Установка контроллера домена только для чтения (RODC) Active Directory в Windows Server 2012 (уровень 200)

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье объясняется, как создать промежуточную учетную запись RODC, а затем подключить сервер к этой учетной записи во время установки RODC. В этой статье также объясняется, как установить RODC без выполнения поэтапной установки.

Рабочий процесс поэтапной установки RODC

Поэтапная установка контроллера домена только для чтения (RODC) состоит из двух отдельных этапов:

  1. подготовка незанятой учетной записи компьютера;

  2. подключение контроллера домена только для чтения к этой учетной записи во время повышения роли.

На схеме ниже показан процесс поэтапного создания контроллера домена только для чтения в доменных службах Active Directory, при котором пустая учетная запись компьютера RODC создается в домене с помощью центра администрирования Active Directory (Dsac.exe).

Diagram showing the Active Directory Domain Services Read-Only Domain Controller staging process described above.

Этап RODC Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Add-addsreadonlydomaincontrolleraccount -SkipPreChecks

-DomainControllerAccountName

-Domainname

-Sitename

-AllowPasswordReplicationAccountName

-Учетных данных

-Делегировано Администратор istratorAccountName

-DenyPasswordReplicationAccountName

-NoGlobalCatalog

-InstallDNS

-ReplicationSourceDC

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Рабочий процесс подключения RODC

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы уже установили роль доменных служб Active Directory, подготовили учетную запись RODC и запустили процесс Повысить роль этого сервера до уровня контроллера домена с помощью диспетчера сервера для создания контроллера RODC в существующем домене и его подключения к промежуточной учетной записи компьютера.

Diagram showing the Active Directory Domain Services configuration process described above.

Подключение RODC Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomaincontroller -SkipPreChecks

-Domainname

-Сейф Mode Администратор istratorPassword

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Учетных данных

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-InstallationMediaPath

-LogPath

-Norebootoncompletion

-ReplicationSourceDC

-SystemKey

-SYSVOLPath

-UseExistingAccount

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Промежуточная

Screenshot of the Active Directory Administrative Center showing the Pre-create a Read-only domain controller account option highlighted in the Tasks pane.

Чтобы выполнить поэтапное создание учетной записи компьютера для контроллера домена только для чтения, откройте центр администрирования Active Directory (Dsac.exe). Выберите имя домена в области навигации. В списке управления дважды щелкните элемент Контроллеры домена . Выберите учетную запись контроллера домена только для чтения в области задач.

Дополнительные сведения о Центре Администратор istrative Active Directory см. в статье "Расширенное управление AD DS с помощью Центра active Directory Администратор istrative Center (уровень 200) и ознакомьтесь с центром Администратор istrative Center Active Directory: Начало работы.

Если у вас есть опыт создания контроллеров домена только для чтения, вы обнаружите, что мастер установки имеет тот же графический интерфейс, что и при использовании старой оснастки Пользователи и компьютеры Active Directory из Windows Server 2008 и использует тот же код, который включает экспорт конфигурации в формате автоматического файла, используемом устаревшим dcpromo.

Windows Server 2012 представляет новый командлет ADDSDeployment для этапов учетных записей компьютеров RODC, но мастер не использует командлет для своей операции. В следующих разделах приводится эквивалентный командлет и его аргументы, что позволит лучше понять связанную с ними информацию.

Предварительная создание ссылки учетной записи контроллера домена только для чтения в области задач Центра Администратор istrative Центра Active Directory эквивалентна командлету ADDSDeployment Windows PowerShell:

Add-addsreadonlydomaincontrolleraccount

Приветствие

Screenshot of the Welcome page of the Azure Directory Domain Services Installation Wizard showing the Use advanced mode installation option selected.

В диалоговом окне Вас приветствует мастер установки доменных служб Active Directory есть один параметр под названием Использовать расширенный режим установки. Выберите этот параметр и нажмите кнопку "Далее", чтобы отобразить параметры политики реплика политики паролей. Чтобы использовать значения по умолчанию для параметров политики репликации паролей (рассматриваются подробнее далее в этом разделе), отключите этот параметр.

Сетевые учетные данные

Screenshot of the Network Credentials page of the Azure Directory Domain Services Installation Wizard.

В диалоговом окне Сетевые учетные данные в поле доменного имени указан целевой домен по умолчанию для центра администрирования Active Directory. По умолчанию используются ваши текущие учетные данные. Если они не включают членство в группе доменных Администратор, выберите альтернативные учетные данные и выберите "Задать", чтобы предоставить мастеру имя пользователя и пароль, который является членом доменных Администратор.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-credential <pscredential>

Помните, что промежуточная система является прямым портом из Windows Server 2008 R2 и не предоставляет новые функции Adprep. Если вы планируете развернуть промежуточные учетные записи RODC, сначала необходимо сначала развернуть незамеченный RODC в этом домене, чтобы выполнить автоматическую операцию rodcprep или вручную запустить adprep.exe /rodcprep.

В противном случае вы получите ошибку. Вы не сможете установить контроллер домена только для чтения в этом домене, так как adprep /rodcprep еще не запущен.

Screenshot of the warning message of the Azure Directory Domain Services Installation Wizard stating that adprep /rodcprep was not yet run.

Задайте имя компьютера

Screenshot of the Specify the Computer Name page of the Azure Directory Domain Services Installation Wizard.

В диалоговом окне "Указать имя компьютера" необходимо ввести имя компьютера с одной меткой контроллера домена, который не существует. Контроллер домена, настроенный и присоединенный к этой учетной записи, должен иметь то же имя, или операция повышения не обнаружит промежуточной учетной записи.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-domaincontrolleraccountname <string>

Выберите сайт

Screenshot of the Select a Site page of the Azure Directory Domain Services Installation Wizard.

В диалоговом окне Выберите сайт приводится список сайтов Active Directory для текущего леса. Операция поэтапного создания контроллера домена только для чтения требует выбора одного сайта из списка. Контроллер RODC использует эту информацию для создания собственного объекта параметров NTDS в разделе конфигурации и подключения к соответствующему сайту при первом запуске после развертывания.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-sitename <string>

Дополнительные параметры контроллера домена

Screenshot of the Specify the Domain Controller Options page of the Azure Directory Domain Services Installation Wizard.

В диалоговом окне Дополнительные параметры контроллера домена можно указать, что контроллер домена должен также выступать в роли DNS-сервера и глобального каталога. Корпорация Майкрософт рекомендует предоставлять службы DNS и GC только для чтения, поэтому оба контроллера домена устанавливаются по умолчанию; одно из намерений роли RODC — это сценарии филиала, в которых широкая сеть может быть недоступна и без этих служб DNS и глобальных каталогов, компьютеры в филиале не смогут использовать ресурсы и функциональные возможности AD DS.

Параметр Контроллер домена только для чтения (RODC) выбран по умолчанию, и отключить его нельзя. Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

Примечание.

По умолчанию значение -NoGlobalCatalog $false, что означает, что контроллер домена будет глобальным сервером каталога, если аргумент не указан.

Задайте политику репликации паролей

Screenshot of the Specify the Password Replication policy page of the Azure Directory Domain Services Installation Wizard.

Диалоговое окно Задайте политику репликации паролей позволяет изменить список учетных записей по умолчанию, которым разрешено кэшировать пароли в этом контроллере домена только для чтения. Учетные записи в списке, настроенные с помощью "Запретить " или неявные (неявные) не кэшируют свой пароль. Учетные записи, которые не разрешены кэшировать пароли в RODC и не могут подключаться и проходить проверку подлинности на контроллере домена, доступ к записываемому контроллеру домена не может получить доступ к ресурсам или функциям, предоставляемым Active Directory.

Внимание

Это диалоговое окно мастера выводится только в том случае, если на экране приветствия был установлен флажок Использовать расширенный режим установки . Если этот флажок снят, то в мастере используются следующие группы и значения по умолчанию:

  • Администраторы — Запретить
  • Операторы сервера — Запретить
  • Операторы архива — Запретить
  • Операторы учета — Запретить
  • Группа с запрещением репликации паролей RODC — Запретить
  • Группа с разрешением репликации паролей RODC — Разрешить

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Screenshot of the Add Groups, Users and Computers dialog box.

Делегирование установки и администрирования RODC

Screenshot of the Delegation of RODC Installation and Administration page of the Azure Directory Domain Services Installation Wizard.

Диалоговое окно Делегирование установки и администрирования RODC позволяет настроить пользователя, которому разрешено подключать сервер к учетной записи компьютера RODC, или группу таких пользователей. Выберите "Задать" , чтобы просмотреть домен для пользователя или группы. Пользователь или группа, указанные в этом диалоговом окне, получают доступ к RODC с разрешениями локального администратора. Указанный пользователь или члены указанной группы могут выполнять операции в RODC с привилегиями, эквивалентными группе Администратор istrators компьютера. Они не являются членами доменных Администратор или встроенных групп Администратор istratorов домена.

С помощью этого параметра можно делегировать права на администрирование филиала, не предоставляя администраторам филиала членство в группе администраторов домена. Делегирование администрирования RODC не требуется.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-delegatedadministratoraccountname <string>

Итоги

Screenshot of the Summary page of the Azure Directory Domain Services Installation Wizard.

Диалоговое окно Сводка позволяет подтвердить параметры. Это последняя возможность прервать установку, прежде чем мастер создаст промежуточную учетную запись. Нажмите кнопку "Далее", когда вы будете готовы к созданию промежуточной учетной записи компьютера RODC. Выберите "Экспорт Параметры", чтобы сохранить файл ответа в устаревшем формате автоматического файла dcpromo.

Создание

Screenshot of the progress page of the Azure Directory Domain Services Installation Wizard.

Мастер установки доменных служб Active Directory поэтапно создает контроллер домена только для чтения в Active Directory. Отменить эту операцию после запуска невозможно.

Screenshot of the last page of the Azure Directory Domain Services Installation Wizard.

Чтобы поэтапно создать учетную запись компьютера для контроллера домена только для чтения с помощью модуля Windows PowerShell ADDSDeployment, используйте следующий командлет:

Add-addsreadonlydomaincontrolleraccount

См. информацию об обязательных и необязательных аргументах в разделе Stage RODC Windows PowerShell .

Так как add-add-addreadonlydomaincontrolleraccount имеет только одно действие с двумя этапами (предварительные требования проверка и установка), на следующих снимках экрана показан этап установки с минимальными необходимыми аргументами.

Screenshot of the PowerShell window showing the full Add-addsreadonlydomaincontrolleraccount cmdlet.

Screenshot of the PowerShell window showing the result of the Add-addsreadonlydomaincontrolleraccount cmdlet.

Операция поэтапной установки контроллера RODC создает учетную запись компьютера RODC в Active Directory. В центре администрирования Active Directory свойство Тип контроллера домена имеет значение Незанятая учетная запись контроллера домена. Этот тип контроллера домена указывает на то, что промежуточная учетная запись RODC готова к подключению сервера в качестве контроллера домена только для чтения.

Screenshot of the Active Directory Administrative Center showing Unoccupied Domain Controller Account highlighted.

Внимание

Центр администрирования Active Directory больше не нужен для подключения сервера к учетной записи контроллера домена только для чтения. Чтобы подключить контроллер RODC к промежуточной учетной записи, используйте диспетчер сервера и мастер настройки доменных служб Active Directory или командлет Install-AddsDomainController из модуля Windows PowerShell ADDSDeployment. Порядок действий при этом тот же, что и при добавлении нового доступного для чтения контроллера домена в существующий домен, за тем исключением, что предварительно подготовленная учетная запись RODC содержит параметры конфигурации, заданные при поэтапном создании учетной записи компьютера RODC.

присоединения

Конфигурация развертывания

Screenshot of the Deployment Configuration page of the Active Directory Domain Services Configuration Wizard.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы добавить контроллер домена только для чтения в существующий домен, нажмите кнопку "Добавить контроллер домена" в существующий домен и нажмите кнопку "Выбрать", чтобы указать сведения о домене для этого домена. диспетчер сервера автоматически запрашивает допустимые учетные данные или вы можете выбрать Изменение.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Мастер настройки служб домен Active Directory предложит вам позже, если у ваших текущих учетных данных нет достаточных разрешений или членства в группах.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Параметры контроллера домена

Screenshot of the Domain Controller Options page of the Active Directory Domain Services Configuration Wizard.

На странице "Параметры контроллера домена" показаны параметры контроллера домена для нового контроллера домена. При загрузке этой страницы мастер настройки доменных служб Active Directory отправляет существующему контроллеру домена запрос LDAP для проверки незанятых учетных записей. Если запрос находит незанятую учетную запись компьютера контроллера домена, которая использует то же имя, что и текущий компьютер, мастер отображает информационное сообщение в верхней части страницы, которая считывает созданную учетную запись RODC, соответствующую имени целевого сервера, существует в каталоге. Выберите, следует ли использовать эту существующую учетную запись RODC или переустановить этот контроллер домена. Мастер использует существующую учетную запись RODC в качестве конфигурации по умолчанию.

Внимание

Если в контроллере домена произошла физическая неполадка и он не может восстановить работоспособность, вы можете использовать параметр Переустановить этот контроллер домена . Это позволит сэкономить время при настройке контроллера домена для замены благодаря тому, что учетная запись компьютера контроллера домена и метаданные объекта остаются в Active Directory. Установите новый компьютер с тем же именемповысьте его роль до контроллера домена. Параметр переустановки этого контроллера домена недоступен, если вы удалили метаданные объекта контроллера домена из Active Directory (очистка метаданных).

Невозможно настроить параметры контроллера домена при присоединении сервера к учетной записи компьютера RODC. Параметры контроллера домена настраиваются при создании предварительно подготовленной учетной записи компьютера RODC.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Внимание

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)

  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не предпочтительное использование при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Дополнительные параметры

Screenshot of the Additional Options page of the Active Directory Domain Services Configuration Wizard.

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). Установка из проверка носителя предоставляет параметр обзора после выбора, и необходимо выбрать "Проверить", чтобы убедиться, что указанный путь является допустимым носителем.

Рекомендации по источнику IFM:

  • Носитель, используемый параметром IFM, создается с помощью резервного копирования Windows Server или Ntdsutil.exe из другого существующего контроллера домена Windows Server с той же версией операционной системы. Например, нельзя использовать windows Server 2008 R2 или предыдущую операционную систему для создания носителя для контроллера домена Windows Server 2012.
  • Исходные данные IFM должны быть из записываемого контроллера домена. Хотя источник из RODC технически работает для создания нового RODC, существуют ложные положительные реплика предупреждения о том, что источник RODC источника IFM не реплика ting.

Дополнительные сведения об изменениях в IFM см. в разделе Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Screenshot of the Command Prompt window showing the results of running ntdsutil.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Пути

Screenshot of the Paths page of the Active Directory Domain Services Configuration Wizard.

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

"Просмотреть параметры" и "Просмотреть скрипт"

Screenshot of the Review Options page of the Active Directory Domain Services Configuration Wizard.

Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Это не последняя возможность остановить установку с помощью диспетчер сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации. На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Screenshot of the PowerShell window showing the results of the Install-ADDSDomainController cmdlet.

Проверка необходимых компонентов

Screenshot of the Prerequisites Check page of the Active Directory Domain Services Configuration Wizard.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Процесс установки контроллера домена не может продолжаться до тех пор, пока не будут пройдены все предварительные тесты.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. Дополнительные сведения о проверках соблюдения предварительных условий см. в разделе Prerequisite Checking.

Невозможно обойти проверку готовности при использовании диспетчер сервера, но при использовании командлета развертывания AD DS можно пропустить этот процесс с помощью следующего аргумента:

-skipprechecks

Предупреждение

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Выберите " Установить", чтобы начать процесс продвижения контроллера домена. Это последняя возможность отменить установку. Вы не можете отменить процесс продвижения после начала. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Screenshot of the Installation page of the Active Directory Domain Services Configuration Wizard.

При отображении страницы установки конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

См. информацию об обязательных и необязательных аргументах в разделе Attach RODC Windows PowerShell .

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -useexistingaccountи -credential. Обратите внимание на то, что командлет Install-ADDSDomainController , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Screenshot of the PowerShell window showing the result of the Install-addsdomaincontroller cmdlet.

Screenshot of the PowerShell window showing the progress of the validation and installation.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

Результаты

Screenshot of the Results page of the Active Directory Domain Services Configuration Wizard.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Процесс создания RODC без предварительной подготовки

На следующей схеме показан процесс настройки служб домен Active Directory, когда вы ранее установили роль AD DS и запустили мастер настройки служб домен Active Directory с помощью диспетчер сервера Создание нового контроллера домена, не относящемся только для чтения, в существующем домене Windows Server 2012.

Diagram showing the Active Directory Domain Services Read-Only Domain Controller process, as described above, without the staging workflow.

Создание RODC без предварительной подготовки с помощью Windows PowerShell

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-AddsDomainController -SkipPreChecks

-Domainname

-Сейф Mode Администратор istratorPassword

-Sitename

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Учетных данных

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-DNSOnNetwork

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SystemKey

-SYSVOLPath

-AllowPasswordReplicationAccountName

-Делегировано Администратор istratorAccountName

-DenyPasswordReplicationAccountName

-ReadOnlyReplica

Примечание.

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена.

Развертывание RODC без предварительной подготовки

Конфигурация развертывания

Screenshot of the Deployment Configuration page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы добавить контроллер домена только для чтения в существующий домен Windows Server 2012, выберите "Добавить контроллер домена" в существующий домен и нажмите кнопку "Выбрать", чтобы указать сведения о домене для этого домена. диспетчер сервера автоматически запрашивает допустимые учетные данные или вы можете выбрать Изменение.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Мастер настройки служб домен Active Directory предложит вам позже, если у ваших текущих учетных данных нет достаточных разрешений или членства в группах.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment:

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Параметры контроллера домена

Screenshot of the Domain Controller Options page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. По умолчанию выбирается сайт с наиболее подходящей подсетью. Если есть только один сайт, он выбирает этот сайт автоматически.

Внимание

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. Всегда выбирайте надежный, сложный пароль или, что еще лучше, парольную фразу. Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Внимание

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. Командлет install-AddsDomainController не создает имена сайтов. Для создания сайтов можно использовать командлет new-adreplicationsite.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)

  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не предпочтительное использование при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Параметры RODC

Screenshot of the RODC Options page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

На странице Параметры RODC можно изменить следующие параметры:

  • Делегированная учетная запись администратора.

  • Учетные записи, которым разрешено реплицировать пароли в RODC.

  • Учетные записи, которым запрещено реплицировать пароли в RODC.

Делегированные учетные записи администратора получают локальные права администратора для RODC. Эти пользователи могут работать с привилегиями, эквивалентными группе Администратор istrators локального компьютера. Они не являются членами доменных Администратор или встроенных групп Администратор istratorов домена. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. Настройка делегирования администрирования не требуется.

Эквивалентный аргумент Windows PowerShell ADDSDeployment:

-delegatedadministratoraccountname <string>

Учетные записи, которые не разрешены кэшировать пароли в RODC и не могут подключаться и проходить проверку подлинности на контроллере домена, доступ к записываемому контроллеру домена не может получить доступ к ресурсам или функциям, предоставляемым Active Directory.

Внимание

Если параметр не изменяется, используются группы и значения по умолчанию:

  • Администраторы — Запретить
  • Операторы сервера — Запретить
  • Операторы архива — Запретить
  • Операторы учета — Запретить
  • Группа с запрещением репликации паролей RODC — Запретить
  • Группа с разрешением репликации паролей RODC — Разрешить

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Screenshot of the Select User, Computer, Service Account dialog box.

Дополнительные параметры

Screenshot of the Additional Options page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). Установка из проверка носителя предоставляет параметр обзора после выбора, и необходимо выбрать "Проверить", чтобы убедиться, что указанный путь является допустимым носителем.

Рекомендации по источнику IFM:

  • Носитель, используемый параметром IFM, создается с помощью резервного копирования Windows Server или Ntdsutil.exe из другого существующего контроллера домена Windows Server с той же версией операционной системы. Например, нельзя использовать windows Server 2008 R2 или предыдущую операционную систему для создания носителя для контроллера домена Windows Server 2012.
  • Исходные данные IFM должны быть из записываемого контроллера домена. Хотя источник из RODC технически работает для создания нового RODC, существуют ложные положительные реплика предупреждения о том, что источник RODC источника IFM не реплика ting.

Дополнительные сведения об изменениях в IFM см. в разделе Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки.

Screenshot of the Command Prompt window showing the results of running ntdsutil when there is no staging deployment.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры:

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Пути

Screenshot of the Paths page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Параметры подготовки

Screenshot of the Preparation Options page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

На странице Параметры подготовки выводится оповещение о том, что настройка доменных служб Active Directory включает в себя расширение схемы (forestprep) и обновление домена (domainprep). Эта страница отображается только в том случае, если лес или домен не был подготовлен предыдущей установкой контроллера домена Windows Server 2012 или вручную запущен Adprep.exe. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новую реплику контроллера домена в существующий корневой домен леса Windows Server 2012.

Расширение схемы и обновление домена не происходит при нажатии кнопки "Далее". Эти операции выполняются только во время этапа установки. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки.

На этой странице также проверяется, является ли текущий пользователь членом групп "Администраторы схемы" и "Администраторы предприятия". Членство в этих группах необходимо для расширения схемы и подготовки домена. Выберите "Изменить ", чтобы предоставить соответствующие учетные данные пользователя, если страница сообщает о том, что текущие учетные данные не предоставляют достаточных разрешений.

Аргумент Дополнительных параметров командлета ADDSDeployment таков:

-adprepcredential <pscredential>

Внимание

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена в Windows Server 2012 средство GPPREP не запускается. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную.

"Просмотреть параметры" и "Просмотреть скрипт"

Screenshot of the Review Options page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

Страница Просмотрь параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Это не последняя возможность остановить установку с помощью диспетчер сервера. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Screenshot of the PowerShell window showing the results of the Install-ADDSDomainController cmdlet when there is no staging deployment.

Проверка необходимых компонентов

Screenshot of the Prerequisites Check page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Процесс контроллера домена не может продолжаться до тех пор, пока не будут пройдены все предварительные тесты.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Невозможно обойти проверку готовности при использовании диспетчер сервера, но при использовании командлета развертывания AD DS можно пропустить этот процесс с помощью следующего аргумента:

-skipprechecks

Выберите " Установить", чтобы начать процесс продвижения контроллера домена. Это последняя возможность отменить установку. Вы не можете отменить процесс продвижения после начала. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса.

Установка

Screenshot of the Installation page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

При отображении страницы установки конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsdomaincontroller

Дополнительные и необязательные аргументы см. в таблице командлетов ADDSDeployment в начале этого раздела.

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -readonlyreplica, -sitenameи -credential. Обратите внимание на то, что командлет Install-ADDSDomainController , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Screenshot of the PowerShell window showing the result of the Install-addsdomaincontroller cmdlet when there is no staging deployment.

Screenshot of the PowerShell window showing the progress of the validation and installation when there is no staging deployment.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться. Если выйти из контроллера домена, то снова войти в него в интерактивном режиме не удастся, пока он не будет перезапущен.

Результаты

Screenshot of the Results page of the Active Directory Domain Services Configuration Wizard when there is no staging deployment.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.