安裝 Windows Server 2012 Active Directory 只讀域控制器 (RODC)(級別 200)
適用對象:Windows Server 2012
本主題介紹如何創建分步的 RODC 帳戶,然后在 RODC 安裝期間將服務器附加到該帳戶。 本主題還說明了如何在不執行分步安裝的情況下安裝 RODC。
分步的只讀域控制器 (RODC) 安裝包括兩個獨立的階段:
-
分步創建未占用的計算機帳戶
-
在升級期間將 RODC 附加到該帳戶
下圖闡釋了 Active Directory 域服務只讀域控制器分步過程,在此過程中你使用 Active Directory 管理中心 (Dsac.exe) 在域中創建空白 RODC 計算機帳戶。
| ADDSDeployment Cmdlet |
參數(需要加粗參數。 斜體參數可以通過使用 Windows PowerShell 或 AD DS 配置向導來指定。) |
| Add-addsreadonlydomaincontrolleraccount
|
-SkipPreChecks -DomainControllerAccountName -DomainName -SiteName -AllowPasswordReplicationAccountName -Credential -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
 注意 |
|---|
| 僅當你尚未作為 Domain Admins 組成員登錄時,才需要 -credential 參數。 |
下圖闡釋了 Active Directory 域服務配置過程,你已在其中安裝了 AD DS 角色、分步創建 RODC 帳戶,並使用服務器管理器開始了“將此服務器升級到域控制器”以在現有域中創建新的 RODC,並將其附加到分步的計算機帳戶。
| ADDSDeployment Cmdlet |
參數(需要加粗參數。 斜體參數可以通過使用 Windows PowerShell 或 AD DS 配置向導來指定。) |
| Install-AddsDomaincontroller |
-SkipPreChecks -DomainName -SafeModeAdministratorPassword -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -InstallationMediaPath -LogPath -Norebootoncompletion -ReplicationSourceDC -SystemKey -SYSVOLPath -UseExistingAccount |
| 注意 |
|---|
| 僅當你尚未作為 Domain Admins 組成員登錄時,才需要 -credential 參數。 |
通過打開 Active Directory 管理中心 (Dsac.exe),你可以執行只讀域控制器的計算機帳戶的分步操作。 單擊導航窗格中的域名。 雙擊管理列表中的“域控制器”。單擊任務窗格中的“預創建只讀域控制器帳戶”。
有關 Active Directory 管理中心的詳細信息,請參閱使用 Active Directory 管理中心的高級 AD DS 管理(級別 200)並查看Active Directory 管理中心:入門。
如果你有創建只讀域控制器的經驗,你將發現安裝向導的圖形界面與在使用 Windows Server 2008 中較早版本 Active Directory 用戶和計算機管理單元時看到的相同,並且使用相同的代碼,這包括采用由過時的 dcpromo 使用的無人參與文件格式導出配置。
Windows Server 2012 引入了新的 ADDSDeployment cmdlet 以分步創建 RODC 計算機帳戶,但是向導不將該 cmdlet 用於其操作。 以下部分顯示等效的 cmdlet 和參數,以便使每種方法的相關信息更簡單易懂。
Active Directory 管理中心任務窗格中的“預創建只讀域控制器帳戶”鏈接與 ADDSDeployment Windows PowerShell cmdlet 等效:
Add-addsreadonlydomaincontrolleraccount
歡迎使用 Active Directory 域服務安裝向導對話框有一個名為“使用高級模式安裝”的選項。 選擇此選項並單擊“下一步”以顯示密碼復制策略選項。 清除此選項以使用密碼復制策略選項的默認值(本部分稍后將進一步詳細討論)。
“網絡憑據”對話框中的域名選項顯示 Active Directory 管理中心默認針對的域。 默認情況下,使用你的當前憑據。 如果它們不包括 Domain Admins 組的成員身份,請單擊“備用憑據”,並單擊“設置”以向向導提供作為 Domain Admins 組成員的用戶名和密碼。
等效 ADDSDeployment Windows PowerShell 參數是:
-credential <pscredential>
請記住,分步系統是來自 Windows Server 2008 R2 的直接端口,並且不提供新的 Adprep 功能。 如果你計划部署分步 RODC 帳戶,你必須首先在該域中部署未分步的 RODC 以運行自動 rodcprep 操作,或者首先手動運行 adprep.exe /rodcprep。
否則,你將收到錯誤“你將無法在此域中安裝只讀域控制器,因為‘adprep /rodcprep’尚未運行”。
“指定計算機名稱”對話框需要你輸入不存在的域控制器的單標簽“計算機名稱”。 你之后配置並附加到此帳戶的域控制器必須具有相同的名稱,否則升級操作將不會檢測出分步的帳戶。
等效 ADDSDeployment Windows PowerShell 參數是:
-domaincontrolleraccountname <string>
“選擇一個站點”對話框顯示當前林的 Active Directory 站點列表。 分步只讀域控制器操作需要你從該列表中選擇單個站點。 RODC 使用此信息在配置分區中創建其 NTDS 設置對象,並在部署后首次啟動時將其自身加入正確的站點中。
等效 ADDSDeployment Windows PowerShell 參數是:
-sitename <string>
“其他域控制器選項”對話框使你可以指定域控制器包括作為“DNS 服務器”運行和作為“全局編錄”運行。 Microsoft 建議只讀域控制器提供 DNS 和 GC 服務,因此將默認安裝兩者;RODC 角色的一個意圖是分支機構方案,其中廣域網可能不可用,而且在沒有 DNS 和全局編錄服務的情況下,分支機構中的計算機將無法使用 AD DS 資源和功能。
“只讀域控制器 (RODC)”選項是預選中的選項,並且無法禁用。 等效 ADDSDeployment Windows PowerShell 參數是:
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
| 注意 |
|---|
| 默認情況下,–NoGlobalCatalog 值是 $false,這意味着如果未指定參數,域控制器將是全局編錄服務器。 |
“指定密碼復制策略”對話框使你可以修改允許在此只讀域控制器上緩存密碼的帳戶的默認列表。 此列表中使用“Deny”配置的帳戶或不在此列表中的帳戶(隱式)不會緩存它們的密碼。 不被允許在 RODC 上緩存密碼並且無法連接並身份驗證到可寫域控制器的帳戶無法訪問 Active Directory 提供的資源或功能。
 重要事項 |
|---|
| 僅當你選擇歡迎屏幕上的“使用高級模式安裝”復選框時,向導顯示此對話框。 如果你清除此復選框,則向導將使用以下默認組和值:
|
等效 ADDSDeployment Windows PowerShell 參數是:
-allowpasswordreplicationaccountname <string []> -denypasswordreplicationaccountname <string []>
“RODC 安裝和管理的委派”對話框使你可以配置允許將服務器附加到 RODC 計算機帳戶的用戶或包含用戶的組。 單擊“設置”以瀏覽用戶或組的域。 此對話框中指定的用戶或組獲取 RODC 的本地管理權限。 指定用戶或指定組的成員可以使用與計算機的管理員組等效的權限在 RODC 上執行操作。 他們不是 Domain Admins 或域內置 Administrators 組的成員。
使用此選項委派分支機構管理,而無需授予 Domain Admins 組分支管理員成員身份。 不需要委派 RODC 管理。(注:在配置RODC時不需要使用域管理員賬戶)
等效 ADDSDeployment Windows PowerShell 參數是:
-delegatedadministratoraccountname <string>
“摘要”對話框使你可以確認你的設置。 這是在向導創建分步帳戶前停止安裝的最后機會。 當你准備好創建分步 RODC 計算機帳戶時,單擊“下一步”。 單擊“導出設置”以使用過時的 dcpromo 無人參與文件格式保存應答文件。
“Active Directory 域服務安裝向導”在 Active Directory 中創建分步只讀域控制器。 你無法在其開始后取消此操作。
使用以下 cmdlet 通過 ADDSDeployment Windows PowerShell 模塊分步創建只讀域控制器計算機帳戶:
Add-addsreadonlydomaincontrolleraccount
請參閱分步 RODC Windows PowerShell 以了解必需和可選參數。
由於 Add-addsreadonlydomaincontrolleraccount 僅有一個包含兩個階段(先決條件檢查和安裝)的操作,因此以下屏幕截圖顯示帶有最少必需參數的安裝階段。
分步 RODC 操作在 Active Directory 中創建 RODC 計算機帳戶。 Active Directory 管理中心將“域控制器類型”顯示為“未占用域控制器帳戶”。 此域控制器類型顯示分步 RODC 帳戶已經為服務器附加為只讀域控制器做好准備。
| 重要事項 |
|---|
| Active Directory 管理中心不再需要將服務器附加到只讀域控制器計算機帳戶。 使用服務器管理員和 Active Directory 域服務配置向導或者 ADDSDeployment Windows PowerShell 模塊 cmdlet Install-AddsDomainController 將新的 RODC 附加到其分步帳戶。 這些步驟與將新的可寫域控制器添加到現有域類似,例外之處是分步 RODC 計算機帳戶包含的配置選項在你分步創建 RODC 計算機帳戶時已經決定。 |
服務器管理器從“部署配置”頁開始進行每個域控制器升級。 其余選項和必填字段在此頁面和后續頁面上會有所變化,這視所選部署操作而定。
若要將只讀域控制器添加到現有域,選擇“向現有域添加域控制器”並單擊“選擇”按鈕以“指定此域的域信息”。 服務器管理器自動提示你提供有效的憑據,或者你可以單擊“更改”。
附加 RODC 需要 Windows Server 2012 中 Domain Admins 組的成員身份。 如果當前憑據沒有足夠權限或組成員身份,Active Directory 域服務配置向導將在稍后給出提示。
部署配置 ADDSDeployment Windows PowerShell cmdlet 和參數是:
Install-AddsDomainController -domainname <string> -credential <pscredential>
“域控制器選項”頁面顯示用於新域控制器的域控制器選項。當此頁面加載時,Active Directory 域服務配置向導向現有域控制器發送 LDAP 查詢以檢查未占用的帳戶。如果該查詢找到與當前計算機名稱相同的未占用域控制器計算機帳戶,則向導在頁面頂部顯示一條信息性消息,內容為“目錄中存在匹配目標服務器名稱的預創建 RODC 帳戶。選擇是使用此現有 RODC 帳戶還是重新安裝此域控制器。”向導使用“使用現有 RODC 帳戶”作為默認配置。
| 重要事項 |
|---|
| 當域控制器遇到物理問題且無法恢復運行時,你可以使用“重新安裝此域控制器”選項。 在配置替換域控制器時,通過在 Active Directory 中保留域控制器計算機帳戶和對象元數據,這可以節省時間。 使用相同名稱安裝新計算機並將其升級為域中的域控制器。 如果你從 Active Directory 刪除了域控制器對象的元數據(元數據清理),則“重新安裝此域控制器”選項不可用。 |
將服務器附加到 RODC 計算機帳戶時,你無法配置域控制器選項。 將在創建分步 RODC 計算機帳戶時配置域控制器選項。
指定的“目錄服務還原模式密碼”必須遵守應用到服務器的密碼策略。 總是選擇復雜強密碼或首選密碼。
域控制器選項 ADDSDeployment Windows PowerShell 參數是:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
| 重要事項 |
|---|
| 作為參數提供給 -sitename 時,此站點名稱必須已存在。 install-AddsDomainController cmdlet 不創建站點名稱。 可以使用 cmdlet new-adreplicationsite 創建新站點。 |
Install-ADDSDomainController 參數使用與服務器管理器相同的默認值(如果未指定)。
SafeModeAdministratorPassword 參數的操作是特殊操作:
-
如果未指定為參數,cmdlet 將提示你輸入並確認掩蔽密碼。 以交互方式運行 cmdlet 時,這是首選用法。
例如,要在 corp.contoso.com 中創建新的 RODC,並且收到輸入並確認掩蔽密碼的提示:
Install-ADDSDomainController –DomainName corp.contoso.com –credential (get-credential)
-
如果指定值,則該值必須是安全字符串。 以交互方式運行 cmdlet 時,這不是首選用法。
例如,可通過使用 Read-Host cmdlet 提示用戶提供安全字符串來手動提示輸入密碼:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
 警告 |
|---|
| 由於上個選項未確認密碼,請務必十分謹慎:密碼不可見。 |
你還可以提供安全字符串作為轉換的明文變量,盡管強烈不建議這樣做。
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
最后,可以將模糊的密碼存儲在文件中,然后在以后重復使用它,而不會出現明文密碼。 例如:
$file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
| 警告 |
|---|
| 不建議提供或存儲清晰或模糊的文本密碼。 任何在腳本中運行此命令或看到的人員都知道該域控制器的 DSRM 密碼。 任何有權限訪問該文件的人都可反轉該模糊密碼。 知道密碼后,他們可以登錄到以 DSRM 模式啟動的 DC 並最終模擬域控制器本身,從而將他們的權限提升到 AD 林中的最高級。 使用System.Security.Cryptography 加密文本文件數據的一組其他步驟是可取的,但不在范圍內。 最佳實踐是完全避免密碼存儲。 |
“其他選項”頁面提供用於將域控制器命名為復制源的配置選項,或者你可以將任何域控制器用作復制源。
你還可以使用“從媒體安裝 (IFM)”選項選擇使用備份的媒體安裝域控制器。 選中后,“從媒體安裝”復選框提供瀏覽器選項,而且你必須單擊“驗證”以確保所提供的路徑是有效的媒體。 僅從另一個現有 Windows Server 2012 計算機使用 Windows Server Backup 或 Ntdsutil.exe 創建由 IFM 選項使用的媒體;無法使用 Windows Server 2008 R2 或之前的操作系統為 Windows Server 2012 域控制器創建媒體。 有關 IFM 中的更改的詳細信息,請參閱Ntdsutil.exe 從媒體安裝更改。 如果使用受 SYSKEY 保護的媒體,服務器管理器將在驗證期間提示輸入圖像的密碼。
其他選項 ADDSDeployment cmdlet 參數是:
-replicationsourcedc <string> -installationmediapath <string> -systemkey <secure string>
“路徑”頁可以用於覆蓋 AD DS 數據庫、數據庫事務日志和 SYSVOL 共享的默認文件夾位置。 默認位置始終位於 %systemroot% 的子目錄中。 路徑ADDSDeployment cmdlet 參數是:
-databasepath <string> -logpath <string> -sysvolpath <string>
“審查” 選項頁可以用於驗證設置並確保在開始安裝前滿足要求。 這不是停止使用服務器管理器安裝的最后一次機會。 此頁只是讓你先查看和確認設置,然后再繼續配置。 服務器管理器中的“審查選項”頁還提供可選的“查看腳本”按鈕,可將包含當前 ADDSDeployment 配置的 Unicode 文本文件創建為一個 Windows PowerShell 腳本。 這樣,你可以將服務器管理器圖形界面用作 Windows PowerShell 部署工作台。 使用 Active Directory 域服務配置向導來配置選項、導出配置和取消向導。 此過程將創建有效且語法正確的示例,以便做進一步修改或直接使用。 例如:
# # Windows PowerShell Script for AD DS Deployment # Import-Module ADDSDeployment Install-ADDSDomainController ` -Credential (Get-Credential) ` -CriticalReplicationOnly:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainName "corp.contoso.com" ` -LogPath "C:\Windows\NTDS" ` -SYSVOLPath "C:\Windows\SYSVOL" ` -UseExistingAccount:$true ` -Norebootoncompletion:$false -Force:$true
| 注意 |
|---|
| 服務器管理器通常在升級時使用值填充所有參數,並且不依賴默認值(因為它們可能在 Windows 或服務包以后的版本之間發生更改)。 但該情況的一個例外是 -safemodeadministratorpassword 參數。 若要強制確認提示,請在以交互方式運行 cmdlet 時省略該值 |
將可選 Whatif 參數與 Install-ADDSDomainController cmdlet 一起使用可檢查配置信息。 這使你可以查看 cmdlet 的參數的顯式和隱式值。
“先決條件檢查”是 AD DS 域配置中的新功能。 此新階段驗證服務器配置是否能夠支持新的 AD DS 林。
在安裝新目錄林根級域時,服務器管理器 Active Directory 域服務配置向導將調用一系列序列化的模塊化測試。 這些測試向你提出警告並提供建議的修復選項。 你可以根據需要多次運行測試。 域控制器安裝進程在所有先決條件測試通過前無法繼續。
“先決條件檢查”還顯示相關的信息,例如影響較早版本的操作系統的安全性更改。 有關先決條件檢查的詳細信息,請參閱先決條件檢查。
使用服務器管理器時你無法繞過“先決條件檢查”,但是你可以在使用 AD DS 部署 cmdlet 時使用以下參數跳過該進程:
-skipprechecks
| 警告 |
|---|
| Microsoft 不鼓勵跳過先決條件檢查,因為它可能導致部分域控制器升級或 AD DS 林損壞。 |
單擊“安裝”以開始域控制器升級進程。 這是取消安裝的最后機會。 一旦開始升級過程,你無法取消它。 無論升級結果如何,計算機將在升級結束時自動重新啟動。
當“安裝”頁顯示時,域控制器配置將開始,並且無法暫停或取消。 詳細操作顯示在此頁面上並將寫入日志:
-
%systemroot%\debug\dcpromo.log
-
%systemroot%\debug\dcpromoui.log
若要使用 ADDSDeployment 模塊安裝新的 Active Directory 林,請使用以下 cmdlet:
Install-addsdomaincontroller
請參閱附加 RODC Windows PowerShell 以了解必需和可選參數。
Install-addsdomaincontroller cmdlet 僅有兩個階段(先決條件檢查和安裝)。 下面兩個圖片顯示安裝階段,並帶有最少的所需參數 -domainname、-useexistingaccount 和 -credential。 請注意 Install-ADDSDomainController 如何提醒你升級將自動重新啟動服務器,就像服務器管理器一樣:
若要自動接受重新啟動提示,請將 -force 或 -confirm:$false 參數與任何 ADDSDeployment Windows PowerShell cmdlet 一起使用。 若要防止服務器在升級結束時自動重新啟動,請使用 -norebootoncompletion 參數。
| 警告 |
|---|
| 不建議重寫重新啟動。 域控制器必須重新啟動才能正常工作。 |
下圖說明了以下情況中的 Active Directory 域服務配置過程:你以前安裝了 AD DS 角色,並已使用服務器管理器啟動 Active Directory 域服務配置向導,以在現有 Windows Server 2012 域中創建新的非分步只讀域控制器。
| ADDSDeployment Cmdlet |
參數(需要加粗參數。 斜體參數可以通過使用 Windows PowerShell 或 AD DS 配置向導來指定。) |
| Install-AddsDomainController |
-SkipPreChecks -DomainName -SafeModeAdministratorPassword -SiteName -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey -SYSVOLPath -AllowPasswordReplicationAccountName -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
| 注意 |
|---|
| 僅當你尚未作為 Domain Admins 組成員登錄時,才需要 -credential 參數。 |
服務器管理器從“部署配置”頁開始進行每個域控制器升級。 其余選項和必填字段在此頁面和后續頁面上會有所變化,這視所選部署操作而定。
若要將未分步的只讀域控制器添加到現有 Windows Server 2012 域中,選擇“向現有域添加域控制器”並單擊“選擇”按鈕以“指定此域的域信息”。 服務器管理器自動提示你提供有效的憑據,或者你可以單擊“更改”。
附加 RODC 需要 Windows Server 2012 中 Domain Admins 組的成員身份。 如果當前憑據沒有足夠權限或組成員身份,Active Directory 域服務配置向導將在稍后給出提示。
部署配置 ADDSDeployment Windows PowerShell cmdlet 和參數是:
Install-AddsDomainController -domainname <string> -credential <pscredential>
“域控制器選項”頁面指定用於新域控制器的域控制器功能。 可配置的域控制器功能為“DNS 服務器”、“全局編錄”和“只讀域控制器”。 Microsoft 建議所有域控制器提供 DNS 和 GC 服務以實現分布式環境中的高可用性。 始終默認選中 GC;如果當前域托管的 DNS 已在其 DC 上(基於起始授權機構查詢),則默認選中 DNS 服務器。
“域控制器選項”頁還讓你可以從林配置中選擇相應的 Active Directory 邏輯“站點名稱”。 默認情況下,將選擇具有最合適子網的站點。 如果只有一個站點,將自動選擇該站點。
| 重要事項 |
|---|
| 如果該服務器不屬於 Active Directory 子網,並且有多個 Active Directory 站點,則不選擇任何內容且“下一步”按鈕不可用,直到你從列表選擇一個站點。 |
指定的“目錄服務還原模式密碼”必須遵守應用到服務器的密碼策略。 總是選擇復雜的強密碼(或首選密碼)。域控制器選項 ADDSDeployment Windows PowerShell 參數是:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
| 重要事項 |
|---|
| 作為參數提供給 -sitename 時,此站點名稱必須已存在。 install-AddsDomainController cmdlet 不創建站點名稱。 可以使用 cmdlet new-adreplicationsite 創建新站點。 |
Install-ADDSDomainController 參數使用與服務器管理器相同的默認值(如果未指定)。
SafeModeAdministratorPassword 參數的操作是特殊操作:
-
如果未指定為參數,cmdlet 將提示你輸入並確認掩蔽密碼。 以交互方式運行 cmdlet 時,這是首選用法。
例如,要在 corp.contoso.com 中創建新的 RODC,並且收到輸入並確認掩蔽密碼的提示:
Install-ADDSDomainController –DomainName corp.contoso.com –credential (get-credential)
-
如果指定值,則該值必須是安全字符串。 以交互方式運行 cmdlet 時,這不是首選用法。
例如,可通過使用 Read-Host cmdlet 提示用戶提供安全字符串來手動提示輸入密碼:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
| 警告 |
|---|
| 由於上個選項未確認密碼,請務必十分謹慎:密碼不可見。 |
你還可以提供安全字符串作為轉換的明文變量,盡管強烈不建議這樣做。
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
最后,可以將模糊的密碼存儲在文件中,然后在以后重復使用它,而不會出現明文密碼。 例如:
$file = "c:\pw.txt" $pw = read-host -prompt "Password:" -assecurestring $pw | ConvertFrom-SecureString | Set-Content $file -safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
| 警告 |
|---|
| 不建議提供或存儲清晰或模糊的文本密碼。 任何在腳本中運行此命令或看到的人員都知道該域控制器的 DSRM 密碼。 任何有權限訪問該文件的人都可反轉該模糊密碼。 知道密碼后,他們可以登錄到以 DSRM 模式啟動的 DC 並最終模擬域控制器本身,從而將他們的權限提升到 AD 林中的最高級。 使用System.Security.Cryptography 加密文本文件數據的一組其他步驟是可取的,但不在范圍內。 最佳實踐是完全避免密碼存儲。 |
“RODC 選項”頁支持你修改設置:
-
委派的管理員帳戶
-
允許將密碼復制到 RODC 的帳戶
-
拒絕將密碼復制到 RODC 的帳戶
委派的管理員帳戶獲得 RODC 的本地管理權限。 這些用戶可使用與本地計算機管理員組相當的權限來操作。 他們不是 Domain Admins 或域內置管理員組的成員。 在不指派域管理權限的情況下委派分支機構管理時,這樣選擇很有用。 不需要配置管理委派。
等效 ADDSDeployment Windows PowerShell 參數是:
-delegatedadministratoraccountname <string>
不被允許在 RODC 上緩存密碼並且無法連接並身份驗證到可寫域控制器的帳戶無法訪問 Active Directory 提供的資源或功能。
| 重要事項 |
|---|
| 如果未修改,則使用默認組和設置:
|
等效 ADDSDeployment Windows PowerShell 參數是:
-allowpasswordreplicationaccountname <string []> -denypasswordreplicationaccountname <string []>
“其他選項”頁面提供用於將域控制器命名為復制源的配置選項,或者你可以將任何域控制器用作復制源。
你還可以使用“從媒體安裝 (IFM)”選項選擇使用備份的媒體安裝域控制器。 選中后,“從媒體安裝”復選框提供瀏覽器選項,而且你必須單擊“驗證”以確保所提供的路徑是有效的媒體。 僅從另一個現有 Windows Server 2012 計算機使用 Windows Server Backup 或 Ntdsutil.exe 創建由 IFM 選項使用的媒體;無法使用 Windows Server 2008 R2 或之前的操作系統為 Windows Server 2012 域控制器創建媒體。 附錄提供了有關 IFM 中的更改的詳細信息。 如果使用受 SYSKEY 保護的媒體,服務器管理器將在驗證期間提示輸入圖像的密碼。
其他選項 ADDSDeployment cmdlet 參數是:
-replicationsourcedc <string> -installationmediapath <string> -systemkey <secure string>
“路徑”頁可以用於覆蓋 AD DS 數據庫、數據庫事務日志和 SYSVOL 共享的默認文件夾位置。 默認位置始終位於 %systemroot% 的子目錄中。 路徑ADDSDeployment cmdlet 參數是:
-databasepath <string> -logpath <string> -sysvolpath <string>
“准備選項”頁面提示你 AD DS 配置包括擴展架構 (forestprep) 和更新該域 (domainprep)。 僅當之前的 Windows Server 2012 域控制器安裝未准備好林或域或者手動運行 Adprep.exe 時,你才會看到此頁面。 例如,如果你將新副本域控制器添加到現有 Windows Server 2012 目錄林根級域,Active Directory 域服務配置向導將取消此頁面。
當你單擊“下一步”時,擴展架構和更新域操作不會發生。 這些事件僅在安裝階段發生。 此頁面只是為了使你注意到稍后將在安裝中發生的事件。
此頁面還驗證當前用戶憑據是 Schema Admin 和 Enterprise Admins 組的成員,因為你需要這些組的成員身份以擴展架構或准備域。 如果該頁面通知你當前憑據未提供足夠的權限,單擊“更改”以提供足夠的用戶憑據。
“其他選項”ADDSDeployment cmdlet 參數是:
-adprepcredential <pscredential>
| 重要事項 |
|---|
| 與之前版本的 Windows Server,Windows Server 2012 的自動化域准備不運行 GPPREP。 為之前沒有針對 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 准備的所有域手動運行 adprep.exe /gpprep。 你應當在域的歷史記錄中僅運行一次 GPPrep,而不是在每次升級時都運行。 Adprep.exe 不自動運行 /gpprep,因為它的操作可能導致 SYSVOL 文件夾中的所有文件和文件夾在所有域控制器上重新復制。 自動 RODCPrep 將在你升級域中第一個未分步的 RODC 時運行。 當你升級第一個可寫 Windows Server 2012 域控制器時,它不會發生。 如果你計划部署只讀域控制器,你也仍然可以手動運行 adprep.exe /rodcprep。 |
“審查” 選項頁可以用於驗證設置並確保在開始安裝前滿足要求。 這不是停止使用服務器管理器安裝的最后一次機會。 此頁只是讓你先查看和確認設置,然后再繼續配置。
服務器管理器中的“審查選項”頁還提供可選的“查看腳本”按鈕,可將包含當前 ADDSDeployment 配置的 Unicode 文本文件創建為一個 Windows PowerShell 腳本。 這樣,你可以將服務器管理器圖形界面用作 Windows PowerShell 部署工作台。 使用 Active Directory 域服務配置向導來配置選項、導出配置和取消向導。 此過程將創建有效且語法正確的示例,以便做進一步修改或直接使用。 例如:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("CORP\Allowed RODC Password Replication Group", "CORP\Chicago RODC Admins", "CORP\Chicago RODC Users and Computers") `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DelegatedAdministratorAccountName "CORP\Chicago RODC Admins" `
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "CORP\Denied RODC Password Replication Group") `
-DomainName "corp.contoso.com" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-ReadOnlyReplica:$true `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
| 注意 |
|---|
| 服務器管理器通常在升級時使用值填充所有參數,並且不依賴默認值(因為它們可能在 Windows 或服務包以后的版本之間發生更改)。 但該情況的一個例外是 -safemodeadministratorpassword 參數。 若要強制執行確認提示,則在以交互方式運行 cmdlet 時省略該值。 |
使用帶有 Install-ADDSDomainController cmdlet 的 Whatif 參數查看配置信息。 這使你可以查看 cmdlet 的參數的顯式和隱式值。
“先決條件檢查”是 AD DS 域配置中的新功能。 此新階段驗證服務器配置是否能夠支持新的 AD DS 林。
在安裝新目錄林根級域時,服務器管理器 Active Directory 域服務配置向導將調用一系列序列化的模塊化測試。 這些測試向你提出警告並提供建議的修復選項。 你可以根據需要多次運行測試。 域控制器進程在所有先決條件測試通過前無法繼續。
“先決條件檢查”還顯示相關的信息,例如影響較早版本的操作系統的安全性更改。
使用服務器管理器時你無法繞過“先決條件檢查”,但是你可以在使用 AD DS 部署 cmdlet 時使用以下參數跳過該進程:
-skipprechecks
單擊“安裝”以開始域控制器升級進程。 這是取消安裝的最后機會。 一旦開始升級過程,你無法取消它。 無論升級結果如何,計算機將在升級結束時自動重新啟動。
當“安裝”頁顯示時,域控制器配置將開始,並且無法暫停或取消。 詳細操作顯示在此頁面上並將寫入日志:
-
%systemroot%\debug\dcpromo.log
-
%systemroot%\debug\dcpromoui.log
若要使用 ADDSDeployment 模塊安裝新的 Active Directory 林,請使用以下 cmdlet:
Install-addsdomaincontroller
有關必需和可選參數,請參閱此部分開頭的“ADDSDeployment Cmdlet”表。
Install-addsdomaincontroller cmdlet 僅有兩個階段(先決條件檢查和安裝)。 下面的兩個圖顯示安裝階段,並帶有最少的所需參數 -domainname、-readonlyreplica、-sitename 和 -credential。 請注意 Install-ADDSDomainController 如何提醒你升級將自動重新啟動服務器,就像服務器管理器一樣:
若要自動接受重新啟動提示,請將 -force 或 -confirm:$false 參數與任何 ADDSDeployment Windows PowerShell cmdlet 一起使用。 若要防止服務器在升級結束時自動重新啟動,請使用 -norebootoncompletion 參數。
| 警告 |
|---|
| 不建議重寫重新啟動。 域控制器必須重新啟動才能正常工作。 如果注銷域控制器,則你無法以交互方式重新登錄,直到重新啟動它。 |
