Active Directory del server remoto con il ruolo già preselezionato facendo clic con il pulsante destro del mouse sul riquadro del dashboard di Servizi di dominio Active Directory e scegliendo Aggiungi Servizi di dominio Active Directory a un altro server. This is invoking Install-WindowsFeature AD-Domain-Services.
Il computer che esegue Server Manager viene automaticamente inserito nel pool. To install the AD DS role here, simply click the Manage menu and click Add Roles and Features.
Installation Type
The Installation Type dialog provides an option that does not support Active Directory Domain Services: the Remote Desktop Services scenario based-installation. Questa opzione consente Desktop remoto solo in un carico di lavoro distribuito multiserver. Se la si seleziona, non è possibile installare Servizi di dominio Active Directory.
Quando si installa Servizi di dominio Active Directory, lasciare sempre la selezione predefinita: Installazione basata su ruoli o basata su funzionalità.
Server Selection
The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Il server locale che esegue Server Manager è automaticamente disponibile.
Inoltre, selezionando i file VHD di Hyper-V offline con il sistema operativo Windows Server 2012, Server Manager aggiunge direttamente il ruolo ai file mediante la manutenzione dei componenti. Ciò consente di effettuare il provisioning dei componenti necessari ai server virtuali prima di configurarli ulteriormente.
Ruoli del server e funzionalità
Per alzare di livello un controller di dominio, selezionare il ruolo Servizi di dominio Active Directory . Tutte le funzionalità di amministrazione di Active Directory e i servizi necessari vengono installati automaticamente, anche se apparentemente fanno parte di un altro ruolo o non risultano selezionati nell'interfaccia di Server Manager.
Server Manager also presents an informational dialog that shows which management features this role implicitly installs; this is equivalent to the -IncludeManagementTools argument.
Additional Features can be added here as desired.
Servizi di dominio di Active Directory
La finestra di dialogo Servizi di dominio Active Directory contiene informazioni limitate sui requisiti e sulle procedure consigliate. Funge essenzialmente da un messaggio di conferma che si è scelto il ruolo di dominio Active Directory "Se non viene visualizzata questa schermata, non è stata selezionata AD DS.
Confirmation
The Confirmation dialog is the final checkpoint before role installation starts. Contiene un'opzione per riavviare il computer, se necessario, dopo l'installazione del ruolo, anche se l'installazione di Servizi di dominio Active Directory non richiede un riavvio.
By clicking Install, you confirm you are ready to begin role installation. Non è possibile annullare l'installazione di un ruolo, una volta iniziata.
Results
The Results dialog shows the current installation progress and current installation status. L'installazione del ruolo continua indipendentemente dal fatto che Server Manager venga chiuso o meno.
La verifica dei risultati dell'installazione è tuttavia una procedura consigliata. If you close the Results dialog before installation completes, you can check the results using the Server Manager notification flag. Server Manager mostra anche un messaggio di avviso per i server in cui è installato il ruolo Servizi di dominio Active Directory, ma che non sono stati ulteriormente configurati come controller di dominio.
Task Notifications
Dettagli di Active Directory Domain Services
Task Details
Alzare di livello a controller di dominio
Al termine dell'installazione del ruolo Servizi di dominio Active Directory, è possibile continuare con la configurazione usando il collegamento Alza di livello il server a controller di dominio . Questa operazione è richiesta per impostare il server come controller di dominio, ma non è necessario eseguire immediatamente la configurazione guidata. È ad esempio possibile avere la necessità di effettuare il provisioning dei file binari di Servizi di dominio Active Directory ai server prima di inviarli a un'altra succursale per una configurazione successiva. Aggiungendo il ruolo Servizi di dominio Active Directory prima dell'invio, si risparmia tempo quando raggiunge la destinazione. In questo modo si applica inoltre la procedura consigliata di non lasciare un controller di dominio offline per giorni o settimane. Infine questo consente di aggiornare i componenti prima dell'innalzamento di livello del controller di dominio, evitando almeno un riavvio successivo.
Selecting this link later invokes the ADDSDeployment cmdlets: install-addsforest, install-addsdomain, or install-addsdomaincontroller.
Uninstalling/Disabling
Il ruolo Servizi di dominio Active Directory viene rimosso come tutti gli altri ruoli, indipendentemente dal fatto che il server sia stato alzato di livello a controller di dominio o meno. Tuttavia, al termine della rimozione del ruolo Servizi di dominio Active Directory sarà necessario eseguire un riavvio.
Per poter completare la rimozione del ruolo Servizi di dominio Active Directory, a differenza dell'installazione, è necessario abbassare di livello il controller di dominio. Questa operazione è necessaria per evitare che i file binari del ruolo di un controller di dominio vengano disinstallati senza la pulizia dei metadati appropriati nella foresta. Per altre informazioni, vedere Abbassamento di livello dei controller di dominio e dei domini (livello 200).
Warning
La rimozione dei ruoli Servizi di dominio Active Directory con Dism.exe o con il modulo Gestione e manutenzione immagini distribuzione di Windows PowerShell dopo l'innalzamento di livello a controller di dominio non è supportata e impedirà il normale avvio del server.
Diversamente da Server Manager o dal modulo di distribuzione di Servizi di dominio Active Directory per Windows PowerShell, Gestione e manutenzione immagini distribuzione è un sistema di manutenzione nativo senza informazioni inerenti a Servizi di dominio Active Directory o alla sua configurazione. Non usare Dism.exe o il modulo Gestione e manutenzione immagini distribuzione di Windows PowerShell per disinstallare il ruolo Servizi di dominio Active Directory a meno che il server non sia più un controller di dominio.
Creare un dominio radice della foresta Servizi di dominio Active Directory con Server Manager
Il diagramma seguente illustra il processo di configurazione di Servizi di dominio Active Directory, nel caso in cui in precedenza sia stato installato il ruolo Servizi di dominio Active Directory e sia stata avviata la Configurazione guidata Servizi di dominio Active Directory mediante Server Manager.
Deployment Configuration
Server Manager begins every domain controller promotion with the Deployment Configuration page. Le opzioni restanti e i campi obbligatori in questa pagina e nella pagine successive sono diversi a seconda dell'operazione di distribuzione selezionata.
Per creare una nuova foresta Active Directory, fare clic su Aggiungi una nuova foresta. You must provide a valid root domain name; the name cannot be single-labeled (for example, the name must be contoso.com or similar and not just contoso) and must use allowed DNS domain naming requirements.
Per altre informazioni sui nomi di dominio validi, vedere l'articolo della KB Convenzioni di denominazione in Active Directory per computer, domini, siti e unità organizzative.
Warning
Non creare nuove foreste Active Directory con gli stessi nomi del nome DNS esterno. Se ad esempio l'URL del DNS Internet è https://contoso.com, è necessario scegliere un nome diverso per la foresta interna al fine di evitare successivi problemi di compatibilità. Il nome deve essere univoco e non scontato per il traffico Web. Ad esempio, corp.contoso.com.
Una nuova foresta non necessita di nuove credenziali per l'account Administrator del dominio. Il processo di innalzamento di livello del controller di dominio usa le credenziali dell'account predefinito Administrator dal primo controller di dominio usato per creare la radice della foresta. Non è possibile (per impostazione predefinita) disabilitare o bloccare l'account predefinito Administrator, che potrebbe essere il solo punto di ingresso in una foresta se gli altri account di dominio amministrativi sono inutilizzabili. È essenziale conoscere la password prima di distribuire una nuova foresta.
DomainName requires a valid fully qualified domain DNS name and is required.
Opzioni controller di dominio
Opzioni controller di dominio consente di configurare il livello funzionalità foresta e il livello funzionalità dominio per il nuovo dominio radice della foresta. Per impostazione predefinita, queste impostazioni sono Windows Server 2012 in un dominio radice della foresta di nuovo. Il livello di funzionalità foresta Windows Server 2012 non forniscono alcuna nuova funzionalità il livello di funzionalità foresta Windows Server 2008 R2. Il livello funzionale del dominio Windows Server 2012 è necessario solo per implementare le nuove impostazioni Kerberos "Fornisci sempre attestazioni" e "Rifiuta le richieste di autenticazione non blindate". Uno degli utilizzi principali dei livelli funzionalità in Windows Server 2012 è quello di limitare la partecipazione nel dominio ai controller di dominio che soddisfano i requisiti minimi consentiti del sistema operativo. In altre parole, è possibile specificare Windows Server 2012 dominio funzionale livello solo controller di dominio che eseguono Windows Server 2012 possono ospitare il dominio. Windows Server 2012 implements a new domain controller flag called DS_WIN8_REQUIRED in the DSGetDcName function of NetLogon that exclusively locates Windows Server 2012 domain controllers. Questo offre la flessibilità di una foresta più omogenea ed eterogenea in termini di sistemi operativi che è possibile eseguire sui controller di dominio.
Per ulteriori informazioni sulla posizione dei controller di dominio, funzioni del servizio Directory.
La sola funzionalità configurabile dei controller di dominio è l'opzione del server DNS. È consigliabile che tutti i controller di dominio forniscano servizi DNS per garantire un'elevata disponibilità negli ambienti distribuiti, ragione per cui questa opzione è selezionata per impostazione predefinita quando si installa un controller di dominio in qualsiasi modalità o dominio. Le opzioni del catalogo globale e dei controller di dominio di sola lettura non sono disponibili quando si crea un nuovo dominio radice della foresta. Il primo controller di dominio deve essere un catalogo globale e non può essere un controller di dominio di sola lettura.
La Password modalità ripristino servizi directory specificata deve soddisfare i criteri password applicati al server, che per impostazione predefinita non richiedono una password complessa, ma semplicemente una non vuota. Scegliere sempre una password complessa e di difficile individuazione o preferibilmente una passphrase.
Opzioni DNS e credenziali di delega DNS
The DNS Options page enables you to configure DNS delegation and provide alternate DNS administrative credentials.
You cannot configure DNS options or delegation in the Active Directory Domain Services Configuration Wizard when installing a new Active Directory Forest Root Domain where you selected the DNS server on the Domain Controller Options page. L'opzione Crea delega DNS è disponibile quando si crea una nuova zona DNS radice della foresta in un'infrastruttura di server DNS esistente. Questa opzione consente di specificare credenziali amministrative DNS alternative con i diritti per aggiornare la zona DNS.
Per altre informazioni su come comprendere se è necessario creare una delega DNS, vedere Informazioni sulla delega delle zone.
Additional Options
The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Se, ad esempio, è stato specificato il nome di dominio completo corp.contoso.com, il nome di dominio NetBIOS predefinito è CORP.
Se il nome non contiene più di 15 caratteri e non è in conflitto con un altro nome NetBIOS, non viene modificato. Se è in conflitto con un altro nome NetBIOS, al nome viene aggiunto un numero. Se il nome contiene più di 15 caratteri, la procedura guidata propone un suggerimento univoco troncato. In entrambi i casi, la procedura guidata convalida prima il nome che non è già in uso tramite una ricerca WINS e una trasmissione NetBIOS.
Per altre informazioni sui nomi di dominio validi, vedere l'articolo della KB Convenzioni di denominazione in Active Directory per computer, domini, siti e unità organizzative.
Paths
The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Le posizioni predefinite sono sempre in sottodirectory di %systemroot% (ad esempio, C:\Windows).
Verifica opzioni e Visualizza script
The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Questa non è l'ultima possibilità per interrompere l'installazione quando si utilizza Server Manager. È semplicemente un'opzione per confermare le impostazioni prima di proseguire con la configurazione.
The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. In questo modo è possibile utilizzare l'interfaccia grafica di Server Manager come strumento di distribuzione di Windows PowerShell. Utilizzare la Configurazione guidata Servizi di dominio Active Directory per configurare le opzioni, esportare la configurazione e annullare la procedura guidata. Questo processo crea un esempio valido e sintatticamente corretto che può essere utilizzato direttamente o successivamente modificato. For example:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Server Manager completa in genere tutti gli argomenti con i valori durante l'innalzamento di livello e non usa le impostazioni predefinite perché queste potrebbero cambiare nelle future versioni di Windows o nei Service Pack. The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Per forzare un prompt di conferma, omettere il valore quando si esegue il cmdlet in modo interattivo.
Prerequisites Check
The Prerequisites Check is a new feature in AD DS domain configuration. Questa nuova fase convalida che la configurazione server sia in grado di supportare una nuova foresta Servizi di dominio Active Directory.
Quando si installa un nuovo dominio radice della foresta, la Configurazione guidata Servizi di dominio Active Directory di Server Manager richiama una serie di test modulari. Questi test avvisano l'utente con le opzioni di ripristino suggerite. È possibile eseguire i test ogni volta che è necessario. Il processo del controller di dominio non può continuare finché tutti i test sui prerequisiti non vengono superati.
The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.
For more information on the specific prerequisite checks, see Prerequisite Checking.
Installation
When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. I dettagli delle operazioni vengono visualizzati in questa pagina e scritti nei log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
È possibile eseguire simultaneamente dalla stessa console di Server Manager più procedure guidate di installazione dei ruoli e di configurazione di Servizi di dominio Active Directory.
Results
The Results page shows the success or failure of the promotion and any important administrative information. Il controller di dominio verrà automaticamente riavviato dopo 10 secondi.
Distribuzione di una foresta con Windows PowerShell
In questa sezione viene illustrato come installare il primo controller di dominio in un dominio radice della foresta con Windows PowerShell in un computer Windows Server 2012 principale.
Processo di installazione del ruolo Servizi di dominio Active Directory di Windows PowerShell
Implementando alcuni semplici cmdlet di distribuzione ServerManager nei processi di distribuzione, è possibile semplificare ulteriormente l'amministrazione di Servizi di dominio Active Directory.
The next figure illustrates the Active Directory Domain Services role installation process, beginning with you running PowerShell.exe and ending right before the promotion of the domain controller.
| ServerManager Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
While not required, the argument -IncludeManagementTools is highly recommended when installing the AD DS role binaries
Il modulo ServerManager espone le parti relative a installazione, stato e rimozione del ruolo del nuovo modulo Gestione e manutenzione immagini distribuzione per Windows PowerShell. Questa sovrapposizione semplifica la maggior parte delle attività e riduce la necessità di utilizzo diretto del modulo Gestione e manutenzione immagini distribuzione avanzato (ma pericoloso se mal utilizzato).
Use Get-Command to export the aliases and cmdlets in ServerManager.
Get-Command -module ServerManager
For example:
To add the Active Directory Domain Services role, simply run the Install-WindowsFeature with the AD DS role name as an argument. Come Server Manager, tutti i servizi necessari inerenti il ruolo Servizi di dominio Active Directory vengono installati automaticamente.
Install-WindowsFeature -name AD-Domain-Services
If you also want the AD DS management tools installed - and this is highly recommended - then provide the -IncludeManagementTools argument:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
For example:
To list all features and roles with their installation status, use Get-WindowsFeature without arguments. Specify -ComputerName argument for the installation status from a remote server.
Get-WindowsFeature
Because Get-WindowsFeature does not have a filtering mechanism, you must use Where-Object with a pipeline to find specific features. La pipeline è un canale usato tra più cmdlet per passare i dati e il cmdlet Where-Object funge da filtro. The built-in $_ variable acts as the current object passing through the pipeline with any properties it may contain.
Get-WindowsFeature | where-object <options>
For example, to find all features containing "Active Dir" in their Display Name property, use:
Get-WindowsFeature | where displayname -like "*active dir*"
Di seguito sono riportati altri esempi:
Per altre informazioni su ulteriori operazioni di Windows PowerShell con le pipeline e Where-Object, vedere Piping e pipeline in Windows PowerShell.
In Windows PowerShell 3.0, inoltre, sono stati considerevolmente semplificati gli argomenti della riga di comando necessari in questa operazione con la pipeline. In Windows PowerShell 2.0 richiede:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Usando la pipeline di Windows PowerShell, è possibile creare risultati leggibili. For example:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Note how using the Select-Object cmdlet with the -expandproperty argument returns interesting data:
Note
The Select-Object -expandproperty argument slows down overall installation performance slightly.
Creare un dominio radice della foresta Servizi di dominio Active Directory con Windows PowerShell
Per installare una nuova foresta Active Directory con il modulo ADDSDeployment, usare il cmdlet seguente:
Install-addsforest
The Install-AddsForest cmdlet only has two phases (prerequisite checking and installation). The two figures below show the installation phase with the minimum required argument of -domainname.
| ADDSDeployment Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
The -DomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.
The equivalent Server Manager Deployment Configuration ADDSDeployment cmdlet and arguments are:
Install-ADDSForest
-DomainName <string>
Gli argomenti equivalenti del cmdlet ADDSDeployment di Opzioni controller di dominio di Server Manager sono:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
The Install-ADDSForest arguments follow the same defaults as Server Manager if not specified.
The SafeModeAdministratorPassword argument's operation is special:
If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
Ad esempio, per creare una nuova foresta denominata corp.contoso.com e ricevere la richiesta di immettere e confermare una password nascosta:
Install-ADDSForest "DomainName corp.contoso.comSe viene indicato con un valore, tale valore deve essere una stringa sicura. Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Poiché l'opzione precedente non chiede conferma della password, utilizzarla con estrema cautela, in quanto la password non è visibile.
È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Infine, è possibile archiviare la password offuscata in un file e quindi riutilizzarla in seguito, senza visualizzare mai la password non crittografata. For example:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
È sconsigliabile inserire o archiviare una password non crittografata o di testo offuscato. In questo modo, la password per la modalità ripristino servizi directory per il controller di dominio diverrebbe nota a chiunque esegua questo comando in uno script o riesca a leggerla dallo schermo dell'utente. Tutti gli utenti con accesso al file possono invertire la password offuscata. Conoscendo la password sarebbe quindi possibile accedere a un controller di dominio avviato in modalità ripristino servizi directory e infine fingersi il controller di dominio, innalzando i propri privilegi al massimo livello in una foresta Active Directory. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. La procedura consigliata è di evitare completamente l'archiviazione delle password.
Il cmdlet ADDSDeployment offre un'altra opzione per ignorare la configurazione automatica di impostazioni del client DNS, server d'inoltro e parametri radice. Non è possibile ignorare questa opzione di configurazione quando si usa Server Manager. Questo argomento è importante solo se il ruolo del server DNS è stato installato prima di configurare il controller di dominio:
-SkipAutoConfigureDNS
The DomainNetBIOSName operation is also special:
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.
Gli argomenti equivalenti del cmdlet ADDSDeployment di Opzioni aggiuntive di Server Manager sono:
-domainnetbiosname <string>
The equivalent Server Manager Paths ADDSDeployment cmdlet arguments are:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. In questo modo è possibile visualizzare i valori espliciti e impliciti degli argomenti di un cmdlet.
For example:
You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:
-skipprechecks
Warning
Microsoft sconsiglia di ignorare il controllo dei prerequisiti perché l'innalzamento di livello del controller di dominio potrebbe essere solo parziale o la foresta Servizi di dominio Active Directory potrebbe risultare danneggiata.
Note how, just like Server Manager, Install-ADDSForest reminds you that promotion will reboot the server automatically.
To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.
Warning
Si sconsiglia di eseguire l'override del riavvio. Il controller di dominio deve essere riavviato per funzionare correttamente.
See Also
Active Directory Domain Services (portale TechNet)Active Directory Domain Services per Windows Server 2008 R2Active Directory Domain Services per Windows Server 2008Documentazione tecnica su Windows Server (Windows Server 2003)Centro di amministrazione di Active Directory: Attività iniziali (Windows Server 2008 R2)Amministrazione di Active Directory Administration con Windows PowerShell (Windows Server 2008 R2)Blog delle domande al team dei servizi directory (blog di supporto tecnico commerciale ufficiale di Microsoft)