Menginstal New Windows Server 2012 Active Directory Forest (Level 200)
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Topik ini menjelaskan fitur promosi pengontrol domain Windows Server 2012 Active Directory Domain Services baru pada tingkat pengantar. Di Windows Server 2012, AD DS mengganti alat Dcpromo dengan Manajer Server dan sistem penyebaran berbasis Windows PowerShell.
Administrasi Active Directory Domain Services Disederhanakan
Windows Server 2012 memperkenalkan Active Directory Domain Services Simplified Administration generasi berikutnya, dan merupakan revisi domain yang paling radikal sejak Windows 2000 Server. Ad DS Simplified Administration mengambil pelajaran yang dipelajari dari dua belas tahun Active Directory dan membuat pengalaman administratif yang lebih mendukung, lebih fleksibel, dan lebih intuitif bagi arsitek dan administrator. Ini berarti menciptakan versi baru teknologi yang ada serta memperluas kemampuan komponen yang dirilis di Windows Server 2008 R2.
Apa itu Administrasi Yang Disederhanakan AD DS?
Administrasi Yang Disederhanakan AD DS adalah penamaan ulang penyebaran domain. Beberapa fitur tersebut meliputi:
Penyebaran peran AD DS sekarang menjadi bagian dari arsitektur Manajer Server baru dan memungkinkan penginstalan jarak jauh.
Mesin penyebaran dan konfigurasi AD DS sekarang Windows PowerShell, bahkan saat menggunakan penyiapan grafis.
Promosi sekarang mencakup pemeriksaan prasyarat yang memvalidasi kesiapan forest dan domain untuk pengendali domain baru, menurunkan kemungkinan promosi yang gagal.
Tingkat fungsional forest Windows Server 2012 tidak menerapkan fitur baru dan tingkat fungsional domain hanya diperlukan untuk subset fitur Kerberos baru, menghilangkan administrator dari kebutuhan yang sering untuk lingkungan pengontrol domain homogen.
Tujuan dan Manfaat
Perubahan ini mungkin tampak lebih kompleks, tidak lebih sederhana. Namun, dalam mendesain ulang proses penyebaran AD DS, ada peluang untuk menggabungkan banyak langkah dan praktik terbaik menjadi tindakan yang lebih sedikit dan lebih mudah. Ini berarti, misalnya, bahwa konfigurasi grafis pengontrol domain replika baru sekarang delapan dialog daripada dua belas sebelumnya. Membuat forest Direktori Aktif baru memerlukan satu perintah Windows PowerShell hanya dengan satu argumen: nama domain.
Mengapa ada penekanan seperti itu pada Windows PowerShell di Windows Server 2012? Seiring berkembangnya komputasi terdistribusi, Windows PowerShell memungkinkan satu mesin untuk konfigurasi dan pemeliharaan dari antarmuka grafis dan baris perintah. Ini memungkinkan pembuatan skrip dengan fitur penuh dari komponen apa pun dengan kewarganegaraan kelas satu yang sama untuk Profesional TI yang diberikan API kepada pengembang. Karena komputasi berbasis cloud menjadi di mana-mana, Windows PowerShell juga akhirnya membawa kemampuan untuk mengelola server dari jarak jauh, di mana komputer tanpa antarmuka grafis memiliki kemampuan manajemen yang sama dengan yang memiliki monitor dan mouse.
Administrator AD DS veteran harus menemukan pengetahuan mereka sebelumnya sangat relevan. Administrator awal akan menemukan kurva pembelajaran yang jauh lebih dangkal.
Gambaran Umum Teknis
Apa yang Harus Anda Ketahui Sebelum Memulai
Topik ini mengasumsikan keakraban dengan rilis Active Directory Domain Services sebelumnya, dan tidak memberikan detail dasar sekeliling tujuan dan fungsionalitas mereka. Untuk informasi selengkapnya tentang AD DS, lihat halaman Portal TechNet yang ditautkan di bawah ini:
Deskripsi Fungsi
Penginstalan Peran AD DS
Active Directory Domain Services penginstalan menggunakan Manajer Server dan Windows PowerShell, seperti semua peran dan fitur server lainnya di Windows Server 2012. Program Dcpromo.exe tidak lagi menyediakan opsi konfigurasi GUI.
Anda menggunakan wizard grafis di Manajer Server atau modul ServerManager untuk Windows PowerShell di penginstalan lokal dan jarak jauh. Dengan menjalankan beberapa instans wizard atau cmdlet tersebut dan menargetkan server yang berbeda, Anda dapat menyebarkan AD DS ke beberapa pengontrol domain secara bersamaan, semuanya dari satu konsol tunggal. Meskipun fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi yang lebih lama, Anda juga masih dapat menggunakan aplikasi Dism.exe yang diperkenalkan di Windows Server 2008 R2 untuk penginstalan peran lokal dari baris perintah klasik.
Konfigurasi Peran AD DS
Active Directory Domain Services konfigurasi " yang sebelumnya dikenal sebagai DCPROMO " adalah operasi diskrit sekarang dari penginstalan peran. Setelah menginstal peran AD DS, administrator mengonfigurasi server sebagai pengontrol domain menggunakan wizard terpisah dalam Manajer Server atau menggunakan modul Windows PowerShell ADDSDeployment.
Konfigurasi peran AD DS dibangun berdasarkan pengalaman lapangan dua belas tahun dan sekarang mengonfigurasi pengendali domain berdasarkan praktik terbaik Microsoft terbaru. Misalnya, Sistem Nama Domain dan Katalog Global diinstal secara default pada setiap pengontrol domain.
Wizard konfigurasi AD DS Manajer Server menggabungkan banyak dialog individual menjadi lebih sedikit permintaan dan tidak lagi menyembunyikan pengaturan dalam mode "tingkat lanjut". Seluruh proses promosi berada dalam satu kotak dialog yang diperluas selama penginstalan. Wizard dan modul ADDSDeployment Windows PowerShell menunjukkan kepada Anda perubahan penting dan masalah keamanan, dengan tautan ke informasi lebih lanjut.
Dcpromo.exe tetap berada di Windows Server 2012 hanya untuk penginstalan tanpa pengawas baris perintah, dan tidak lagi menjalankan wizard penginstalan grafis. Sangat disarankan agar Anda menghentikan penggunaan Dcpromo.exe untuk penginstalan tanpa pengawas dan menggantinya dengan modul ADDSDeployment, karena executable yang sekarang tidak digunakan lagi tidak akan disertakan dalam versi Windows berikutnya.
Fitur baru ini tidak kompatibel dengan Windows Server 2008 R2 atau sistem operasi yang lebih lama.
Penting
Dcpromo.exe tidak lagi berisi wizard grafis dan tidak lagi menginstal biner peran atau fitur. Mencoba menjalankan Dcpromo.exe dari shell Explorer mengembalikan:
"Wizard Penginstalan Active Directory Domain Services direlokasi di Manajer Server. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220921."
Mencoba menjalankan Dcpromo.exe /unattend masih menginstal biner, seperti pada sistem operasi sebelumnya, tetapi memperingatkan:
"Operasi tanpa pengawas dcpromo digantikan oleh modul ADDSDeployment untuk Windows PowerShell. Untuk informasi selengkapnya, lihat https://go.microsoft.com/fwlink/?LinkId=220924."
Windows Server 2012 tidak digunakan lagi dcpromo.exe dan tidak akan disertakan dengan versi Windows yang akan datang, juga tidak akan menerima peningkatan lebih lanjut dalam sistem operasi ini. Administrator harus menghentikan penggunaannya dan beralih ke modul Windows PowerShell yang didukung jika mereka ingin membuat pengontrol domain dari baris perintah.
Pemeriksaan Prasyarat
Konfigurasi pengendali domain juga menerapkan fase pemeriksaan prasyarat yang mengevaluasi forest dan domain sebelum melanjutkan promosi pengendali domain. Ini termasuk ketersediaan peran FSMO, hak istimewa pengguna, kompatibilitas skema yang diperluas, dan persyaratan lainnya. Desain baru ini meringankan masalah di mana promosi pengendali domain dimulai dan kemudian berhenti di tengah jalan dengan kesalahan konfigurasi yang fatal. Ini mengurangi kemungkinan metadata pengontrol domain tanpa sumber di forest atau server yang salah percaya itu adalah pengendali domain.
Menyebarkan Forest dengan Manajer Server
Bagian ini menjelaskan cara menginstal pengontrol domain pertama di domain akar forest menggunakan Manajer Server pada komputer grafis Windows Server 2012.
Proses Penginstalan Peran AD DS Manajer Server
Diagram di bawah ini menggambarkan proses penginstalan peran Active Directory Domain Services, dimulai dengan Anda menjalankan ServerManager.exe dan berakhir tepat sebelum promosi pengendali domain.
Kumpulan Server dan Tambahkan Peran
Komputer Windows Server 2012 apa pun yang dapat diakses dari komputer yang menjalankan Manajer Server memenuhi syarat untuk pengumpulan. Setelah dikumpulkan, Anda memilih server tersebut untuk penginstalan jarak jauh AD DS atau opsi konfigurasi lain yang mungkin dalam Manajer Server.
Untuk menambahkan server, pilih salah satu hal berikut ini:
Klik Tambahkan Server Lain untuk Dikelola pada petak peta selamat datang dasbor
Klik menu Kelola dan pilih Tambahkan Server
Klik kanan Semua Server dan pilih Tambahkan Server
Ini memunculkan dialog Tambahkan Server:
Ini memberi Anda tiga cara untuk menambahkan server ke kumpulan untuk digunakan atau dikelompokkan:
Pencarian Direktori Aktif (menggunakan LDAP, mengharuskan komputer termasuk dalam domain, memungkinkan pemfilteran sistem operasi dan mendukung wildcard)
Pencarian DNS (menggunakan alias DNS atau alamat IP melalui ARP atau siaran NetBIOS atau pencarian WINS, tidak mengizinkan pemfilteran sistem operasi atau mendukung wildcard)
Impor (menggunakan daftar file teks server yang dipisahkan oleh CR/LF)
Klik Temukan Sekarang untuk mengembalikan daftar server dari domain Direktori Aktif yang sama dengan tempat komputer bergabung, Klik satu atau beberapa nama server dari daftar server. Klik panah kanan untuk menambahkan server ke daftar Terpilih . Gunakan dialog Tambahkan Server untuk menambahkan server yang dipilih ke grup peran dasbor. Atau Klik Kelola, lalu klik Buat Grup Server, atau klik Buat Grup Server di dasbor Selamat Datang di petak Pengelola Server untuk membuat grup server kustom.
Catatan
Prosedur Tambahkan Server tidak memvalidasi bahwa server sedang online atau dapat diakses. Namun, setiap bendera server yang tidak dapat dijangkau dalam tampilan Pengelolaan di Manajer Server pada refresh berikutnya
Anda dapat menginstal peran dari jarak jauh pada komputer Windows Server 2012 yang ditambahkan kumpulan, seperti yang ditunjukkan:
Anda tidak dapat sepenuhnya mengelola server yang menjalankan sistem operasi yang lebih lama dari Windows Server 2012. Pilihan Tambahkan Peran dan Fitur menjalankan ServerManager Windows PowerShell Modul Install-WindowsFeature.
Anda juga dapat menggunakan Dasbor Manajer Server pada pengendali domain yang ada untuk memilih penginstalan AD DS server jarak jauh dengan peran yang sudah dipilih sebelumnya dengan mengklik kanan petak dasbor AD DS dan memilih Tambahkan AD DS ke Server Lain. Ini memanggil Install-WindowsFeature AD-Domain-Services.
Komputer yang Anda jalankan Manajer Server pada kumpulan itu sendiri secara otomatis. Untuk menginstal peran AD DS di sini, cukup klik menu Kelola dan klik Tambahkan Peran dan Fitur.
Jenis Penginstalan
Dialog Jenis Penginstalan menyediakan opsi yang tidak mendukung Active Directory Domain Services: penginstalan berbasis skenario Layanan Desktop Jauh. Opsi itu hanya memungkinkan Layanan Desktop Jauh dalam beban kerja terdistribusi multi-server. Jika Anda memilihnya, AD DS tidak dapat menginstal.
Selalu biarkan pilihan default di tempat saat menginstal AD DS: Penginstalan berbasis peran atau Berbasis fitur.
Pilihan Server
Dialog Pemilihan Server memungkinkan Anda memilih dari salah satu server yang sebelumnya ditambahkan ke kumpulan, selama dapat diakses. Server lokal yang menjalankan Manajer Server tersedia secara otomatis.
Selain itu, Anda dapat memilih file Hyper-V VHD offline dengan sistem operasi Windows Server 2012 dan Manajer Server menambahkan peran tersebut langsung melalui layanan komponen. Ini memungkinkan Anda untuk menyediakan server virtual dengan komponen yang diperlukan sebelum mengonfigurasinya lebih lanjut.
Peran dan Fitur Server
Pilih peran Active Directory Domain Services jika Anda berniat mempromosikan pengendali domain. Semua fitur administrasi Direktori Aktif dan layanan yang diperlukan diinstal secara otomatis, bahkan jika mereka sebagian dari peran lain atau tidak muncul dipilih di antarmuka Manajer Server.
Manajer Server juga menyajikan dialog informasi yang menunjukkan fitur manajemen mana yang secara implisit menginstal peran ini; ini setara dengan argumen -IncludeManagementTools .
Fitur Tambahan dapat ditambahkan di sini sesuai keinginan.
Layanan Domain Active Directory
Dialog Active Directory Domain Services memberikan informasi terbatas tentang persyaratan dan praktik terbaik. Ini terutama bertindak sebagai konfirmasi bahwa Anda memilih peran AD DS " jika layar ini tidak muncul, Anda tidak memilih AD DS.
Konfirmasi
Dialog Konfirmasi adalah titik pemeriksaan akhir sebelum penginstalan peran dimulai. Ini menawarkan opsi untuk menghidupkan ulang komputer sesuai kebutuhan setelah penginstalan peran, tetapi penginstalan AD DS tidak memerlukan boot ulang.
Dengan mengklik Instal, Anda mengonfirmasi bahwa Anda siap untuk memulai penginstalan peran. Anda tidak dapat membatalkan penginstalan peran setelah dimulai.
Hasil
Dialog Hasil memperlihatkan kemajuan penginstalan saat ini dan status penginstalan saat ini. Penginstalan peran berlanjut terlepas dari apakah Manajer Server ditutup.
Memverifikasi hasil penginstalan masih merupakan praktik terbaik. Jika Anda menutup dialog Hasil sebelum penginstalan selesai, Anda dapat memeriksa hasilnya menggunakan bendera pemberitahuan Manajer Server. Manajer Server juga menunjukkan pesan peringatan untuk server apa pun yang telah menginstal peran AD DS tetapi tidak dikonfigurasi lebih lanjut sebagai pengontrol domain.
Pemberitahuan Tugas
Detail AD DS
Detail Tugas
Promosikan ke Pengendali Domain
Di akhir penginstalan peran AD DS, Anda dapat melanjutkan konfigurasi dengan menggunakan tautan Promosikan server ini ke pengendali domain . Ini diperlukan untuk menjadikan server pengontrol domain, tetapi tidak perlu segera menjalankan wizard konfigurasi. Misalnya, Anda mungkin hanya ingin menyediakan server dengan biner AD DS sebelum mengirimkannya ke kantor cabang lain untuk konfigurasi nanti. Dengan menambahkan peran AD DS sebelum pengiriman, Anda menghemat waktu saat mencapai tujuannya. Anda juga mengikuti praktik terbaik untuk tidak menjaga pengendali domain tetap offline selama bertahun-hari atau ber minggu. Terakhir, ini memungkinkan Anda memperbarui komponen sebelum promosi pengendali domain, menghemat setidaknya satu reboot berikutnya.
Memilih tautan ini nanti memanggil cmdlet ADDSDeployment: install-addsforest, install-addsdomain, atau install-addsdomaincontroller.
Mencopot pemasangan/Menonaktifkan
Anda menghapus peran AD DS seperti peran lainnya, terlepas dari apakah Anda mempromosikan server ke pengendali domain. Namun, menghapus peran AD DS memerlukan hidupkan ulang setelah selesai.
Active Directory Domain Services penghapusan peran berbeda dari penginstalan, karena memerlukan demosi pengontrol domain sebelum dapat selesai. Ini diperlukan untuk mencegah pengendali domain menghapus biner perannya tanpa pembersihan metadata yang tepat di forest. Untuk informasi selengkapnya, lihat Demoting Domain Controllers and Domains (Level 200).
Peringatan
Menghapus peran AD DS dengan Dism.exe atau modul DISM Windows PowerShell setelah promosi ke Pengendali Domain tidak didukung dan akan mencegah server melakukan booting secara normal.
Tidak seperti Manajer Server atau modul Penyebaran AD DS untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Jangan gunakan Dism.exe atau modul DISM Windows PowerShell untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengontrol domain.
Membuat Domain Akar Hutan AD DS dengan Manajer Server
Diagram berikut mengilustrasikan proses konfigurasi Active Directory Domain Services, dalam kasus di mana Anda sebelumnya telah menginstal peran AD DS dan memulai Active Directory Domain Services Configuration Wizard menggunakan Server Manager.
Konfigurasi Penyebaran
Manajer Server memulai setiap promosi pengendali domain dengan halaman Konfigurasi Penyebaran . Opsi yang tersisa dan bidang yang diperlukan berubah pada halaman ini dan halaman berikutnya, tergantung pada operasi penyebaran mana yang Anda pilih.
Untuk membuat forest Direktori Aktif baru, klik Tambahkan forest baru. Anda harus memberikan nama domain akar yang valid; nama tidak boleh berlabel tunggal (misalnya, nama harus contoso.com atau serupa dan bukan hanya contoso) dan harus menggunakan persyaratan penamaan domain DNS yang diizinkan.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Peringatan
Jangan membuat forest Direktori Aktif baru dengan nama yang sama dengan nama DNS eksternal. Misalnya, jika URL DNS Internet Anda adalah http://contoso.com, Anda harus memilih nama yang berbeda untuk forest internal Anda untuk menghindari masalah kompatibilitas di masa mendatang. Nama itu harus unik dan tidak mungkin untuk lalu lintas web. Misalnya: corp.contoso.com.
Forest baru tidak memerlukan kredensial baru untuk akun Administrator domain. Proses promosi pengendali domain menggunakan kredensial akun Administrator bawaan dari pengendali domain pertama yang digunakan untuk membuat akar forest. Tidak ada cara (secara default) untuk menonaktifkan atau mengunci akun Administrator bawaan dan mungkin satu-satunya titik masuk ke forest jika akun domain administratif lainnya tidak dapat digunakan. Sangat penting untuk mengetahui kata sandi sebelum menyebarkan forest baru.
DomainName memerlukan nama DNS domain yang sepenuhnya memenuhi syarat dan diperlukan.
Opsi Pengendali Domain
Opsi Pengendali Domain memungkinkan Anda mengonfigurasi tingkat fungsional forest dan tingkat fungsional domain untuk domain akar forest baru. Secara default, pengaturan ini Windows Server 2012 di domain akar forest baru. Tingkat fungsional forest Windows Server 2012 tidak menyediakan fungsionalitas baru selama tingkat fungsionalitas forest Windows Server 2008 R2. Tingkat fungsional domain Windows Server 2012 hanya diperlukan untuk mengimplementasikan pengaturan Kerberos baru "selalu berikan klaim" dan "Gagalkan permintaan autentikasi yang tidak diarmortkan." Penggunaan utama untuk tingkat fungsional di Windows Server 2012 adalah membatasi partisipasi dalam domain ke pengendali domain yang memenuhi persyaratan sistem operasi minimum yang diizinkan. Dengan kata lain, Anda dapat menentukan tingkat fungsional domain Windows Server 2012 hanya pengontrol domain yang menjalankan Windows Server 2012 yang dapat menghosting domain. Windows Server 2012 menerapkan bendera pengendali domain baru yang disebut DS_WIN8_REQUIRED dalam fungsi DSGetDcName NetLogon yang secara eksklusif menemukan pengontrol domain Windows Server 2012. Ini memungkinkan Anda fleksibilitas forest yang lebih homogen atau heterogen dalam hal sistem operasi mana yang diizinkan untuk dijalankan pada pengendali domain.
Untuk informasi selengkapnya tentang Lokasi pengendali domain, tinjau Fungsi Layanan Direktori.
Satu-satunya kemampuan pengendali domain yang dapat dikonfigurasi adalah opsi server DNS. Microsoft merekomendasikan agar semua pengendali domain menyediakan layanan DNS untuk ketersediaan tinggi di lingkungan terdistribusi, itulah sebabnya opsi ini dipilih secara default saat menginstal pengendali domain dalam mode atau domain apa pun. Katalog Global dan opsi pengendali domain baca saja tidak tersedia saat membuat domain akar forest baru; pengendali domain pertama harus GC, dan tidak dapat menjadi pengendali domain baca saja (RODC).
Kata Sandi Mode Pemulihan Layanan Direktori yang ditentukan harus mematuhi kebijakan kata sandi yang diterapkan ke server, yang secara default tidak memerlukan kata sandi yang kuat; hanya yang tidak kosong. Selalu pilih kata sandi yang kuat dan kompleks atau lebih disukai, frasa sandi.
Opsi DNS dan Kredensial Delegasi DNS
Halaman Opsi DNS memungkinkan Anda mengonfigurasi delegasi DNS dan memberikan kredensial administratif DNS alternatif.
Anda tidak dapat mengonfigurasi opsi atau delegasi DNS di Panduan Konfigurasi Active Directory Domain Services saat menginstal Domain Akar Hutan Direktori Aktif baru tempat Anda memilih server DNS di halaman Opsi Pengendali Domain. Opsi Buat delegasi DNS tersedia saat membuat zona DNS akar forest baru di infrastruktur server DNS yang sudah ada. Opsi ini memungkinkan Anda untuk memberikan kredensial administratif DNS alternatif yang memiliki hak untuk memperbarui zona DNS.
Untuk informasi selengkapnya tentang apakah Anda perlu membuat delegasi DNS, lihat Memahami Delegasi Zona.
Opsi Tambahan
Halaman Opsi Tambahan memperlihatkan nama NetBIOS domain dan memungkinkan Anda menggantinya. Secara default, nama domain NetBIOS cocok dengan label paling kiri dari nama domain yang sepenuhnya memenuhi syarat yang disediakan di halaman Konfigurasi Penyebaran . Misalnya, jika Anda memberikan nama domain corp.contoso.com yang sepenuhnya memenuhi syarat, nama domain NetBIOS default adalah CORP.
Jika namanya 15 karakter atau kurang dan tidak bertentangan dengan nama NetBIOS lain, nama tersebut tidak diubah. Jika berkonflik dengan nama NetBIOS lain, angka ditambahkan ke nama tersebut. Jika namanya lebih dari 15 karakter, wizard memberikan saran unik yang terpotong. Dalam kedua kasus, wizard terlebih dahulu memvalidasi nama belum digunakan melalui pencarian WINS dan siaran NetBIOS.
Untuk informasi selengkapnya tentang nama domain yang valid, lihat artikel KB Konvensi penamaan di Direktori Aktif untuk komputer, domain, situs, dan OU.
Jalur
Halaman Jalur memungkinkan Anda mengambil alih lokasi folder default database AD DS, log transaksi database, dan berbagi SYSVOL. Lokasi default selalu berada dalam subdirektori %systemroot% (yaitu C:\Windows).
Tinjau Opsi dan Tampilkan Skrip
Halaman Opsi Tinjau memungkinkan Anda memvalidasi pengaturan dan memastikannya memenuhi kebutuhan Anda sebelum Memulai penginstalan. Ini bukan kesempatan terakhir untuk menghentikan penginstalan saat menggunakan Manajer Server. Ini hanyalah opsi untuk mengonfirmasi pengaturan Anda sebelum melanjutkan konfigurasi
Halaman Opsi Tinjau di Manajer Server juga menawarkan tombol Tampilkan Skrip opsional untuk membuat file teks Unicode yang berisi konfigurasi ADDSDeployment saat ini sebagai skrip Windows PowerShell tunggal. Ini memungkinkan Anda menggunakan antarmuka grafis Manajer Server sebagai studio penyebaran Windows PowerShell. Gunakan Wizard Konfigurasi Active Directory Domain Services untuk mengonfigurasi opsi, mengekspor konfigurasi, lalu membatalkan wizard. Proses ini membuat sampel yang valid dan benar secara sintaksis untuk modifikasi lebih lanjut atau penggunaan langsung. Contohnya:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Catatan
Manajer Server umumnya mengisi semua argumen dengan nilai saat mempromosikan dan tidak bergantung pada default (karena dapat berubah antara versi Windows atau paket layanan di masa mendatang). Satu pengecualian untuk ini adalah argumen -safemodeadministratorpassword (yang sengaja dihilangkan dari skrip). Untuk memaksa permintaan konfirmasi, hilangkan nilai saat menjalankan cmdlet secara interaktif.
Pemeriksaan Prasyarat
Pemeriksaan Prasyarat adalah fitur baru dalam konfigurasi domain AD DS. Fase baru ini memvalidasi bahwa konfigurasi server mampu mendukung forest AD DS baru.
Saat menginstal domain akar forest baru, Server Manager Active Directory Domain Services Configuration Wizard memanggil serangkaian pengujian modular. Pengujian ini memperingatkan Anda dengan opsi perbaikan yang disarankan. Anda dapat menjalankan pengujian sebanyak yang diperlukan. Proses pengendali domain tidak dapat dilanjutkan sampai semua pengujian prasyarat lulus.
Pemeriksaan Prasyarat juga menampilkan informasi yang relevan seperti perubahan keamanan yang memengaruhi sistem operasi yang lebih lama.
Untuk informasi selengkapnya tentang pemeriksaan prasyarat tertentu, lihat Pemeriksaan Prasyarat.
Penginstalan
Ketika halaman Penginstalan ditampilkan, konfigurasi pengendali domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan pada halaman ini dan ditulis ke log:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Catatan
Anda dapat menjalankan beberapa penginstalan peran dan wizard konfigurasi AD DS dari konsol Manajer Server yang sama secara bersamaan.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengendali domain akan secara otomatis di-boot ulang setelah 10 detik.
Menyebarkan Forest dengan Windows PowerShell
Bagian ini menjelaskan cara menginstal pengendali domain pertama di domain akar hutan menggunakan Windows PowerShell pada komputer Core Windows Server 2012.
Windows PowerShell Proses Penginstalan Peran AD DS
Dengan menerapkan beberapa cmdlet penyebaran ServerManager langsung ke dalam proses penyebaran Anda, Anda selanjutnya mewujudkan visi administrasi yang disederhanakan AD DS.
Gambar berikutnya menggambarkan proses penginstalan peran Active Directory Domain Services, dimulai dengan Anda menjalankan PowerShell.exe dan berakhir tepat sebelum promosi pengendali domain.
| ServerManager Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature | -Nama -Hidupkan ulang -IncludeAllSubFeature -IncludeManagementTools -Sumber -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Catatan
Meskipun tidak diperlukan, argumen -IncludeManagementTools sangat disarankan saat menginstal biner peran AD DS
Modul ServerManager mengekspos bagian penginstalan, status, dan penghapusan peran modul DISM baru untuk Windows PowerShell. Lapisan ini menyederhanakan tugas terbanyak dan mengurangi kebutuhan akan penggunaan langsung modul DISM yang kuat (tetapi berbahaya saat disalahgunakan).
Gunakan Get-Command untuk mengekspor alias dan cmdlet di ServerManager.
Get-Command -module ServerManager
Contohnya:
Untuk menambahkan peran Active Directory Domain Services, cukup jalankan Install-WindowsFeature dengan nama peran AD DS sebagai argumen. Seperti Manajer Server, semua layanan yang diperlukan implisit ke penginstalan peran AD DS secara otomatis.
Install-WindowsFeature -name AD-Domain-Services
Jika Anda juga ingin alat manajemen AD DS diinstal - dan ini sangat disarankan - maka berikan argumen -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Contohnya:
Untuk mencantumkan semua fitur dan peran dengan status penginstalannya, gunakan Get-WindowsFeature tanpa argumen. Tentukan argumen -ComputerName untuk status penginstalan dari server jarak jauh.
Get-WindowsFeature
Karena Get-WindowsFeature tidak memiliki mekanisme pemfilteran, Anda harus menggunakan Where-Object dengan alur untuk menemukan fitur tertentu. Alur adalah saluran yang digunakan antara beberapa cmdlet untuk meneruskan data dan cmdlet Where-Object bertindak sebagai filter. Variabel $_ bawaan bertindak sebagai objek saat ini yang melewati alur dengan properti apa pun yang mungkin ada di dalamnya.
Get-WindowsFeature | where-object <options>
Misalnya, untuk menemukan semua fitur yang berisi "Active Dir" di properti Nama Tampilan mereka, gunakan:
Get-WindowsFeature | where displayname -like "*active dir*"
Contoh lebih lanjut yang diilustrasikan di bawah ini:
Untuk informasi selengkapnya tentang operasi Windows PowerShell selengkapnya dengan alur dan Where-Object, lihat Pipa dan Alur di Windows PowerShell.
Perhatikan juga bahwa Windows PowerShell 3.0 secara signifikan menyederhanakan argumen baris perintah yang diperlukan dalam operasi alur ini. Windows PowerShell 2.0 akan memerlukan:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Dengan menggunakan alur Windows PowerShell, Anda dapat membuat hasil yang dapat dibaca. Contohnya:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Perhatikan cara menggunakan cmdlet Select-Object dengan argumen -expandproperty mengembalikan data yang menarik:
Catatan
Argumen Select-Object -expandproperty sedikit memperlambat performa penginstalan keseluruhan.
Membuat Domain Akar Hutan AD DS dengan Windows PowerShell
Untuk menginstal forest Direktori Aktif baru menggunakan modul ADDSDeployment, gunakan cmdlet berikut:
Install-addsforest
Cmdlet Install-AddsForest hanya memiliki dua fase (pemeriksaan dan penginstalan prasyarat). Dua gambar di bawah ini menunjukkan fase penginstalan dengan argumen minimum yang diperlukan dari -domainname.
| ADDSDeployment Cmdlet | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Catatan
Argumen -DomainNetBIOSName diperlukan jika Anda ingin mengubah nama 15 karakter yang dihasilkan secara otomatis berdasarkan awalan nama domain DNS atau jika nama melebihi 15 karakter.
Cmdlet dan argumen ADDSDeployment Konfigurasi Penyebaran Manajer Server yang setara adalah:
Install-ADDSForest
-DomainName <string>
Argumen cmdlet ADDSDeployment Opsi Pengendali Domain Manajer Server yang setara adalah:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Argumen Install-ADDSForest mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.
Operasi argumen SafeModeAdministratorPassword bersifat khusus:
Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi bertopeng. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, untuk membuat forest baru bernama corp.contoso.com dan diminta untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi:
Install-ADDSForest "DomainName corp.contoso.comJika ditentukan dengan nilai, nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Peringatan
Karena opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan peringatan ekstrem: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jelas yang dikonversi, meskipun ini sangat tidak disarankan.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Akhirnya, Anda dapat menyimpan kata sandi yang dikaburkan dalam file, dan kemudian menggunakannya kembali nanti, tanpa kata sandi teks yang jelas pernah muncul. Contohnya:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Peringatan
Tidak disarankan untuk menyediakan atau menyimpan kata sandi teks yang jelas atau dikaburkan. Siapa pun yang menjalankan perintah ini dalam skrip atau mencari di atas bahu Anda tahu kata sandi DSRM dari pengontrol domain tersebut. Siapa pun yang memiliki akses ke file dapat membalikkan kata sandi yang dikaburkan. Dengan pengetahuan itu, mereka dapat masuk ke DC yang dimulai di DSRM dan akhirnya meniru pengendali domain itu sendiri, meningkatkan hak istimewa mereka ke tingkat tertinggi di forest Direktori Aktif. Serangkaian langkah tambahan menggunakan System.Security.Cryptography untuk mengenkripsi data file teks disarankan tetapi di luar cakupan. Praktik terbaik adalah benar-benar menghindari penyimpanan kata sandi.
Cmdlet ADDSDeployment menawarkan opsi tambahan untuk melewati konfigurasi otomatis pengaturan klien DNS, penerus, dan petunjuk root. Anda tidak dapat melewati opsi konfigurasi ini saat menggunakan Manajer Server. Argumen ini hanya penting jika Anda menginstal peran Server DNS sebelum mengonfigurasi pengendali domain:
-SkipAutoConfigureDNS
Operasi DomainNetBIOSName juga khusus:
Jika argumen DomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 15 karakter atau kurang, maka promosi berlanjut dengan nama yang dihasilkan secara otomatis.
Jika argumen DomainNetBIOSName tidak ditentukan dengan nama domain NetBIOS dan nama domain awalan label tunggal dalam argumen DomainName adalah 16 karakter atau lebih, maka promosi gagal.
Jika argumen DomainNetBIOSName ditentukan dengan nama domain NetBIOS 15 karakter atau kurang, maka promosi berlanjut dengan nama yang ditentukan.
Jika argumen DomainNetBIOSName ditentukan dengan nama domain NetBIOS 16 karakter atau lebih, maka promosi gagal.
Argumen cmdlet AddSDeployment Opsi Tambahan Manajer Server yang setara adalah:
-domainnetbiosname <string>
Argumen cmdlet ADDSDeployment Jalur Manajer Server yang setara adalah:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Gunakan argumen Whatif opsional dengan cmdlet Install-ADDSForest untuk meninjau informasi konfigurasi. Ini memungkinkan Anda untuk melihat nilai eksplisit dan implisit dari argumen cmdlet.
Contohnya:
Anda tidak dapat melewati Pemeriksaan Prasyarat saat menggunakan Manajer Server, tetapi Anda dapat melewati proses saat menggunakan cmdlet Penyebaran AD DS menggunakan argumen berikut:
-skipprechecks
Peringatan
Microsoft mencegah melewatkan pemeriksaan prasyarat karena dapat menyebabkan promosi pengontrol domain parsial atau forest AD DS yang rusak.
Perhatikan bagaimana, sama seperti Manajer Server, Install-ADDSForest mengingatkan Anda bahwa promosi akan me-reboot server secara otomatis.
Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan addSDeployment Windows PowerShell cmdlet apa pun. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion .
Peringatan
Mengambil alih reboot tidak disarankan. Pengendali domain harus memulai ulang agar berfungsi dengan benar.
Lihat juga
Active Directory Domain Services (Portal TechNet)Active Directory Domain Services untuk Windows Server 2008 R2Active Directory Domain Services untuk Windows Server 2008Windows Referensi Teknis Server (Windows Server 2003)Pusat Administratif Direktori Aktif: Memulai (Windows Server 2008 R2)Administrasi Direktori Aktif dengan Windows PowerShell (Windows Server 2008 R2) Tanyakan kepada Tim Layanan Direktori (Blog Dukungan Teknis Komersial Microsoft Resmi)