Поделиться через


Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200)

В этом разделе описывается, как добавить дочерние домены и домены дерева в существующий лес Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell.

Процесс добавления дочернего домена и домена дерева

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать домен в существующем лесу.

Схема, демонстрирующая процесс настройки служб домен Active Directory при установке роли AD DS ранее.

Добавление дочернего домена и домена дерева с помощью Windows PowerShell

ADDSDeployment Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Credential

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Note

The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.

Deployment

Deployment Configuration

На следующем снимке экрана показаны параметры добавления дочернего домена:

Снимок экрана: параметры добавления дочернего домена.

На следующем снимке экрана показаны параметры добавления домена дерева:

Снимок экрана: параметры добавления домена дерева.

Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

В этом разделе совместно рассматриваются две отдельные операции: повышение роли дочернего домена и повышение роли домена дерева. Единственное различие между ними заключается в выбираемом для создания типе домена. Все остальные действия идентичны.

  • Чтобы создать дочерний домен, установите переключатель в положение Добавить домен в существующий лес и выберите тип Дочерний домен. Введите или выберите имя родительского домена. Затем введите имя нового домена в поле Новое имя домена. Укажите допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям к DNS-имени домена.

  • Чтобы создать домен дерева в существующем лесу, установите переключатель в положение Добавить домен в существующий лес и выберите тип Домен дерева. Введите имя корневого домена леса, а затем введите имя нового домена. Укажите допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям к DNS-имени домена.

Дополнительные сведения об именах DNS см. в разделе Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

Мастер настройки доменных служб Active Directory в диспетчере сервера запрашивает учетные данные домена, если текущие учетные данные не для этого домена. Click Change to provide domain credentials for the promotion operation.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Параметры контроллера домена

Снимок экрана: страница

На странице Параметры контроллера домена приведены параметры нового контроллера домена. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Также необходимо указать режим работы домена. Режим работы по умолчанию — Windows Server 2012. Вы можете выбрать любое другое значение не ниже текущего режима работы леса.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбран сайт с наиболее правильной подсетью. Если существует только один сайт, он выбирается автоматически.

Important

If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Important

The site name must already exist when provided as a value to the sitename argument. The install-AddsDomainController cmdlet does not create site names. You can use the new-adreplicationsite cmdlet to create new sites.

The Install-ADDSDomainController cmdlet arguments follow the same defaults as Server Manager if not specified.

The SafeModeAdministratorPassword argument's operation is special:

  • If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать дочерний домен с именем NorthAmerica в домене Contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. For example:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей.

Модуль ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера такой возможности нет. Этот аргумент имеет значение только в том случае, если служба DNS-сервера уже была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS

Параметры DNS и учетные данные для делегирования DNS

Снимок экрана: страница

The DNS Options page enables you to provide alternate DNS Admin credentials for delegation.

При установке нового домена в существующем лесу, то есть если вы выбрали установку DNS на странице Параметры контроллера домена, никакие параметры настроить нельзя — делегирование выполняется автоматически, и отменить его нельзя. Вы можете указать альтернативные учетные данные администратора DNS с правами на обновление этой структуры.

The DNS Options ADDSDeployment Windows PowerShell arguments are:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Дополнительные сведения о делегировании DNS см. в разделе Общее представление о делегировании зоны.

Additional Options

Снимок экрана: страница

The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.

Дополнительные сведения об именах DNS см. в разделе Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

The Install-AddsDomain arguments follow the same defaults as Server Manager if not specified. The DomainNetBIOSName operation is special:

  1. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.

  2. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.

  3. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.

  4. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.

The Additional Options ADDSDeployment cmdlet argument is:

-newdomainnetbiosname <string>

Paths

Снимок экрана: страница

The Paths page enables you to override the default folder locations of the AD DS database, the data base transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot%.

The Paths ADDSDeployment cmdlet arguments are:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана: страница

The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.

The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. For example:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета.

Установка нового дочернего элемента AD

Prerequisites Check

Снимок экрана: страница проверки необходимых компонентов в мастере настройки служб домен Active Directory.

The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового домена доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

For more information on the specific prerequisite checks, see Prerequisite Checking.

You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks

Warning

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Click Install to begin the domain controller promotion process. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Installation

Снимок экрана: страница установки в мастере настройки служб домен Active Directory.

When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый домен Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomain

См. раздел Child and Tree Domain Windows PowerShell , чтобы ознакомиться с обязательными и дополнительными аргументами. Командлет Install-addsdomain имеет только две фазы (проверка предварительных условий и установка). The two figures below show the installation phase with the minimum required arguments of -domaintype, -newdomainname, -parentdomainname, and -credential. Note how, just like Server Manager, Install-ADDSDomain reminds you that promotion will reboot the server automatically.

Снимок экрана: окно терминала, на котором показан этап установки с минимальными обязательными аргументами типа -domaintype, -newdomainname, -parentdomainname и -credential.

Снимок экрана: окно терминала, на котором показан ход установки с минимальными обязательными аргументами типа -domaintype, -newdomainname, -parentdomainname и -credential.

To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Warning

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Results

Снимок экрана: страница

The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд.