Condividi tramite


Installare un Controller di dominio Windows Server 2012 Replica in un dominio esistente (livello 200)

In questo argomento vengono illustrati i passaggi necessari per aggiornare una foresta o un dominio esistente a Windows Server 2012, con Server Manager o Windows PowerShell. Viene illustrato come aggiungere controller di dominio che eseguono Windows Server 2012 a un dominio esistente.

Flusso di lavoro di aggiornamento e replica

Il diagramma seguente illustra il processo di configurazione di Servizi di dominio Active Directory, quando in precedenza è stato installato il ruolo Servizi di dominio Active Directory ed è stata avviata la Configurazione guidata Servizi di dominio Active Directory mediante Server Manager per creare un nuovo controller di dominio in un dominio esistente.

Diagramma che illustra il processo di configurazione di Dominio di Active Directory Services quando in precedenza è stato installato il ruolo Servizi di dominio Active Directory.

Aggiornamento e replica in Windows PowerShell

ADDSDeployment Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ADPrepCredential

-ApplicationPartitionsToReplicate

-AllowDomainControllerReinstall

-Confirm

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-Force

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoDnsOnNetwork

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SiteName

-SystemKey

-SYSVOLPath

-UseExistingAccount

-Whatif

Note

The -credential argument is only required if you are not already logged on as a member of the Enterprise Admins and Schema Admins groups (if you are upgrading the forest) or the Domain Admins group (if you are adding a new DC to an existing domain).

Deployment

Deployment Configuration

Screenshot che mostra la pagina Configurazione distribuzione.

Server Manager begins every domain controller promotion with the Deployment Configuration page. Le opzioni restanti e i campi obbligatori in questa pagina e nella pagine successive sono diversi a seconda dell'operazione di distribuzione selezionata.

Per aggiornare una foresta esistente o aggiungere un controller di dominio scrivibile a un dominio esistente, fare clic su Aggiungi un controller di dominio a un dominio esistente, quindi su Seleziona per Specificare le informazioni di dominio per questa operazione. Server Manager richiede di specificare delle credenziali valide, se necessario.

L'aggiornamento della foresta richiede di specificare credenziali che includano l'appartenenza a entrambi i gruppi Enterprise Admins e Schema Admins in Windows Server 2012. La Configurazione guidata Servizi di dominio Active Directory le richiede successivamente se le credenziali correnti non dispongono delle necessarie autorizzazioni o appartenenze ai gruppi.

Il processo Adprep automatico è la sola differenza operativa tra l'aggiunta di un controller di dominio a un dominio di Windows Server 2012 esistente e a un dominio in cui i controller di dominio eseguono una versione precedente di Windows Server.

Il cmdlet di ADDSDeployment per Configurazione distribuzione e gli argomenti sono:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Screenshot che mostra dove specificare le credenziali per l'operazione di distribuzione.

Screenshot che mostra dove selezionare un dominio nella foresta in cui risiederà il nuovo controller di dominio.

In ogni pagina vengono determinati alcuni test, alcuni dei quali vengono ripetuti in seguito come controlli dei prerequisiti distinte. Ad esempio, se il dominio selezionato non soddisfa i livelli minimi di funzionalità, per scoprirlo non è necessario completare l'innalzamento di livello fino al controllo dei prerequisiti:

Screenshot che evidenzia il messaggio che indica se il dominio selezionato non soddisfa i livelli funzionali minimi.

Opzioni controller di dominio

Screenshot che mostra la pagina Opzioni controller di dominio.

La pagina Opzioni controller di dominio specifica le funzionalità per il nuovo controller di dominio. The configurable domain controller capabilities are DNS server, Global Catalog, and Read-only domain controller. È consigliabile che tutti i controller di dominio forniscano servizi DNS e di catalogo globale per garantire un'elevata disponibilità negli ambienti distribuiti. Il catalogo globale è sempre selezionato per impostazione predefinita e il server DNS è selezionato per impostazione predefinita se il dominio corrente ospita già DNS sui controller di dominio in base alla query Origine di autorità. Nella pagina Opzioni controller di dominio è anche possibile scegliere dalla configurazione della foresta un nome del sito di Active Directory logico e appropriato. Per impostazione predefinita, viene selezionato il sito con la subnet più corretta. Se è presente un solo sito, viene selezionato automaticamente.

Note

If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

La Password modalità ripristino servizi directory specificata deve soddisfare i criteri password applicati al server. Scegliere sempre una password complessa e di difficile individuazione o preferibilmente una passphrase.

Gli argomenti ADDSDeployment per Opzioni controller di dominio sono:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>

Important

The site name must already exist when provided as an argument to -sitename. The install-AddsDomainController cmdlet does not create sites. You can use cmdlet new-adreplicationsite to create new sites.

The SafeModeAdministratorPassword argument's operation is special:

  • If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.

    Ad esempio, per creare un altro controller di dominio nel dominio treyresearch.net e ricevere la richiesta di immettere e confermare una password nascosta:

    Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)
    
  • Se viene indicato con un valore, tale valore deve essere una stringa sicura. Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Poiché l'opzione precedente non chiede conferma della password, utilizzarla con estrema cautela, in quanto la password non è visibile.

È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Infine, è possibile archiviare la password offuscata in un file e quindi riutilizzarla in seguito, senza visualizzare mai la password non crittografata. For example:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

È sconsigliabile inserire o archiviare una password non crittografata o di testo offuscato. In questo modo, la password per la modalità ripristino servizi directory per il controller di dominio diverrebbe nota a chiunque esegua questo comando in uno script o riesca a leggerla dallo schermo dell'utente. Tutti gli utenti con accesso al file possono invertire la password offuscata. Conoscendo la password sarebbe quindi possibile accedere a un controller di dominio avviato in modalità ripristino servizi directory e infine fingersi il controller di dominio, innalzando i propri privilegi al massimo livello in una foresta Active Directory. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. La procedura consigliata è di evitare completamente l'archiviazione delle password.

Il cmdlet ADDSDeployment offre un'altra opzione per ignorare la configurazione automatica di impostazioni del client DNS, server d'inoltro e parametri radice. Non è possibile ignorare questa opzione di configurazione quando si usa Server Manager. Questo argomento è importante solo se il ruolo del server DNS è stato installato prima di configurare il controller di dominio:

-SkipAutoConfigureDNS

La pagina Opzioni controller di dominio avvisa che non è possibile creare controller di dominio di sola lettura se i controller di dominio esistenti eseguono Windows Server 2003. Questo comportamento è previsto ed è possibile ignorare l'avviso.

Screenshot che evidenzia un avviso che indica che non è possibile creare controller di dominio di sola lettura se i controller di dominio esistenti eseguono Windows Server 2003.

Opzioni DNS e credenziali di delega DNS

Screenshot che mostra dove è possibile specificare l'opzione di delega DNS.

The DNS Options page enables you to configure DNS delegation if you selected the DNS server option on the Domain Controller Options page and if pointing to a zone where DNS delegations are allowed. You may need to provide alternate credentials of a user that is a member of the DNS Admins group.

The DNS Options ADDSDeployment cmdlet arguments are:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Screenshot che mostra la finestra di dialogo Sicurezza di Windows per specificare le credenziali per l'operazione di distribuzione.

Per altre informazioni su come comprendere se è necessario creare una delega DNS, vedere Informazioni sulla delega delle zone.

Additional Options

Screenshot che mostra dove è possibile trovare l'opzione di configurazione per assegnare un nome a un controller di dominio come origine di replica.

The Additional Options page provides the configuration option to name a domain controller as the replication source, or you can use any domain controller as the replication source.

È inoltre possibile decidere di installare il controller di dominio usando i supporti di backup tramite l'opzione Installazione da supporto. Selezionando la casella di controllo Installazione da supporto, viene visualizzata un'opzione di selezione ed è necessario fare clic su Verifica per assicurarsi che il percorso specificato sia un supporto valido. I supporti compatibili con l'opzione Installazione da supporto vengono creati con Windows Server Backup o Ntdsutil.exe esclusivamente da un altro computer Windows Server 2012; non è possibile utilizzare Windows Server 2008 R2 o un sistema operativo precedente per creare un supporto per un controller di dominio Windows Server 2012. Per altre informazioni sulle modifiche all'opzione Installazione da supporto, vedere Simplified Administration Appendix. Se si usa un supporto protetto da SYSKEY, Server Manager richiede la password dell'immagine durante la verifica.

Screenshot che mostra una finestra del terminale durante l'installazione di un controller di dominio.

The Additional Options ADDSDeployment cmdlet arguments are:

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Paths

Screenshot che mostra dove è possibile eseguire l'override dei percorsi predefiniti delle cartelle del database di Active Directory Domain Services, dei log delle transazioni del database e della condivisione SYSVOL.

The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Le posizioni predefinite sono sempre in sottodirectory di %systemroot%.

Gli argomenti del cmdlet di ADDSDeployment per Percorsi di Active Directory sono:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Preparation Options

Screenshot che mostra la pagina Opzioni di preparazione che avvisa che la configurazione di Active Directory Domain Services include l'estensione dello schema (forestprep) e l'aggiornamento del dominio (domainprep).

The Preparation Options page alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep). Questa pagina viene visualizzata solo quando la foresta e il dominio non sono stati preparati da un'installazione precedente del controller di dominio Windows Server 2012 o dall'esecuzione manuale di Adprep.exe. La Configurazione guidata Servizi di dominio Active Directory, ad esempio, elimina questa pagina se si aggiunge un nuovo controller di dominio a un dominio radice della foresta Windows Server 2012 esistente.

Extending the Schema and updating the domain do not occur when you click Next. Questi eventi si verificano solo durante la fase di installazione. Questa pagina elenca semplicemente gli eventi che si verificheranno in seguito durante l'installazione.

Questa pagina inoltre convalida che le credenziali utente correnti siano membri dei gruppi Schema Admins ed Enterprise Admins, perché l'appartenenza a questi gruppi è necessaria per estendere lo schema o preparare un dominio. Click Change to provide the adequate user credentials if the page informs you that the current credentials do not provide sufficient permissions.

Screenshot che mostra la pagina Opzioni di preparazione ed evidenzia il pulsante Cambia.

L'argomento del cmdlet di ADDSDeployment per Opzioni aggiuntive è:

-adprepcredential <pscredential>

Important

Come con le versioni precedenti di Windows Server, la preparazione del dominio automatizzata per i controller di dominio che eseguono Windows Server 2012 non esegue GPPREP. Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. È consigliabile eseguire GPPrep una sola volta nella cronologia di un dominio e non a ogni aggiornamento. Adprep.exe non esegue automaticamente run /gpprep perché l'operazione può causare una nuova replica di tutti i file e le cartelle nella cartella SYSVOL su tutti i controller di dominio.

RODCPrep viene eseguito automaticamente quando si innalza di livello il primo controller di dominio di sola lettura senza installazione di appoggio in un dominio. Non si verifica quando si innalza di livello il primo controller di dominio di Windows Server 2012 scrivibile. You can also still manually adprep.exe /rodcprep if you plan to deploy read-only domain controllers.

Verifica opzioni e Visualizza script

Screenshot che mostra la pagina Opzioni di revisione che consente di convalidare le impostazioni e assicurarsi che soddisfino i requisiti prima di avviare l'installazione.

The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Questa non è l'ultima possibilità per interrompere l'installazione utilizzando Server Manager. La pagina consente semplicemente di rivedere e confermare le impostazioni prima di proseguire con la configurazione.

The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. In questo modo è possibile utilizzare l'interfaccia grafica di Server Manager come strumento di distribuzione di Windows PowerShell. Utilizzare la Configurazione guidata Servizi di dominio Active Directory per configurare le opzioni, esportare la configurazione e annullare la procedura guidata. Questo processo crea un esempio valido e sintatticamente corretto che può essere utilizzato direttamente o successivamente modificato.

For example:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

Server Manager completa in genere tutti gli argomenti con i valori durante l'innalzamento di livello e non usa le impostazioni predefinite perché queste potrebbero cambiare nelle future versioni di Windows o nei Service Pack. The one exception to this is the -safemodeadministratorpassword argument. Per forzare un prompt di conferma, omettere il valore quando si esegue il cmdlet in modo interattivo.

Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. In questo modo è possibile visualizzare i valori espliciti e impliciti degli argomenti per un cmdlet.

Screenshot di una finestra del terminale che mostra l'uso dell'argomento Whatif facoltativo con il cmdlet Install-ADDSDomainController.

Prerequisites Check

Screenshot che mostra la pagina Controllo prerequisiti che è una nuova funzionalità nella configurazione del dominio di Active Directory Domain Services.

The Prerequisites Check is a new feature in AD DS domain configuration. Questa nuova fase convalida che il dominio e la foresta sono in grado di supportare un nuovo controller di dominio di Windows Server 2012.

Quando si installa un nuovo controller di dominio, la Configurazione guidata Servizi di dominio Active Directory di Server Manager richiama una serie di test modulari serializzati. Questi test avvisano l'utente con le opzioni di ripristino suggerite. È possibile eseguire i test ogni volta che è necessario. Il processo del controller di dominio non può continuare finché tutti i test sui prerequisiti non vengono superati.

The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

For more information about the specific prerequisite checks, see Prerequisite Checking.

You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks

Warning

Microsoft sconsiglia di ignorare il controllo dei prerequisiti perché l'innalzamento di livello del controller di dominio potrebbe essere solo parziale o la foresta Servizi di dominio Active Directory potrebbe risultare danneggiata.

Click Install to begin the domain controller promotion process. È l'ultima opportunità per annullare l'installazione. Non è possibile annullare il processo di innalzamento di livello una volta iniziato. The computer will reboot automatically at the end of promotion, regardless of the promotion results.The Prerequisites Check page displays any issues it encountered during the process and guidance for resolving the issue.

Installation

Screenshot che mostra la pagina Installazione.

When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. I dettagli delle operazioni vengono visualizzati in questa pagina e scritti nei log:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (se il server è in un gruppo di lavoro)

Per installare una nuova foresta Active Directory con il modulo ADDSDeployment, usare il cmdlet seguente:

Install-addsdomaincontroller

Per gli argomenti obbligatori e facoltativi, vedere Upgrade and Replica Windows PowerShell .

The Install-AddsDomainController cmdlet only has two phases (prerequisite checking and installation). The two figures below show the installation phase with the minimum required arguments of -domainname and -credential. Si noti che l'operazione Adprep viene eseguita automaticamente durante l'aggiunta del primo controller di dominio di Windows Server 2012 a una foresta di Windows Server 2003 esistente:

Screenshot di una finestra del terminale che mostra la fase di installazione con gli argomenti minimi obbligatori di -domainname e -credential.

Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Warning

Si sconsiglia di eseguire l'override del riavvio. Il controller di dominio deve essere riavviato per funzionare correttamente.

Screenshot di una finestra del terminale che mostra il processo di riavvio del controller di dominio.

Screenshot di una finestra del terminale che mostra il completamento corretto del processo di riavvio del controller di dominio.

To configure a domain controller remotely using Windows PowerShell, wrap the install-addsdomaincontroller cmdlet inside of the invoke-command cmdlet. È necessario usare le parentesi graffe.

invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>

For example:

Installare una replica

Note

Per altre informazioni sul funzionamento sul processo di installazione e Adprep, vedere Troubleshooting Domain Controller Deployment.

Results

Screenshot della pagina Risultati che include il messaggio di esito positivo o negativo per l'innalzamento di livello ed eventuali informazioni amministrative importanti.

The Results page shows the success or failure of the promotion and any important administrative information. In caso di esito positivo, il controller di dominio verrà automaticamente riavviato dopo 10 secondi.

Come con le versioni precedenti di Windows Server, la preparazione del dominio automatizzata per i controller di dominio che eseguono Windows Server 2012 non esegue GPPREP. Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. È consigliabile eseguire GPPrep una sola volta nella cronologia di un dominio e non a ogni aggiornamento. Adprep.exe non esegue automaticamente run /gpprep perché l'operazione può causare una nuova replica di tutti i file e le cartelle nella cartella SYSVOL su tutti i controller di dominio.