Поделиться через

Установка реплики контроллера домена Windows Server 2012 в существующем домене (уровень 200)

В этом разделе рассматриваются действия, необходимые для обновления существующего леса или домена до Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell. В нем описывается, как добавить контроллеры домена с ОС Windows Server 2012 в существующий домен.

Процесс обновления и добавления реплики

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена в существующем домене.

Схема, демонстрирующая процесс настройки служб домен Active Directory при установке роли AD DS ранее.

Обновление и добавление реплики с помощью Windows PowerShell

ADDSDeployment Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomainController -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ADPrepCredential

-ApplicationPartitionsToReplicate

-AllowDomainControllerReinstall

-Confirm

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-Force

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoDnsOnNetwork

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SiteName

-SystemKey

-SYSVOLPath

-UseExistingAccount

-Whatif

Note

The -credential argument is only required if you are not already logged on as a member of the Enterprise Admins and Schema Admins groups (if you are upgrading the forest) or the Domain Admins group (if you are adding a new DC to an existing domain).

Deployment

Deployment Configuration

Снимок экрана: страница

Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы обновить существующий лес или добавить доступный для записи контроллер домена в существующий домен, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. При необходимости диспетчер серверов запрашивает действующие учетные данные.

Для обновления леса в Windows Server 2012 требуются учетные данные, включающие членство в группах "Администраторы предприятия" и "Администраторы схемы". Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы.

Автоматическое выполнение процесса Adprep — это единственное различие между добавлением контроллера домена в существующий домен Windows Server 2012 и домен, в котором контроллеры домена работают под управлением более ранней версии Windows Server.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Снимок экрана, на котором показано, где указаны учетные данные для операции развертывания.

Снимок экрана, на котором показано, где выбрать домен в лесу, где будет находиться новый контроллер домена.

На каждой странице выполняются определенные тесты, некоторые из которых проводятся повторно позднее как отдельные проверки предварительных требований. Например, если выбранный домен не отвечают требованию к минимальному режиму работы, вам не придется проходить всю процедуру повышения роли вплоть до проверки предварительных требований, чтобы получить в итоге следующее сообщение:

Снимок экрана: сообщение, которое указывает, что выбранный домен не соответствует минимальным функциональным уровням.

Параметры контроллера домена

Снимок экрана: страница

На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. The configurable domain controller capabilities are DNS server, Global Catalog, and Read-only domain controller. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбирается сайт с наиболее подходящей подсетью. Если существует только один сайт, он выбирается автоматически.

Note

If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-sitename <string>
-SafeModeAdministratorPassword <secure string>

Important

The site name must already exist when provided as an argument to -sitename. The install-AddsDomainController cmdlet does not create sites. You can use cmdlet new-adreplicationsite to create new sites.

The SafeModeAdministratorPassword argument's operation is special:

  • If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать дополнительный контроллер домена в домене treyresearch.net с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController "DomainName treyresearch.net "credential (get-credential)

  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. For example:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей.

Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS

На странице Параметры контроллера домена выводится предупреждение о том, что нельзя создать контроллеры домена только для чтения, если существующие контроллеры домена работают под управлением Windows Server 2003. Это ожидаемое предупреждение, и его можно пропустить.

Снимок экрана: предупреждение о том, что нельзя создавать только контроллеры домена, если существующие контроллеры домена работают под управлением Windows Server 2003.

Параметры DNS и учетные данные для делегирования DNS

Снимок экрана, на котором показано, где можно указать параметр делегирования DNS.

The DNS Options page enables you to configure DNS delegation if you selected the DNS server option on the Domain Controller Options page and if pointing to a zone where DNS delegations are allowed. You may need to provide alternate credentials of a user that is a member of the DNS Admins group.

The DNS Options ADDSDeployment cmdlet arguments are:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Снимок экрана: диалоговое окно Безопасность Windows для предоставления учетных данных для операции развертывания.

Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.

Additional Options

Снимок экрана, на котором показано, где можно найти параметр конфигурации для имени контроллера домена в качестве источника репликации.

The Additional Options page provides the configuration option to name a domain controller as the replication source, or you can use any domain controller as the replication source.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). При установке флажка Установка с носителя появляется возможность выбора носителя. Чтобы убедиться в том, что указанный путь является действительным путем к носителю, необходимо нажать кнопку Проверить. Носители, используемые параметром IFM, создаются с помощью системы архивации данных Windows Server или Ntdsutil.exe только из другого существующего компьютера с Windows Server 2012. Windows Server 2008 R2 или операционные системы более ранних версий не подходят для создания носителей для контроллера домена с Windows Server 2012. Дополнительные сведения о внесении изменений в IFM см. в разделе Simplified Administration Appendix. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Снимок экрана: окно терминала во время установки контроллера домена.

The Additional Options ADDSDeployment cmdlet arguments are:

-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>

Paths

Снимок экрана, на котором показано, где можно переопределить расположения папок по умолчанию базы данных AD DS, журналы транзакций базы данных и общую папку SYSVOL.

The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot%.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Пути":

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Preparation Options

Снимок экрана: страница

The Preparation Options page alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep). Эта страница появляется только в том случае, если лес и домен не были подготовлены в ходе предыдущей установки контроллера домена Windows Server 2012 или путем запуска средства Adprep.exe вручную. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новый контроллер домена в существующий корневой домен леса Windows Server 2012.

Extending the Schema and updating the domain do not occur when you click Next. Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.

На этой странице также проверяется, является ли текущий пользователь членом групп "Администраторы схемы" и "Администраторы предприятия". Членство в этих группах необходимо для расширения схемы и подготовки домена. Click Change to provide the adequate user credentials if the page informs you that the current credentials do not provide sufficient permissions.

Снимок экрана: страница

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

-adprepcredential <pscredential>

Important

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. You can also still manually adprep.exe /rodcprep if you plan to deploy read-only domain controllers.

"Просмотреть параметры" и "Просмотреть скрипт"

Снимок экрана: страница

The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования.

For example:

#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). The one exception to this is the -safemodeadministratorpassword argument. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета.

Снимок экрана: окно терминала, в котором показан необязательный аргумент Whatif с командлетом Install-ADDSDomainController.

Prerequisites Check

Снимок экрана: страница проверки предварительных требований, которая является новой функцией в конфигурации домена AD DS.

The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового контроллера домена Windows Server 2012 доменом и лесом.

При установке нового контроллера домена мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

For more information about the specific prerequisite checks, see Prerequisite Checking.

You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks

Warning

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Click Install to begin the domain controller promotion process. Это последняя возможность отменить установку. После того как процесс повышения роли начнется, отменить его будет невозможно. The computer will reboot automatically at the end of promotion, regardless of the promotion results.The Prerequisites Check page displays any issues it encountered during the process and guidance for resolving the issue.

Installation

Снимок экрана: страница установки.

When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

  • %systemroot%\debug\adprep\logs

  • %systemroot%\debug\netsetup.log (если сервер входит в рабочую группу)

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

Сведения об обязательных и необязательных аргументах см. в разделе Upgrade and Replica Windows PowerShell .

The Install-AddsDomainController cmdlet only has two phases (prerequisite checking and installation). The two figures below show the installation phase with the minimum required arguments of -domainname and -credential. Обратите внимание на то, что операция Adprep выполняется автоматически в рамках добавления первого контроллера домена Windows Server 2012 в существующий лес Windows Server 2003:

Снимок экрана: окно терминала, на котором показан этап установки с минимальными необходимыми аргументами -domainname и -credential.

Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Warning

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Снимок экрана: окно терминала, в котором показан процесс перезагрузки контроллера домена.

Снимок экрана: окно терминала, показывающее успешное завершение процесса перезагрузки контроллера домена.

To configure a domain controller remotely using Windows PowerShell, wrap the install-addsdomaincontroller cmdlet inside of the invoke-command cmdlet. Для этого необходимо использовать фигурные скобки.

invoke-command {install-addsdomaincontroller "domainname <domain> -credential (get-credential)} -computername <dc name>

For example:

Установка реплики

Note

Дополнительные сведения о том, как выполняется установка и процесс Adprep, см. в разделе Troubleshooting Domain Controller Deployment.

Results

Снимок экрана: страница

The Results page shows the success or failure of the promotion and any important administrative information. В случае успешного выполнения контроллер домена автоматически перезагрузится через 10 секунд.

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена для контроллеров домена с Windows Server 2012 средство GPPREP не запускается. Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.