Partilhar via

Instalar um novo domínio filho ou de árvore do Ative Directory do Windows Server 2012 (nível 200)

Este tópico explica como adicionar domínios filho e de árvore a uma floresta existente do Windows Server 2012, usando o Gerenciador do Servidor ou o Windows PowerShell.

Fluxo de trabalho de domínio filho e árvore

O diagrama a seguir ilustra o processo de configuração dos Serviços de Domínio Ative Directory quando você instalou anteriormente a função AD DS e iniciou o Assistente de Configuração dos Serviços de Domínio Ative Directory usando o Gerenciador do Servidor para criar um novo domínio em uma floresta existente.

Diagrama que ilustra o processo de configuração dos Serviços de Domínio Ative Directory quando você instalou anteriormente a função AD DS.

Domínio de Filhos e Árvore no Windows PowerShell

ADDSDeployment Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Credential

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Note

The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.

Deployment

Deployment Configuration

A captura de tela a seguir mostra as opções para adicionar um domínio filho:

Captura de tela que mostra as opções para adicionar um domínio filho.

A captura de tela a seguir mostra as opções para adicionar um domínio de árvore:

Captura de tela que mostra as opções para adicionar um domínio de árvore.

Server Manager begins every domain controller promotion with the Deployment Configuration page. As opções restantes e os campos obrigatórios mudam nesta página e nas páginas subsequentes, dependendo da operação de implantação selecionada.

Este tópico combina duas operações discretas: promoção de domínio filho e promoção de domínio de árvore. A única diferença entre as duas operações é o tipo de domínio que você escolhe criar. Todas as outras etapas são idênticas entre as duas operações.

  • Para criar um novo domínio filho, clique em Adicionar um domínio a uma floresta existente e escolha Domínio filho. Em Nome de domínio pai, digite ou selecione o nome do domínio pai. Em seguida, digite o nome do novo domínio na caixa Novo nome de domínio . Forneça um nome de subdomínio válido e de rótulo único; o nome deve cumprir os requisitos de nome de domínio DNS.

  • Para criar um domínio de árvore dentro de uma floresta existente, clique em Adicionar um domínio a uma floresta existente e escolha Domínio de árvore. Digite o nome do domínio raiz da floresta e digite o nome do novo domínio. Fornecer um nome de domínio raiz válido e totalmente qualificado; o nome não pode ser rotulado individualmente e deve usar os requisitos de nome de domínio DNS.

Para obter mais informações sobre nomes DNS, consulte Convenções de nomenclatura no Ative Directory para computadores, domínios, sites e OUs.

O Assistente de Configuração dos Serviços de Domínio Active Directory no Gestor de Servidores irá solicitar credenciais de domínio se as credenciais atuais não forem provenientes do domínio. Click Change to provide domain credentials for the promotion operation.

O cmdlet e os argumentos do Deployment Configuration ADDSDeployment são:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Opções do controlador de domínio

Captura de ecrã que mostra a página Opções do Controlador de Domínio no Assistente de Configuração dos Serviços de Domínio Ative Directory.

A página Opções do Controlador de Domínio especifica as opções do controlador de domínio para o novo controlador de domínio. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

A Microsoft recomenda que todos os controladores de domínio forneçam serviços de DNS e GC para alta disponibilidade em ambientes distribuídos. GC é sempre selecionado por padrão e DNS é selecionado por padrão se o domínio atual hospeda DNS já em seus DCs, com base em uma consulta Start-of-Authority. Você também deve especificar um nível funcional de domínio. O nível funcional padrão é o Windows Server 2012 e você pode escolher qualquer outro valor igual ou maior que o nível funcional da floresta atual.

A página Opções do Controlador de Domínio também permite que você escolha o nome do site lógico apropriado do Ative Directory na configuração da floresta. Por padrão, o site com a sub-rede mais correta é selecionado. Se houver apenas um site, ele será selecionado automaticamente.

Important

If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

A Senha do Modo de Restauração dos Serviços de Diretório especificada deve aderir à diretiva de senha aplicada ao servidor. Escolha sempre uma palavra-passe forte e complexa ou, de preferência, uma frase secreta.

Os argumentos do Opções do Controlador de Domínio do cmdlet ADDSDeployment são:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Important

The site name must already exist when provided as a value to the sitename argument. The install-AddsDomainController cmdlet does not create site names. You can use the new-adreplicationsite cmdlet to create new sites.

The Install-ADDSDomainController cmdlet arguments follow the same defaults as Server Manager if not specified.

The SafeModeAdministratorPassword argument's operation is special:

  • If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Esse é o uso preferencial ao executar o cmdlet interativamente.

    Por exemplo, para criar um novo subdomínio chamado NorthAmerica na floresta Contoso.com e ser solicitado a introduzir e confirmar uma senha oculta:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child

  • Se especificado com um valor, o valor deve ser uma cadeia de caracteres segura. Esse não é o uso preferencial ao executar o cmdlet interativamente.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Como a opção anterior não confirma a senha, tenha muito cuidado: a senha não está visível.

Também pode fornecer uma cadeia segura como uma variável de texto simples convertida, embora isso seja altamente desaconselhado.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Finalmente, você pode armazenar a senha ofuscada em um arquivo e, em seguida, reutilizá-la mais tarde, sem que a senha de texto não criptografado apareça. For example:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

Fornecer ou armazenar uma senha de texto clara ou ofuscada não é recomendado. Qualquer pessoa que execute esse comando em um script ou olhe por cima do ombro sabe a senha DSRM desse controlador de domínio. Qualquer pessoa com acesso ao arquivo poderia reverter essa senha ofuscada. Com esse conhecimento, eles podem fazer logon em um controlador de domínio iniciado no DSRM e, eventualmente, representar o próprio controlador de domínio, elevando seus privilégios ao nível mais alto em uma floresta do AD. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. A melhor prática é evitar totalmente o armazenamento de senhas.

O módulo ADDSDeployment oferece uma opção adicional para ignorar a configuração automática das definições do cliente DNS, encaminhadores e pistas de raiz. Isso não é configurável ao usar o Gerenciador do Servidor. Este argumento só é importante se já tiver instalado o serviço Servidor DNS antes de configurar o controlador de domínio:

-SkipAutoConfigureDNS

Opções de DNS e credenciais de delegação de DNS

Captura de ecrã que mostra a página Opções de DNS no Assistente de Configuração dos Serviços de Domínio Ative Directory.

The DNS Options page enables you to provide alternate DNS Admin credentials for delegation.

Ao instalar um novo domínio em uma floresta existente - onde você selecionou a instalação de DNS na página Opções do Controlador de Domínio - não é possível configurar nenhuma opção; a delegação acontece de forma automática e irrevogável. Você tem a opção de fornecer credenciais administrativas de DNS alternativas com direitos para atualizar essa estrutura.

The DNS Options ADDSDeployment Windows PowerShell arguments are:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Para obter mais informações sobre delegação de DNS, consulte Noções básicas sobre delegação de zona.

Additional Options

Captura de ecrã que mostra a página Opções Adicionais no Assistente de Configuração dos Serviços de Domínio Ative Directory.

The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Por exemplo, se você forneceu o nome de domínio totalmente qualificado de corp.contoso.com, o nome de domínio NetBIOS padrão é CORP.

Se o nome tiver 15 caracteres ou menos e não entrar em conflito com outro nome NetBIOS, ele não será alterado. Se entrar em conflito com outro nome NetBIOS, um número é anexado ao nome. Se o nome tiver mais de 15 caracteres, o assistente fornecerá uma sugestão exclusiva e truncada. Em ambos os casos, o assistente primeiro valida que o nome ainda não está em uso por meio de uma pesquisa WINS e broadcast NetBIOS.

Para obter mais informações sobre nomes DNS, consulte Convenções de nomenclatura no Ative Directory para computadores, domínios, sites e OUs.

The Install-AddsDomain arguments follow the same defaults as Server Manager if not specified. The DomainNetBIOSName operation is special:

  1. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.

  2. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.

  3. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.

  4. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.

The Additional Options ADDSDeployment cmdlet argument is:

-newdomainnetbiosname <string>

Paths

Captura de ecrã que mostra a página Caminhos no Assistente de Configuração dos Serviços de Domínio Active Directory.

The Paths page enables you to override the default folder locations of the AD DS database, the data base transaction logs, and the SYSVOL share. Os locais padrão estão sempre em subdiretórios de %systemroot%.

The Paths ADDSDeployment cmdlet arguments are:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Rever Opções e Ver Script

Captura de ecrã que mostra a página Opções de Revisão no Assistente de Configuração dos Serviços de Domínio Ative Directory.

The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Esta não é a última oportunidade de parar a instalação ao usar o Gerenciador do Servidor. Esta é simplesmente uma opção para confirmar suas configurações antes de continuar a configuração

The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Isso permite que você use a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell. Use o Assistente de Configuração dos Serviços de Domínio Ative Directory para configurar opções, exportar a configuração e cancelar o assistente. Este processo cria uma amostra válida e sintaticamente correta para posterior modificação ou uso direto. For example:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

O Gerenciador do Servidor geralmente preenche todos os argumentos com valores ao promover e não depende de padrões (pois eles podem mudar entre versões futuras do Windows ou service packs). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Para forçar um prompt de confirmação, omita o valor ao executar o cmdlet interativamente.

Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Isso permite que você veja os valores explícitos e implícitos dos argumentos de um cmdlet.

Instalar um novo filho do AD

Prerequisites Check

Captura de ecrã que mostra a página Verificação de Pré-requisitos no Assistente de Configuração dos Serviços de Domínio Ative Directory.

The Prerequisites Check is a new feature in AD DS domain configuration. Esta nova fase valida se a configuração do servidor é capaz de suportar um novo domínio do AD DS.

Ao instalar um novo domínio raiz de floresta, o Assistente de Configuração dos Serviços de Domínio Ative Directory do Gerenciador do Servidor invoca uma série de testes modulares serializados. Estes testes alertam-no com opções de reparação sugeridas. Você pode executar os testes quantas vezes forem necessárias. O processo do controlador de domínio não pode continuar até que todos os testes de pré-requisito sejam aprovados.

The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

For more information on the specific prerequisite checks, see Prerequisite Checking.

You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks

Warning

A Microsoft desencoraja ignorar a verificação de pré-requisitos, pois isso pode levar a uma promoção parcial do controlador de domínio ou a uma floresta AD DS danificada.

Click Install to begin the domain controller promotion process. Esta é a última oportunidade para cancelar a instalação. Não pode cancelar o processo de promoção assim que este começar. O computador será reiniciado automaticamente no final da promoção, independentemente dos resultados da promoção.

Installation

Captura de ecrã que mostra a página Instalação no Assistente de Configuração dos Serviços de Domínio Active Directory.

When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. As operações detalhadas são exibidas nesta página e gravadas em logs:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Para instalar um novo domínio do Ative Directory usando o módulo ADDSDeployment, use o seguinte cmdlet:

Install-addsdomain

Consulte Domínio filho e árvore do Windows PowerShell para obter os argumentos obrigatórios e opcionais. O cmdlet Install-addsdomain tem apenas duas fases (verificação de pré-requisitos e instalação). The two figures below show the installation phase with the minimum required arguments of -domaintype, -newdomainname, -parentdomainname, and -credential. Note how, just like Server Manager, Install-ADDSDomain reminds you that promotion will reboot the server automatically.

Captura de tela de uma janela de terminal que mostra a fase de instalação com os argumentos mínimos necessários de -domaintype, -newdomainname, -parentdomainname e -credential.

Captura de tela de uma janela de terminal que mostra o progresso da instalação com os argumentos mínimos necessários de -domaintype, -newdomainname, -parentdomainname e -credential.

To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Warning

Anular a reinicialização não é recomendado. O controlador de domínio deve reinicializar para funcionar corretamente

Results

Captura de ecrã que mostra a página Resultados com a mensagem de que o computador está a ser reiniciado.

The Results page shows the success or failure of the promotion and any important administrative information. O controlador de domínio será reinicializado automaticamente após 10 segundos.