Instalar un controlador de dominio de solo lectura (RODC) de Active Directory para Windows Server 2012 (nivel 200)Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

En este tema se explica cómo crear una cuenta de RODC preconfigurada y, después, cómo conectar un servidor a esa cuenta durante la instalación del RODC.This topic explains how to create a staged RODC account and then attach a server to that account during RODC installation. En este tema también se explica cómo instalar un RODC sin una instalación preconfigurada.This topic also explains how to install an RODC without performing a staged installation.

Flujo de trabajo de preconfiguración del RODCStage RODC Workflow

Una instalación de controlador de dominio preconfigurado de solo lectura (RODC) se realiza en dos fases distintas:A staged read only domain controller (RODC) installation works in two discrete phases:

  1. Preconfigurar una cuenta de equipo no ocupadaStaging an unoccupied computer account

  2. Conectar un RODC a esa cuenta durante la promociónAttaching an RODC to that account during promotion

El diagrama siguiente ilustra el proceso de preconfiguración del controlador de dominio de solo lectura de Active Directory Domain Services, en el que se crea una cuenta de equipo de RODC vacía en el dominio usando el Centro de administración de Active Directory (Dsac.exe).The following diagram illustrates the Active Directory Domain Services Read-Only Domain Controller staging process, where you create an empty RODC computer account in the domain using the Active Directory Administrative Center (Dsac.exe).

Install RODC

Fase del RODC de Windows PowerShellStage RODC Windows PowerShell

Cmdlet ADDSDeploymentADDSDeployment Cmdlet Argumentos (los argumentos en negrita son obligatorios.Arguments (Bold arguments are required. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Add-addsreadonlydomaincontrolleraccountAdd-addsreadonlydomaincontrolleraccount -SkipPreChecks-SkipPreChecks

-DomainControllerAccountName-DomainControllerAccountName

-NombreDeDominio-DomainName

-SiteName-SiteName

-AllowPasswordReplicationAccountName-AllowPasswordReplicationAccountName

-Credential-Credential

-DelegatedAdministratorAccountName-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName-DenyPasswordReplicationAccountName

-NoGlobalCatalog-NoGlobalCatalog

-InstallDNS-InstallDNS

-ReplicationSourceDC-ReplicationSourceDC

Nota

El argumento -credential solamente es necesario cuando no has iniciado sesión como miembro del grupo Admins. del dominio.The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

Flujo de trabajo de conexión del RODCAttach RODC Workflow

El diagrama siguiente ilustra el proceso de configuración de Active Directory Domain Services, en el que ya has instalado el rol AD DS, has preconfigurado la cuenta de RODC y has iniciado Promover este servidor a controlador de dominio usando el Administrador del servidor para crear un nuevo RODC en un dominio existente y conectarlo a la cuenta de equipo preconfigurada.The diagram below illustrates the Active Directory Domain Services configuration process, where you already installed the AD DS role, you staged the RODC account, and started Promote this Server to a Domain Controller using Server Manager to create a new RODC in an existing domain, attaching it to the staged computer account.

Install RODC

Adjunte RODC de Windows PowerShellAttach RODC Windows PowerShell

Cmdlet ADDSDeploymentADDSDeployment Cmdlet Argumentos (los argumentos en negrita son obligatorios.Arguments (Bold arguments are required. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomaincontrollerInstall-AddsDomaincontroller -SkipPreChecks-SkipPreChecks

-NombreDeDominio-DomainName

-SafeModeAdministratorPassword-SafeModeAdministratorPassword

-ApplicationPartitionsToReplicate-ApplicationPartitionsToReplicate

-CreateDNSDelegation-CreateDNSDelegation

-Credential-Credential

-CriticalReplicationOnly-CriticalReplicationOnly

-DatabasePath-DatabasePath

-DNSDelegationCredential-DNSDelegationCredential

-InstallationMediaPath-InstallationMediaPath

-LogPath-LogPath

-Norebootoncompletion-Norebootoncompletion

-ReplicationSourceDC-ReplicationSourceDC

-SystemKey-SystemKey

-SYSVOLPath-SYSVOLPath

-UseExistingAccount-UseExistingAccount

Nota

El argumento -credential solamente es necesario cuando no has iniciado sesión como miembro del grupo Admins. del dominio.The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

PreconfiguraciónStaging

Install RODC

Para realizar la operación de preconfiguración de una cuenta de equipo de controlador de dominio de solo lectura, abre el Centro de administración de Active Directory (Dsac.exe).You perform the staging operation of a read-only domain controller computer account by opening the Active Directory Administrative Center (Dsac.exe). Haz clic en el nombre del dominio en el panel de navegación.Click the name of the domain in the navigation pane. Haz doble clic en Controladores de dominio en la lista de administración.Double-click Domain Controllers in the management list. Haz clic en Crear previamente una cuenta de controlador de dominio de solo lectura en el panel de tareas.Click Pre-create a Read-only domain controller account in the tasks pane.

Para obtener más información sobre el centro de administración de Active Directory, consulte Administración avanzada de AD DS (con centro de administración de Active Directory) nivel 200 y revisión centro de administración de Active Directory: Introducción.For more information about the Active Directory Administrative Center, see Advanced AD DS Management Using Active Directory Administrative Center (Level 200) and review Active Directory Administrative Center: Getting Started.

Si ya tienes experiencia en la creación de controladores de dominio de solo lectura, descubrirás que el asistente para instalación tiene la misma interfaz gráfica que se ve cuando se usa el antiguo complemento Usuarios y equipos de Active Directory de Windows Server 2008, y usa el mismo código, que incluye exportar la configuración en el formato de archivo desatendido que usa el obsoleto dcpromo.If you have experience creating read-only domain controllers, you will discover that the installation wizard has the same graphical interface as seen when using the older Active Directory Users and Computers snap-in from Windows Server 2008 and uses the same code, which includes exporting the configuration in the unattend file format used by the obsolete dcpromo.

Windows Server 2012 incorpora un nuevo cmdlet de ADDSDeployment para preconfigurar cuentas de equipo de RODC, pero el asistente no usa el cmdlet para esta operación.Windows Server 2012 introduces a new ADDSDeployment cmdlet to stage RODC computer accounts, but the wizard does not use the cmdlet for its operation. Las secciones siguientes muestran el cmdlet y los argumentos equivalentes para que la información asociada a cada uno sea más fácil de comprender.The following sections display the equivalent cmdlet and arguments in order to make the information associated with each easier to understand.

El vínculo crear previamente una cuenta de controlador de dominio de solo lectura en el panel de tareas del centro de administración de Active Directory es equivalente al cmdlet de Windows PowerShell ADDSDeployment:The Pre-create a Read-only domain controller account link in the Active Directory Administrative Center's task pane is equivalent to the ADDSDeployment Windows PowerShell cmdlet:

Add-addsreadonlydomaincontrolleraccount  
  

Página principalWelcome

Install RODC

El cuadro de diálogo Asistente para la instalación de los Active Directory Domain Services tiene una opción llamada Usar la instalación en modo avanzado.The Welcome to the Active Directory Domain Services Installation Wizard dialog has one option named Use advanced mode installation. Activa esta opción y haz clic en Siguiente para mostrar las opciones de directiva de replicación de contraseñas.Select this option and click Next to show password replication policy options. Desactiva esta opción para usar los valores predeterminados de las opciones de directiva de replicación de contraseñas (este punto se trata más adelante en esta sección).Clear this option to use the default values for password replication policy options (this is discussed in further detail later in this section).

Credenciales de redNetwork Credentials

Install RODC

En el cuadro de diálogo Credenciales de red , la opción de nombre de dominio muestra el dominio de destino predeterminado para el Centro de administración de Active Directory.The domain name option in the Network Credentials dialog displays the domain targeted by the Active Directory Administrative Center by default. De forma predeterminada se usan las credenciales actuales.Your current credentials are used by default. Si no incluyen la pertenencia al grupo Admins. del dominio, haz clic en Credenciales alternativasy en Establecer para proporcionar al asistente un nombre de usuario y una contraseña que sea miembro de Admins. del dominio.If they do not include membership in the Domain Admins group, click Alternate Credentials, and click Set to provide the wizard with a user name and password that is a member of Domain Admins.

El argumento equivalente en el módulo ADDSDeployment de Windows PowerShell es:The equivalent ADDSDeployment Windows PowerShell argument is:

-credential <pscredential>  

Recuerda que el sistema de preconfiguración es un puerto directo desde Windows Server 2008 R2 y no proporciona la nueva funcionalidad Adprep.Keep in mind that the staging system is a direct port from Windows Server 2008 R2 and does not provide the new Adprep functionality. Si tienes previsto implementar cuentas de RODC preconfiguradas, primero tienes que implementar un RODC sin preconfigurar en ese dominio para que la operación rodcprep automática funcione, o ejecutar primero manualmente adprep.exe /rodcprep.If you plan to deploy staged RODC accounts, you must either first deploy an un-staged RODC in that domain so that the automatic rodcprep operation runs, or manually run adprep.exe /rodcprep first.

De lo contrario, recibirás el error "No podrá instalar un controlador de dominio de solo lectura en este dominio porque todavía no se ha ejecutado 'adprep /rodcprep'".Otherwise, you will receive error "You will not be able to install a read-only domain controller in this domain because "adprep /rodcprep" was not yet run".

Install RODC

Especifique el nombre del equipoSpecify the Computer Name

Install RODC

En el cuadro de diálogo Especifique el nombre del equipo tienes que especificar el Nombre de equipo, con una sola etiqueta, de un controlador de dominio que no existe.The Specify the Computer Name dialog requires you to enter the single-label Computer name of a domain controller that does not exist. El controlador de dominio que configurarás y asociarás más adelante a esta cuenta tendrá el mismo nombre, o la operación de promoción no detectará la cuenta preconfigurada.The domain controller you configure and attach to this account later must have the same name, or the promotion operation will not detect the staged account.

El argumento equivalente en el módulo ADDSDeployment de Windows PowerShell es:The equivalent ADDSDeployment Windows PowerShell argument is:

-domaincontrolleraccountname <string>  

Seleccione un sitioSelect a Site

Install RODC

El cuadro de diálogo Seleccione un sitio muestra una lista de los sitios de Active Directory para el bosque actual.The Select a Site dialog shows a list of Active Directory sites for the current forest. Para que el controlador de dominio preconfigurado de solo lectura funcione, tienes que seleccionar un único sitio en la lista.The staged read-only domain controller operation requires you to select a single site from the list. El RODC usa esta información para crear su objeto de configuración NTDS en la partición Configuración, y para unirse al sitio correcto cuando se inicie por primera vez después de la implementación.The RODC uses this information to create its NTDS Settings object in the Configuration partition and join itself to the correct site when it starts for the first time after being deployed.

El argumento equivalente en el módulo ADDSDeployment de Windows PowerShell es:The equivalent ADDSDeployment Windows PowerShell argument is:

-sitename <string>  

Opciones adicionales del controlador de dominioAdditional Domain Controller Options

Install RODC

El cuadro de diálogo Opciones adicionales del controlador de dominio permite especificar que un controlador de dominio incluya la ejecución como Servidor DNS y Catálogo global.The Additional Domain Controller Options dialog enables you to specify that a domain controller include running as a DNS Server and a Global Catalog. Microsoft recomienda que los controladores de dominio de solo lectura proporcionen servicios de DNS y GC, por lo que ambos se instalan de forma predeterminada; uno de los objetivos del rol RODC es los escenarios de sucursales, en los que puede que la red de área extensa no esté disponible y, sin esos servicios de DNS y catálogo global, los equipos de la sucursal no podrán usar los recursos y la funcionalidad de AD DS.Microsoft recommends that read-only domain controllers provide DNS and GC services, so both are installed by default; one intention of the RODC role is branch office scenarios where the wide area network may not be available and without those DNS and global catalog services, computers in the branch will not be able to use AD DS resources and functionality.

La opción Controlador de dominio de solo lectura (RODC) está preseleccionada y no se puede deshabilitar.The Read-only domain controller (RODC) option is pre-selected and cannot be disabled. Los argumentos equivalentes en el módulo ADDSDeployment de Windows PowerShell son:The equivalent ADDSDeployment Windows PowerShell arguments are:

-installdns <string>  
-NoGlobalCatalog <{$true | $false}>  
  

Nota

De forma predeterminada, el valor -NoGlobalCatalog es $false, lo que significa que el controlador de dominio será un servidor de catálogo global si no se especifica el argumento.By default, the -NoGlobalCatalog value is $false, which means the domain controller will be a global catalog server if the argument is not specified.

Especificar la directiva de replicación de contraseñasSpecify the Password Replication Policy

Install RODC

El cuadro de diálogo Especificar la directiva de replicación de contraseñas permite modificar la lista predeterminada de cuentas que tienen permisos para almacenar en caché sus contraseñas en este controlador de dominio de solo lectura.The Specify the Password Replication Policy dialog enables you to modify the default list of accounts that are allowed to cache their passwords on this read-only domain controller. Las cuentas de la lista configuradas como Denegar o las cuentas que no están en la lista (implícitas) no almacenan en caché sus contraseñas.Accounts in the list configured with Deny or that are not in the list (implicit) do not cache their password. Las cuentas que no tienen permiso para almacenar en caché las contraseñas en el RODC y que no pueden conectarse ni autenticarse en un controlador de dominio de escritura, no pueden acceder a los recursos ni la funcionalidad de Active Directory.Accounts that are not allowed to cache passwords on the RODC and cannot connect and authenticate to a writable domain controller cannot access resources or functionality provided by Active Directory.

Importante

El asistente muestra este cuadro de diálogo solo si activas la casilla Usar la instalación en modo avanzado en la pantalla inicial.The wizard shows this dialog only if you select the Use Advanced Mode Installation check box on the welcome screen. Si desactivas esta casilla, el asistente usará los siguientes grupos y valores predeterminados:If you clear this check box, then the wizard uses following default groups and values:

  • Administradores: DenegarAdministrators - Deny
  • Operadores de servidor: DenegarServer Operators - Deny
  • Operadores de copia de seguridad: DenegarBackup Operators - Deny
  • Operadores de cuenta: DenegarAccount Operators - Deny
  • Grupo de replicación de contraseña RODC denegada: DenegarDenied RODC Password Replication Group - Deny
  • Grupo de replicación de contraseña RODC permitida: DenegarAllowed RODC Password Replication Group - Allow

Los argumentos equivalentes en el módulo ADDSDeployment de Windows PowerShell son:The equivalent ADDSDeployment Windows PowerShell arguments are:

-allowpasswordreplicationaccountname <string []>  
-denypasswordreplicationaccountname <string []>  

Install RODC

Delegación de instalación y administración de RODCDelegation of RODC Installation and Administration

Install RODC

El cuadro de diálogo Delegación de instalación y administración de RODC permite configurar un usuario o un grupo de usuarios con permisos para asociar el servidor a la cuenta de equipo de RODC.The Delegation of RODC Installation and Administration dialog enables you to configure a user or group containing users who are allowed to attach the server to the RODC computer account. Haz clic en Establecer para examinar el dominio de un usuario o grupo.Click Set to browse the domain for a user or group. El usuario o grupo especificado en este cuadro de diálogo obtiene permisos administrativos locales en el RODC.The user or group specified in this dialog gains local administrative permissions to the RODC. El usuario o los miembros especificados del grupo especificado pueden realizar operaciones en el RODC con privilegios equivalentes al grupo administradores del equipo.The specified user or members of the specified group can perform operations on the RODC with privileges equivalent to the computer's Administrators group. No son miembros del grupo Admins. del dominio ni del grupo Administradores integrado del dominio.They are not members of the Domain Admins or domain built-in Administrators groups.

Usa esta opción para delegar la administración de sucursales sin conceder al administrador de la sucursal la pertenencia al grupo Admins. del dominio.Use this option to delegate branch office administration without granting the branch administrator membership to the Domain Admins group. No es necesario delegar la administración de RODC.Delegating RODC administration is not required.

El argumento equivalente en el módulo ADDSDeployment de Windows PowerShell es:The equivalent ADDSDeployment Windows PowerShell argument is:

-delegatedadministratoraccountname <string>  

ResumenSummary

Install RODC

El cuadro de diálogo Resumen te permite confirmar la configuración.The Summary dialog enables you to confirm your settings. Esta es la última oportunidad de detener la instalación antes de que el asistente cree la cuenta preconfigurada.This is the last opportunity to stop the installation before the wizard creates the staged account. Haz clic en Siguiente cuando estés listo para crear la cuenta de equipo de RODC preconfigurada.Click Next when you are ready to create the staged RODC computer account. Haz clic en Exportar configuración para guardar un archivo de respuesta con el obsoleto formato de archivo desatendido dcpromo.Click Export Settings to save an answer file in the obsolete dcpromo unattend file format.

CreaciónCreation

Install RODC

El Asistente para instalación de Active Directory Domain Services crea el controlador de dominio preconfigurado de solo lectura en Active Directory.The Active Directory Domain Services Installation Wizard creates the staged read-only domain controller in Active Directory. Esta operación no se puede cancelar una vez iniciada.You cannot cancel this operation after it starts.

Install RODC

Usa el siguiente cmdlet para preconfigurar una cuenta de equipo de controlador de dominio de solo lectura usando el módulo ADDSDeployment de Windows PowerShell:Use the following cmdlet to stage a read-only domain controller computer account using the ADDSDeployment Windows PowerShell module:

Add-addsreadonlydomaincontrolleraccount  
  

En Preconfigurar un RODC en Windows PowerShell encontrarás los argumentos necesarios y opcionales.See Stage RODC Windows PowerShell for required and optional arguments.

Como Add-addsreadonlydomaincontrolleraccount solo tiene una acción con dos fases (comprobación de requisitos previos e instalación), las siguientes capturas de pantalla muestran la fase de instalación con los argumentos necesarios mínimos.Because Add-addsreadonlydomaincontrolleraccount only has one action with two phases (prerequisite checking and installation), the following screen shots show the installation phase with the minimum required arguments.

Install RODC

Install RODC

La operación de preconfiguración de RODC crea la cuenta de equipo de RODC en Active Directory.The stage RODC operation creates the RODC computer account in Active Directory. El Centro de administración de Active Directory muestra el Tipo de controlador de dominio como una Cuenta de controlador de dominio no ocupada.The Active Directory Administrative Center shows the Domain Controller Type as an Unoccupied Domain Controller Account. Este tipo de controlador de dominio indica que la cuenta de RODC preconfigurada está lista para que un servidor se asocie a ella como controlador de dominio de solo lectura.This domain controller types indicates that staged RODC account is ready for a server to attach to it as a read only domain controller.

Install RODC

Importante

El Centro de administración de Active Directory ya no necesita asociar un servidor a una cuenta de equipo de controlador de dominio de solo lectura.The Active Directory Administrative Center is no longer required to attach a server to a read-only domain controller computer account. Usa el Administrador del servidor y el Asistente para configuración de Active Directory Domain Services o el cmdlet Install-AddsDomainController del módulo ADDSDeployment de Windows PowerShell para asociar un nuevo RODC a su cuenta preconfigurada.Use Server Manager and the Active Directory Domain Services Configuration Wizard or the ADDSDeployment Windows PowerShell module cmdlet Install-AddsDomainController to attach a new RODC to its staged account. Los pasos son similares a agregar un nuevo controlador de dominio de escritura a un dominio existente, excepto que las cuentas de equipo de RODC preconfiguradas contienen opciones de configuración que se deciden en el momento de preconfigurar la cuenta de equipo de RODC.The steps are similar to adding a new writable domain controller to an existing domain, with the exception that the staged RODC computer account contains configuration options decided at the time you staged the RODC computer account.

AsociaciónAttaching

Configuración de implementaciónDeployment Configuration

Install RODC

El Administrador del servidor comienza la promoción de cada controlador de dominio con la página Configuración de implementación .Server Manager begins every domain controller promotion with the Deployment Configuration page. Las opciones restantes y los campos requeridos cambian en esta página y en las páginas siguientes, según qué operación de implementación se seleccione.The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

Para agregar un controlador de dominio de solo lectura a un dominio existente, selecciona Agregar un controlador de dominio a un dominio existente y haz clic en el botón Seleccionar para Especificar la información de dominio para esta operación.To add a read-only domain controller to an existing domain, select Add a domain controller to an existing domain and click the Select button to Specify the domain information for this domain. El Administrador del servidor pide automáticamente unas credenciales válidas, o puedes hacer clic en Cambiar.Server Manager automatically prompts you for valid credentials, or you can click Change.

Para asociar un RODC es necesario pertenecer al grupo Admins. del dominio en Windows Server 2012.Attaching an RODC requires membership in the Domain Admins groups in Windows Server 2012. El Asistente para configuración de Active Directory Domain Services te pedirá confirmación si las credenciales actuales no tienen los permisos o la pertenencia a grupos adecuados.The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

El cmdlet y los argumentos de Configuración de implementación en el módulo ADDSDeployment de Windows PowerShell son:The Deployment Configuration ADDSDeployment Windows PowerShell cmdlet and arguments are:

Install-AddsDomainController  
-domainname <string>   
-credential <pscredential>  

Domain Controller OptionsDomain Controller Options

Install RODC

La página Opciones del controlador de dominio muestra las opciones del nuevo controlador de dominio.The Domain Controller Options page shows the domain controller options for the new domain controller. Cuando esta página se carga, el Asistente para configuración de Active Directory Domain Services envía una consulta LDAP a un controlador de dominio existente para comprobar las cuentas no ocupadas.When this page loads, the Active Directory Domain Services Configuration Wizard sends an LDAP query to an existing domain controller to check for unoccupied accounts. Si la consulta encuentra una cuenta de equipo de controlador de dominio no ocupada que comparte el mismo nombre que el equipo actual, el asistente muestra un mensaje informativo en la parte superior de la página que indica "una cuenta RODC creada previamente que coincide con el nombre del servidor de destino existe en el directorio. Elija si desea usar esta cuenta de RODC existente o reinstalar este controlador de dominio".If the query finds an unoccupied domain controller computer account that shares the same name as the current computer, then the wizard displays an informational message at the top of the page that reads "A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller." El asistente usa la opción Usar cuenta RODC existente como configuración predeterminada.The wizard uses the Use existing RODC account as the default configuration.

Importante

Puedes usar la opción Volver a instalar el controlador de dominio si el controlador de dominio ha sufrido un problema físico y no puede volver a funcionar correctamente.You can use the Reinstall this domain controller option when a domain controller has suffered a physical problem and cannot return to functionality. Dejar la cuenta de equipo de dominio y los metadatos del objeto en Active Directory permite ahorrar tiempo a la hora de configurar el controlador de dominio de sustitución.This saves time when configuring the replacement domain controller, by leaving the domain controller computer account and object metadata in Active Directory. Instala el nuevo equipo con el mismo nombrey promuévelo a controlador de dominio en el dominio.Install the new computer with the same name, and promote it as a domain controller in the domain. La opción reinstalar este controlador de dominio no está disponible si quitó los metadatos del objeto de controlador de dominio de Active Directory (limpieza de metadatos).The Reinstall this domain controller option is unavailable if you removed the domain controller object's metadata from Active Directory (metadata cleanup).

No puedes configurar las opciones de controlador de dominio si estás conectando un servidor a una cuenta de equipo de RODC.You cannot configure domain controller options when you are attaching a server to an RODC computer account. Puedes configurar las opciones de controlador de dominio al crear la cuenta de equipo de RODC preconfigurada.You configure domain controller options when you create the staged RODC computer account.

La Contraseña del modo de restauración de servicios de directorio debe cumplir la directiva de contraseñas aplicada al servidor.The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server. Siempre elija una contraseña segura y compleja o, preferentemente, una frase de contraseña.Always choose a strong, complex password or preferably, a passphrase.

Los argumentos correspondientes a las Opciones del controlador de dominio en el módulo ADDSDeployment de Windows PowerShell son:The Domain Controller Options ADDSDeployment Windows PowerShell arguments are:

-UseExistingAccount <{$true | $false}>  
-SafeModeAdministratorPassword <secure string>  

Importante

El nombre del sitio ya debe existir cuando se proporciona como un argumento para -sitename.The site name must already exist when provided as an argument to -sitename. El cmdlet install-AddsDomainController no crea nombres de sitios.The install-AddsDomainController cmdlet does not create site names. Puedes usar el cmdlet new-adreplicationsite para crear nuevos sitios.You can use cmdlet new-adreplicationsite to create new sites.

Si no se especifican, los argumentos de Install-ADDSDomainController tienen los mismos valores predeterminados que el Administrador del servidor.The Install-ADDSDomainController arguments follow the same defaults as Server Manager if not specified.

La operación del argumento SafeModeAdministratorPassword es especial:The SafeModeAdministratorPassword argument's operation is special:

  • Si no se especifica como un argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada.If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.This is the preferred usage when running the cmdlet interactively.

    Por ejemplo, para crear un nuevo RODC en corp.contoso.com y que te pida que escribas y confirmes una contraseña enmascarada:For example, to create a new RODC in the corp.contoso.com and be prompted to enter and confirm a masked password:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)  
    
  • Si se especifica con un valor, este debe ser una cadena segura.If specified with a value, the value must be a secure string. Este no es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.This is not the preferred usage when running the cmdlet interactively.

Por ejemplo, puedes solicitar una contraseña de forma manual con el cmdlet Read-Host para pedirle al usuario que escriba una cadena segura:For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)  
  

Advertencia

Como la opción anterior no confirma la contraseña, tenga mucho cuidado: la contraseña no es visible.As the previous option does not confirm the password, use extreme caution: the password is not visible.

También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)  

Por último, puedes almacenar la contraseña cifrada en un archivo y reutilizarla más adelante, sin que la contraseña aparezca descifrada en ningún momento.Finally, you could store the obfuscated password in a file, and then reuse it later, without the clear text password ever appearing. Por ejemplo:For example:

$file = "c:\pw.txt"  
$pw = read-host -prompt "Password:" -assecurestring  
$pw | ConvertFrom-SecureString | Set-Content $file  
  
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)  
  

Advertencia

No se recomienda proporcionar ni almacenar contraseñas no cifradas.Providing or storing a clear or obfuscated text password is not recommended. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de DSRM de ese controlador de dominio.Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. Cualquier persona que tenga acceso al archivo podría invertir la contraseña cifrada.Anyone with access to the file could reverse that obfuscated password. Con esa información, pueden iniciar sesión en un controlador de dominio iniciado en DSRM y suplantar al propio controlador de dominio, elevando sus privilegios al máximo nivel en el bosque de AD.With that knowledge, they can logon to a DC started in DSRM and eventually impersonate the domain controller itself, elevating their privileges to the highest level in an AD forest. Te recomendamos que uses un conjunto adicional de pasos con System.Security.Cryptography para cifrar los datos del archivo de texto, pero ese tema no se trata aquí.An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. El procedimiento recomendado es no almacenar la contraseña en absoluto.The best practice is to totally avoid password storage.

Opciones adicionalesAdditional Options

Install RODC

La página Opciones adicionales proporciona opciones de configuración para asignar un nombre a un controlador de dominio como origen de replicación, o puedes usar cualquier controlador de dominio como origen de replicación.The Additional Options page provides configuration options to name a domain controller as the replication source, or you can use any domain controller as the replication source.

También puede eligir instalar el controlador de dominio con medios con copia de seguridad mediante la opción Instalar desde medios (IFM).You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. Una vez activada, la casilla Instalar desde el medio proporciona una opción de exploración y debes hacer clic en Comprobar para asegurarte de que la ruta proporcionada es un medio válido.The Install from media checkbox provides a browse option once selected and you must click Verify to ensure the provided path is valid media.

Directrices para el origen de IFM: • los medios usados por la opción IFM se crean con Copias de seguridad de Windows Server o Ntdsutil. exe desde otro controlador de dominio de Windows Server existente con la misma versión del sistema operativo únicamente.Guidelines for the IFM source: • Media used by the IFM option is created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server Domain Controller with the same operating system version only. Por ejemplo, no puede usar un sistema operativo Windows Server 2008 R2 o anterior para crear medios para un controlador de dominio de Windows Server 2012.For example, you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller. • Los datos de origen de IFM deben ser de un controlador de dominio de escritura.• The IFM source data should be from a writable Domain Controller. Mientras que un origen de RODC funciona técnicamente para crear un nuevo RODC, hay falsas advertencias de replicación positivas que indican que el RODC de origen IFM no se está replicando.While a source from RODC will technically work to create a new RODC, there are false positive replication warnings that the IFM source RODC is not replicating.

Para más información sobre los cambios en IFM, consulte Ntdsutil.exe Install from Media Changes.For more information about changes in IFM, see Ntdsutil.exe Install from Media Changes. Si usas medios protegidos con SYSKEY, el Administrador del servidor pregunta la contraseña de la imagen durante la comprobación.If using media protected with a SYSKEY, Server Manager prompts for the image's password during verification.

Install RODC

Los argumentos del cmdlet de ADDSDeployment correspondientes a las Opciones adicionales son:The Additional Options ADDSDeployment cmdlet arguments are:

-replicationsourcedc <string>  
-installationmediapath <string>  
-systemkey <secure string>  

Rutas de accesoPaths

Install RODC

La página Rutas de acceso permite reemplazar las ubicaciones de carpeta predeterminadas de la base de datos AD DS, los registros de transacciones de la base de datos y el recurso compartido SYSVOL.The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Las ubicaciones predeterminadas siempre están en subdirectorios de %systemroot%.The default locations are always in subdirectories of %systemroot%. Los argumentos del cmdlet ADDSDeployment correspondientes a Rutas de acceso son:The Paths ADDSDeployment cmdlet arguments are:

-databasepath <string>  
-logpath <string>  
-sysvolpath <string>  

Revisión de opciones y visualización del scriptReview Options and View Script

Install RODC

La página Revisar opciones permite validar la configuración y asegura que esta cumpla con los requisitos antes de comenzar con la instalación.The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Esta no es la última oportunidad para detener la instalación con el Administrador del servidor.This is not the last opportunity to stop the installation using Server Manager. Esta página simplemente permite revisar y confirmar la configuración antes de continuar con esta.This page simply enables you to review and confirm your settings before continuing the configuration. La página Revisar opciones del Administrador del servidor también ofrece un botón Ver script opcional para crear un archivo de texto Unicode que contiene la configuración ADDSDeployment actual como un script Windows PowerShell único.The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Esto le permite usar la interfaz gráfica del Administrador del servidor como un estudio de implementación de Windows PowerShell.This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. Use el Asistente para configuración de Servicios de dominio de Active Directory para configurar las opciones, exportar la configuración y, a continuación, cancele el asistente.Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Este proceso crea un ejemplo válido y sintácticamente correcto para realizar más modificaciones o la utilización directa.This process creates a valid and syntactically correct sample for further modification or direct use. Por ejemplo:For example:

#  
# Windows PowerShell Script for AD DS Deployment  
#  
  
Import-Module ADDSDeployment  
Install-ADDSDomainController `  
-Credential (Get-Credential) `  
-CriticalReplicationOnly:$false `  
-DatabasePath "C:\Windows\NTDS" `  
-DomainName "corp.contoso.com" `  
-LogPath "C:\Windows\NTDS" `  
-SYSVOLPath "C:\Windows\SYSVOL" `  
-UseExistingAccount:$true `  
-Norebootoncompletion:$false  
-Force:$true  
  

Nota

Normalmente, el Administrador del servidor rellena todos los argumentos con valores al realizar la promoción y no se basa en los valores predeterminados (dado que pueden cambiar entre las futuras versiones de Windows o los Service Pack).Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). La excepción es el argumento -safemodeadministratorpassword.The one exception to this is the -safemodeadministratorpassword argument. Para aplicar una pregunta de confirmación, pasa por alto el valor al ejecutar el cmdlet interactivamente.To force a confirmation prompt omit the value when running cmdlet interactively

Use el argumento opcional Whatif con el cmdlet Install-ADDSDomainController para revisar la información de la configuración.Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. Esto te permite ver los valores explícitos e implícitos de los argumentos de un cmdlet.This enables you to see the explicit and implicit values of the arguments for a cmdlet.

Install RODC

Prerequisites CheckPrerequisites Check

Install RODC

La Comprobación de requisitos previos es una característica nueva en la configuración de dominios de AD DS.The Prerequisites Check is a new feature in AD DS domain configuration. Esta nueva fase valida la capacidad de la configuración del servidor para admitir un nuevo bosque de AD DS.This new phase validates that the server configuration is capable of supporting a new AD DS forest.

Al instalar un nuevo dominio raíz de bosque, el Asistente para configuración de Servicios de dominio de Active Directory del Administrador del servidor invoca una serie de pruebas modulares en serie.When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of serialized modular tests. Las pruebas te envían alertas con opciones de reparación sugeridas.These tests alert you with suggested repair options. Puedes ejecutar las pruebas tantas veces como sea necesario.You can run the tests as many times as required. El proceso de instalación del controlador de dominio no puede continuar hasta que todas las comprobaciones de los requisitos previos sean correctas.The domain controller installation process cannot continue until all prerequisite tests pass.

La Comprobación de requisitos previos también expone información relevante, como los cambios de seguridad que afectan a los sistemas operativos anteriores.The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems. Para más información sobre las comprobaciones de requisitos previos, consulte Prerequisite Checking.For more information about the prerequisite checks, see Prerequisite Checking.

No puedes omitir la Comprobación de requisitos previos al usar el Administrador del servidor, pero sí al utilizar el cmdlet de implementación de AD DS con el siguiente argumento:You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks  
  

Advertencia

Microsoft no recomienda omitir la comprobación de requisitos previos: omitirla puede hacer que los controladores de dominio se promuevan parcialmente o puede provocar daños en el bosque de AD DS.Microsoft discourages skipping the prerequisite check as it can lead to a partial domain controller promotion or damaged AD DS forest.

Haz clic en Instalar para comenzar el proceso de promoción del controlador de dominio.Click Install to begin the domain controller promotion process. Esta es la última oportunidad para cancelar la instalación.This is last opportunity to cancel the installation. Una vez iniciado, el proceso de promoción no se puede cancelar.You cannot cancel the promotion process once it begins. El equipo se reiniciará automáticamente al finalizar la promoción, independientemente del resultado de la misma.The computer will reboot automatically at the end of promotion, regardless of the promotion results.

InstalaciónInstallation

Install RODC

Cuando se muestra la página Instalación, la configuración del controlador de dominio comienza y no se puede detener ni cancelar.When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Las operaciones detalladas se muestran en esta página y se escriben en los registros:Detailed operations display on this page and are written to logs:

  • %systemroot%\debug\dcpromo.log%systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log%systemroot%\debug\dcpromoui.log

Para instalar un nuevo bosque de Active Directory con el módulo ADDSDeployment, utiliza este cmdlet:To install a new Active Directory forest using the ADDSDeployment module, use the following cmdlet:

Install-addsdomaincontroller  
  

En Asociar un RODC en Windows PowerShell encontrarás los argumentos necesarios y opcionales.See Attach RODC Windows PowerShell for required and optional arguments.

El cmdlet Install-addsdomaincontroller solo tiene dos fases (comprobación de requisitos previos e instalación).The Install-addsdomaincontroller cmdlet only has two phases (prerequisite checking and installation). Las dos figuras siguientes muestran la fase de instalación con los argumentos mínimos necesarios -domainname, -useexistingaccounty -credential.The two figures below show the installation phase with the minimum required arguments of -domainname, -useexistingaccount, and -credential. Observa cómo, al igual que el Administrador del servidor, Install-ADDSDomainController te recuerda que la promoción reiniciará el servidor automáticamente:Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically:

Install RODC

Install RODC

Para aceptar el aviso de reinicio de forma automática, utiliza los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment de Windows PowerShell.To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Para impedir que el servidor se reinicie automáticamente al finalizar la promoción, utiliza el argumento -norebootoncompletion.To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Advertencia

No se recomienda invalidar el reinicio.Overriding the reboot is discouraged. El controlador de dominio debe reiniciarse para funcionar correctamente.The domain controller must reboot to function correctly.

ResultadosResults

Install RODC

La página Resultados indica si la promoción se realizó correctamente o si se produjo algún error, junto con toda la información administrativa importante que corresponda.The Results page shows the success or failure of the promotion and any important administrative information. El controlador de dominio se reiniciará automáticamente 10 segundos después.The domain controller will automatically reboot after 10 seconds.

Flujo de trabajo de un RODC no preconfiguradoRODC without Staging Workflow

El diagrama siguiente ilustra el proceso de configuración de los Servicios de dominio de Active Directory, cuando ya se ha instalado el rol AD DS y se ha iniciado el Asistente para configuración de Servicios de dominio de Active Directory usando el Administrador del servidor para crear un nuevo controlador de dominio de solo lectura no preconfigurado en un dominio de Windows Server 2012 existente.The following diagram illustrates the Active Directory Domain Services configuration process, when you previously installed the AD DS role and you have started the Active Directory Domain Services Configuration Wizard using Server Manager to create a new non-staged read-only domain controller in an existing Windows Server 2012 domain.

Install RODC

RODC no preconfigurado en Windows PowerShellRODC without Staging Windows PowerShell

Cmdlet ADDSDeploymentADDSDeployment Cmdlet Argumentos (los argumentos en negrita son obligatorios.Arguments (Bold arguments are required. Los argumentos en cursiva se pueden especificar con Windows PowerShell o con el Asistente para configuración de AD DS).Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomainControllerInstall-AddsDomainController -SkipPreChecks-SkipPreChecks

-NombreDeDominio-DomainName

-SafeModeAdministratorPassword-SafeModeAdministratorPassword

-SiteName-SiteName

-ApplicationPartitionsToReplicate-ApplicationPartitionsToReplicate

-CreateDNSDelegation-CreateDNSDelegation

-Credential-Credential

-CriticalReplicationOnly-CriticalReplicationOnly

-DatabasePath-DatabasePath

-DNSDelegationCredential-DNSDelegationCredential

-DNSOnNetwork-DNSOnNetwork

-InstallationMediaPath-InstallationMediaPath

-InstallDNS-InstallDNS

-LogPath-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary-MoveInfrastructureOperationMasterRoleIfNecessary

-NoGlobalCatalog-NoGlobalCatalog

-Norebootoncompletion-Norebootoncompletion

-ReplicationSourceDC-ReplicationSourceDC

-SkipAutoConfigureDNS-SkipAutoConfigureDNS

-SystemKey-SystemKey

-SYSVOLPath-SYSVOLPath

-AllowPasswordReplicationAccountName-AllowPasswordReplicationAccountName

-DelegatedAdministratorAccountName-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName-DenyPasswordReplicationAccountName

-ReadOnlyReplica-ReadOnlyReplica

Nota

El argumento -credential solamente es necesario cuando no has iniciado sesión como miembro del grupo Admins. del dominio.The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

Implementación de un RODC no preconfiguradoRODC without Staging Deployment

Configuración de implementaciónDeployment Configuration

Install RODC

El Administrador del servidor comienza la promoción de cada controlador de dominio con la página Configuración de implementación .Server Manager begins every domain controller promotion with the Deployment Configuration page. Las opciones restantes y los campos requeridos cambian en esta página y en las páginas siguientes, según qué operación de implementación se seleccione.The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

Para agregar un controlador de dominio de solo lectura no preconfigurado a un dominio de Windows Server 2012 existente, selecciona Agregar un controlador de dominio a un dominio existente y haz clic en el botón Seleccionar para Especificar la información de dominio para esta operación.To add an un-staged read-only domain controller to an existing Windows Server 2012 domain, select Add a domain controller to an existing domain and click the Select button to Specify the domain information for this domain. El Administrador del servidor pide automáticamente unas credenciales válidas, o puedes hacer clic en Cambiar.Server Manager automatically prompts you for valid credentials, or you can click Change.

Para asociar un RODC es necesario pertenecer al grupo Admins. del dominio en Windows Server 2012.Attaching an RODC requires membership in the Domain Admins groups in Windows Server 2012. El Asistente para configuración de Active Directory Domain Services te pedirá confirmación si las credenciales actuales no tienen los permisos o la pertenencia a grupos adecuados.The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

El cmdlet y los argumentos de Configuración de implementación en el módulo ADDSDeployment de Windows PowerShell son:The Deployment Configuration ADDSDeployment Windows PowerShell cmdlet and arguments are:

Install-AddsDomainController  
-domainname <string>   
-credential <pscredential>  

Domain Controller OptionsDomain Controller Options

Install RODC

La página Opciones del controlador de dominio especifica las funcionalidades del nuevo controlador de dominio.The Domain Controller Options page specifies the domain controller capabilities for the new domain controller. Las funcionalidades del controlador de dominio que se pueden configurar son Servidor DNS, Catálogo global y Controlador de dominio de solo lectura.The configurable domain controller capabilities are DNS server, Global Catalog, and Read-only domain controller. Microsoft recomienda que todos los controladores de dominio proporcionen servicios de DNS y GC para alta disponibilidad en entornos distribuidos.Microsoft recommends that all domain controllers provide DNS and GC services for high availability in distributed environments. GC siempre está seleccionado de forma predeterminada y el servidor DNS está seleccionado de forma predeterminada si el dominio actual ya hospeda un DNS en sus controladores de dominio según la consulta de Inicio de autoridad.GC is always selected by default and DNS server is selected by default if the current domain hosts DNS already on its DCs based on Start of Authority query.

La página Opciones del controlador de dominio también permite elegir el nombre de sitio lógico apropiado de Active Directory de la configuración del bosque.The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. De forma predeterminada, selecciona el sitio con la subred más correcta.By default, it selects the site with the most correct subnet. Si solo hay un sitio, lo selecciona automáticamente.If there is only one site, it selects that site automatically.

Importante

Si el servidor no pertenece a una subred de Active Directory y hay más de un sitio de Active Directory, no se selecciona nada y el botón Siguiente no estará disponible hasta que elijas un sitio de la lista.If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

La Contraseña del modo de restauración de servicios de directorio debe cumplir la directiva de contraseñas aplicada al servidor.The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server. Elige siempre una contraseña segura y compleja o, preferentemente, una frase de contraseña. Los argumentos correspondientes a las Opciones del controlador de dominio en el módulo ADDSDeployment de Windows PowerShell son:Always choose a strong, complex password or preferably, a passphrase.The Domain Controller Options ADDSDeployment Windows PowerShell arguments are:

-UseExistingAccount <{$true | $false}>  
-SafeModeAdministratorPassword <secure string>  

Importante

El nombre del sitio ya debe existir cuando se proporciona como un argumento para -sitename.The site name must already exist when provided as an argument to -sitename. El cmdlet install-AddsDomainController no crea nombres de sitios.The install-AddsDomainController cmdlet does not create site names. Puedes usar el cmdlet new-adreplicationsite para crear nuevos sitios.You can use cmdlet new-adreplicationsite to create new sites.

Si no se especifican, los argumentos de Install-ADDSDomainController tienen los mismos valores predeterminados que el Administrador del servidor.The Install-ADDSDomainController arguments follow the same defaults as Server Manager if not specified.

La operación del argumento SafeModeAdministratorPassword es especial:The SafeModeAdministratorPassword argument's operation is special:

  • Si no se especifica como un argumento, el cmdlet le pide que escriba y confirme una contraseña enmascarada.If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Este es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.This is the preferred usage when running the cmdlet interactively.

    Por ejemplo, para crear un nuevo RODC en corp.contoso.com y que te pida que escribas y confirmes una contraseña enmascarada:For example, to create a new RODC in the corp.contoso.com and be prompted to enter and confirm a masked password:

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)  
    
  • Si se especifica con un valor, este debe ser una cadena segura.If specified with a value, the value must be a secure string. Este no es el uso preferido cuando se ejecuta el cmdlet en forma interactiva.This is not the preferred usage when running the cmdlet interactively.

Por ejemplo, puedes solicitar una contraseña de forma manual con el cmdlet Read-Host para pedirle al usuario que escriba una cadena segura:For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)  
  

Advertencia

Como la opción anterior no confirma la contraseña, tenga mucho cuidado: la contraseña no es visible.As the previous option does not confirm the password, use extreme caution: the password is not visible.

También puedes proporcionar una cadena segura como una variable no cifrada convertida, pero te recomendamos encarecidamente que no lo hagas.You can also provide a secure string as a converted clear-text variable, although this is highly discouraged.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)  

Por último, puedes almacenar la contraseña cifrada en un archivo y reutilizarla más adelante, sin que la contraseña aparezca descifrada en ningún momento.Finally, you could store the obfuscated password in a file, and then reuse it later, without the clear text password ever appearing. Por ejemplo:For example:

$file = "c:\pw.txt"  
$pw = read-host -prompt "Password:" -assecurestring  
$pw | ConvertFrom-SecureString | Set-Content $file  
  
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)  
  

Advertencia

No se recomienda proporcionar ni almacenar contraseñas no cifradas.Providing or storing a clear or obfuscated text password is not recommended. Cualquier persona que ejecute este comando en un script o que mire sobre su hombro sabrá la contraseña de DSRM de ese controlador de dominio.Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. Cualquier persona que tenga acceso al archivo podría invertir la contraseña cifrada.Anyone with access to the file could reverse that obfuscated password. Con esa información, pueden iniciar sesión en un controlador de dominio iniciado en DSRM y suplantar al propio controlador de dominio, elevando sus privilegios al máximo nivel en el bosque de AD.With that knowledge, they can logon to a DC started in DSRM and eventually impersonate the domain controller itself, elevating their privileges to the highest level in an AD forest. Te recomendamos que uses un conjunto adicional de pasos con System.Security.Cryptography para cifrar los datos del archivo de texto, pero ese tema no se trata aquí.An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. El procedimiento recomendado es no almacenar la contraseña en absoluto.The best practice is to totally avoid password storage.

Opciones de RODCRODC Options

Install RODC

La página Opciones de RODC te permiten modificar las opciones de configuración:The RODC Options page enables you to modify the settings:

  • Cuenta de administrador delegadaDelegated Administrator Account

  • Cuentas con permiso para replicar contraseñas en el RODCAccounts that are allowed to replicate passwords to the RODC

  • Cuentas sin permiso para replicar contraseñas en el RODCAccounts that are denied from replicating passwords to the RODC

Las cuentas de administrador delegadas obtienen permisos administrativos locales para RODC.Delegated administrator accounts gain local administrative permissions to the RODC. Estos usuarios pueden trabajar con privilegios equivalentes al grupo de administradores del equipo local.These users can operate with privileges equivalent to the local computer's Administrators group. No son miembros de los grupos Admins del dominio o de las cuentas predefinidas de administrador del dominio.They are not members of the Domain Admins or the domain built-in Administrators groups. Esta opción es útil para delegar la administración de la sucursal sin dar permisos administrativos de dominio.This option is useful for delegating branch office administration without giving out domain administrative permissions. No es necesario configurar la delegación de la administración.Configuring delegation of administration is not required.

El argumento equivalente en el módulo ADDSDeployment de Windows PowerShell es:The equivalent ADDSDeployment Windows PowerShell argument is:

-delegatedadministratoraccountname <string>  

Las cuentas que no tienen permiso para almacenar en caché las contraseñas en el RODC y que no pueden conectarse ni autenticarse en un controlador de dominio de escritura, no pueden acceder a los recursos ni la funcionalidad de Active Directory.Accounts that are not allowed to cache passwords on the RODC and cannot connect and authenticate to a writable domain controller cannot access resources or functionality provided by Active Directory.

Importante

Si no se modifican, se usan los grupos y opciones de configuración predeterminados:If not modified, the default groups and settings are used:

  • Administradores: DenegarAdministrators - Deny
  • Operadores de servidor: DenegarServer Operators - Deny
  • Operadores de copia de seguridad: DenegarBackup Operators - Deny
  • Operadores de cuenta: DenegarAccount Operators - Deny
  • Grupo de replicación de contraseña RODC denegada: DenegarDenied RODC Password Replication Group - Deny
  • Grupo de replicación de contraseña RODC permitida: DenegarAllowed RODC Password Replication Group - Allow

Los argumentos equivalentes en el módulo ADDSDeployment de Windows PowerShell son:The equivalent ADDSDeployment Windows PowerShell arguments are:

-allowpasswordreplicationaccountname <string []>  
-denypasswordreplicationaccountname <string []>  

Install RODC

Opciones adicionalesAdditional Options

Install RODC

La página Opciones adicionales proporciona opciones de configuración para asignar un nombre a un controlador de dominio como origen de replicación, o puedes usar cualquier controlador de dominio como origen de replicación.The Additional Options page provides configuration options to name a domain controller as the replication source, or you can use any domain controller as the replication source.

También puede eligir instalar el controlador de dominio con medios con copia de seguridad mediante la opción Instalar desde medios (IFM).You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. Una vez activada, la casilla Instalar desde el medio proporciona una opción de exploración y debes hacer clic en Comprobar para asegurarte de que la ruta proporcionada es un medio válido.The Install from media checkbox provides a browse option once selected and you must click Verify to ensure the provided path is valid media.

Directrices para el origen de IFM: • los medios usados por la opción IFM se crean con Copias de seguridad de Windows Server o Ntdsutil. exe desde otro controlador de dominio de Windows Server existente con la misma versión del sistema operativo únicamente.Guidelines for the IFM source: • Media used by the IFM option is created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server Domain Controller with the same operating system version only. Por ejemplo, no puede usar un sistema operativo Windows Server 2008 R2 o anterior para crear medios para un controlador de dominio de Windows Server 2012.For example, you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller. • Los datos de origen de IFM deben ser de un controlador de dominio de escritura.• The IFM source data should be from a writable Domain Controller. Mientras que un origen de RODC funciona técnicamente para crear un nuevo RODC, hay falsas advertencias de replicación positivas que indican que el RODC de origen IFM no se está replicando.While a source from RODC will technically work to create a new RODC, there are false positive replication warnings that the IFM source RODC is not replicating.

Para más información sobre los cambios en IFM, consulte Ntdsutil.exe Install from Media Changes.For more information about changes in IFM, see Ntdsutil.exe Install from Media Changes. Si usas medios protegidos con SYSKEY, el Administrador del servidor pregunta la contraseña de la imagen durante la comprobación.If using media protected with a SYSKEY, Server Manager prompts for the image's password during verification.

Install RODC

Los argumentos del cmdlet de ADDSDeployment correspondientes a las Opciones adicionales son:The Additional Options ADDSDeployment cmdlet arguments are:

-replicationsourcedc <string>  
-installationmediapath <string>  
-systemkey <secure string>  

Rutas de accesoPaths

Install RODC

La página Rutas de acceso permite reemplazar las ubicaciones de carpeta predeterminadas de la base de datos AD DS, los registros de transacciones de la base de datos y el recurso compartido SYSVOL.The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Las ubicaciones predeterminadas siempre están en subdirectorios de %systemroot%.The default locations are always in subdirectories of %systemroot%. Los argumentos del cmdlet ADDSDeployment correspondientes a Rutas de acceso son:The Paths ADDSDeployment cmdlet arguments are:

-databasepath <string>  
-logpath <string>  
-sysvolpath <string>  

Preparation OptionsPreparation Options

Install RODC

La página Opciones de preparación te alerta de que la configuración de AD DS incluye la extensión del esquema (forestprep) y la actualización del dominio (domainprep).The Preparation Options page alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep). Solo verás esta página si el bosque o dominio no han sido preparados en una instalación de controlador de dominio anterior de Windows Server 2012 o mediante la ejecución manual de Adprep.exe.You only see this page when the forest or domain has not been prepared by previous Windows Server 2012 domain controller installation or from manually running Adprep.exe. Por ejemplo, el Asistente para configuración de Servicios de dominio de Active Directory suprime esta página si agregas un nuevo controlador de dominio de réplica al dominio raíz de un bosque de Windows Server 2012 existente.For example, the Active Directory Domain Services Configuration Wizard suppresses this page if you add a new replica domain controller to an existing Windows Server 2012 forest root domain.

Al hacer clic en Siguienteno se extiende el esquema ni se actualiza el dominio.Extending the Schema and updating the domain do not occur when you click Next. Estos eventos solo se producen durante la fase de instalación.These events occur only during the installation phase. Esta página simplemente informa de los eventos que se producirán más adelante en la instalación.This page simply brings awareness about the events that will occur later in the installation.

Esta página también comprueba que las credenciales de usuario actuales pertenecen a los grupos Administradores de esquema o Administradores de organización, porque necesitas pertenecer a estos grupos para extender el esquema o preparar un dominio.This page also validates that the current user credentials are members of the Schema Admin and Enterprise Admins groups, as you need membership in these groups to extend the schema or prepare a domain. Haz clic en Cambiar para proporcionar las credenciales de usuario adecuadas si la página te informa de que las credenciales actuales no proporcionan los permisos suficientes.Click Change to provide the adequate user credentials if the page informs you that the current credentials do not provide sufficient permissions.

El argumento del cmdlet de ADDSDeployment correspondiente a las Opciones adicionales es:The Additional Options ADDSDeployment cmdlet argument is:

-adprepcredential <pscredential>  

Importante

Al igual que con las versiones anteriores de Windows Server, la preparación automatizada de dominios de Windows Server 2012 no ejecuta GPPREP.As with previous versions of Windows Server, Windows Server 2012's automated domain preparation does not run GPPREP. Ejecuta adprep.exe /gpprep manualmente para todos los dominios que Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 no prepararon anteriormente.Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. Ejecuta GPPrep solo una vez en el historial de un dominio, no con cada actualización.You should run GPPrep only once in the history of a domain, not with every upgrade. Adprep.exe no ejecuta /gpprep automáticamente porque podría hacer que todos los archivos y carpetas que hay en la carpeta SYSVOL se vuelvan a replicar en todos los controladores de dominio.Adprep.exe does not run /gpprep automatically because its operation can cause all files and folders in the SYSVOL folder to re-replicate on all domain controllers.

RODCPrep se ejecuta automáticamente cuando se promueve el primer RODC sin preconfigurar de un dominio.Automatic RODCPrep runs when you promote the first un-staged RODC in a domain. Esto no sucede cuando se promueve el primer controlador de dominio de Windows Server 2012 de escritura.It does not occur when you promote the first writeable Windows Server 2012 domain controller. También puedes ejecutar manualmente adprep.exe /rodcprep si planeas implementar controladores de dominio de solo lectura.You can also still manually run adprep.exe /rodcprep if you plan to deploy read-only domain controllers.

Revisión de opciones y visualización del scriptReview Options and View Script

Install RODC

La página Revisar opciones permite validar la configuración y asegura que esta cumpla con los requisitos antes de comenzar con la instalación.The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Esta no es la última oportunidad para detener la instalación con el Administrador del servidor.This is not the last opportunity to stop the installation using Server Manager. Esta página simplemente permite revisar y confirmar la configuración antes de continuar con esta.This page simply enables you to review and confirm your settings before continuing the configuration.

La página Revisar opciones del Administrador del servidor también ofrece un botón Ver script opcional para crear un archivo de texto Unicode que contiene la configuración ADDSDeployment actual como un script Windows PowerShell único.The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Esto le permite usar la interfaz gráfica del Administrador del servidor como un estudio de implementación de Windows PowerShell.This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. Use el Asistente para configuración de Servicios de dominio de Active Directory para configurar las opciones, exportar la configuración y, a continuación, cancele el asistente.Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Este proceso crea un ejemplo válido y sintácticamente correcto para realizar más modificaciones o la utilización directa.This process creates a valid and syntactically correct sample for further modification or direct use. Por ejemplo:For example:

#  
# Windows PowerShell Script for AD DS Deployment  
#  
  
Import-Module ADDSDeployment  
Install-ADDSDomainController `  
-AllowPasswordReplicationAccountName @("CORP\Allowed RODC Password Replication Group", "CORP\Chicago RODC Admins", "CORP\Chicago RODC Users and Computers") `  
-Credential (Get-Credential) `  
-CriticalReplicationOnly:$false `  
-DatabasePath "C:\Windows\NTDS" `  
-DelegatedAdministratorAccountName "CORP\Chicago RODC Admins" `  
-DenyPasswordReplicationAccountName @("BUILTIN\Administrators", "BUILTIN\Server Operators", "BUILTIN\Backup Operators", "BUILTIN\Account Operators", "CORP\Denied RODC Password Replication Group") `  
-DomainName "corp.contoso.com" `  
-InstallDNS:$true `  
-LogPath "C:\Windows\NTDS" `  
-ReadOnlyReplica:$true `  
-SiteName "Default-First-Site-Name" `  
-SYSVOLPath "C:\Windows\SYSVOL"  
-Force:$true  
  

Nota

Normalmente, el Administrador del servidor rellena todos los argumentos con valores al realizar la promoción y no se basa en los valores predeterminados (dado que pueden cambiar entre las futuras versiones de Windows o los Service Pack).Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). La excepción es el argumento -safemodeadministratorpassword.The one exception to this is the -safemodeadministratorpassword argument. Para forzar la aparición de un aviso de confirmación, omite el valor al ejecutar el cmdlet de forma interactiva.To force a confirmation prompt, omit the value when running cmdlet interactively.

Usa el argumento Whatif opcional con el cmdlet Install-ADDSDomainController para revisar la información de la configuración.Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. Esto te permite ver los valores explícitos e implícitos de los argumentos de un cmdlet.This enables you to see the explicit and implicit values of the arguments for a cmdlet.

Install RODC

Prerequisites CheckPrerequisites Check

Install RODC

La Comprobación de requisitos previos es una característica nueva en la configuración de dominios de AD DS.The Prerequisites Check is a new feature in AD DS domain configuration. Esta nueva fase valida la capacidad de la configuración del servidor para admitir un nuevo bosque de AD DS.This new phase validates that the server configuration is capable of supporting a new AD DS forest.

Al instalar un nuevo dominio raíz de bosque, el Asistente para configuración de Servicios de dominio de Active Directory del Administrador del servidor invoca una serie de pruebas modulares en serie.When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of serialized modular tests. Las pruebas te envían alertas con opciones de reparación sugeridas.These tests alert you with suggested repair options. Puedes ejecutar las pruebas tantas veces como sea necesario.You can run the tests as many times as required. El proceso del controlador de dominio no puede continuar hasta que se superen todas las pruebas de requisitos previos.The domain controller process cannot continue until all prerequisite tests pass.

La Comprobación de requisitos previos también expone información relevante, como los cambios de seguridad que afectan a los sistemas operativos anteriores.The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

No puedes omitir la Comprobación de requisitos previos al usar el Administrador del servidor, pero sí al utilizar el cmdlet de implementación de AD DS con el siguiente argumento:You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

-skipprechecks  
  

Haz clic en Instalar para comenzar el proceso de promoción del controlador de dominio.Click Install to begin the domain controller promotion process. Esta es la última oportunidad para cancelar la instalación.This is last opportunity to cancel the installation. Una vez iniciado, el proceso de promoción no se puede cancelar.You cannot cancel the promotion process once it begins. El equipo se reiniciará automáticamente al finalizar la promoción, independientemente del resultado de la misma.The computer will reboot automatically at the end of promotion, regardless of the promotion results.

InstalaciónInstallation

Install RODC

Cuando se muestra la página Instalación , la configuración del controlador de dominio comienza y no se puede detener ni cancelar.When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Las operaciones detalladas se muestran en esta página y se escriben en los registros:Detailed operations display on this page and are written to logs:

  • %systemroot%\debug\dcpromo.log%systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log%systemroot%\debug\dcpromoui.log

Para instalar un nuevo bosque de Active Directory con el módulo ADDSDeployment, utiliza este cmdlet:To install a new Active Directory forest using the ADDSDeployment module, use the following cmdlet:

Install-addsdomaincontroller  
  

Consulta la tabla Cmdlet de ADDSDeployment al principio de esta sección para ver los argumentos necesarios y opcionales.See the ADDSDeployment Cmdlet table at the begininng of this section for required and optional arguments.

El cmdlet Install-addsdomaincontroller solo tiene dos fases (comprobación de requisitos previos e instalación).The Install-addsdomaincontroller cmdlet only has two phases (prerequisite checking and installation). Las dos figuras siguientes muestran la fase de instalación con los argumentos mínimos necesarios -domainname, -readonlyreplica, -sitename y -credential.The two figures below show the installation phase with the minimum required arguments of -domainname, -readonlyreplica, -sitename, and -credential. Observa cómo, al igual que el Administrador del servidor, Install-ADDSDomainController te recuerda que la promoción reiniciará el servidor automáticamente:Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically:

Install RODC

Install RODC

Para aceptar el aviso de reinicio de forma automática, utiliza los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment de Windows PowerShell.To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Para impedir que el servidor se reinicie automáticamente al finalizar la promoción, utiliza el argumento -norebootoncompletion.To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Advertencia

Se recomienda no invalidar el reinicio.Overriding the reboot is not recommended. El controlador de dominio debe reiniciarse para funcionar correctamente.The domain controller must reboot to function correctly. Si cierras sesión en el controlador de dominio, no puedes volver a iniciar sesión interactivamente hasta que lo reinicies.If you log off the domain controller, you cannot log back on interactively until you restart it.

ResultadosResults

Install RODC

La página Resultados indica si la promoción se realizó correctamente o si se produjo algún error, junto con toda la información administrativa importante que corresponda.The Results page shows the success or failure of the promotion and any important administrative information. El controlador de dominio se reiniciará automáticamente 10 segundos después.The domain controller will automatically reboot after 10 seconds.