Установка нового леса Active Directory в Windows Server 2012 (уровень 200)

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе на базовом уровне описывается новая функция повышения роли контроллера домена в доменных службах Active Directory Windows Server 2012. В доменных службах Active Directory в Windows Server 2012 средство Dcpromo заменено диспетчером сервера и системой развертывания на основе Windows PowerShell.

Упрощенное администрирование доменных служб Active Directory

В Windows Server 2012 реализовано упрощенное администрирование доменных служб Active Directory нового поколения, которое представляет собой наиболее радикальную модернизацию системы управления доменами с момента выпуска Windows Server 2000. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.

Что такое упрощенное администрирование доменных служб Active Directory?

Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов. Ниже перечислены некоторые новые возможности.

  • Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.

  • Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании графического интерфейса установки.

  • При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.

  • В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.

Назначение и преимущества

Может показаться, что эти изменения лишь повысили сложность. Однако при переработке процесса развертывания доменных служб Active Directory появилась возможность объединить многие этапы и рекомендации, сократив число необходимых действий и упростив их. Это означает, например, что при настройке новой реплики контроллера домена с помощью графического интерфейса теперь требуются восемь диалоговых окон вместо двенадцати. Для создания леса Active Directory требуется одна команда Windows PowerShell со всего лишь одним аргументом: именем домена.

Почему в Windows Server 2012 сделан упор на Windows PowerShell? По мере развития распределенных вычислений среда Windows PowerShell обеспечивает единый модуль для настройки и обслуживания как с помощью графического интерфейса, так и с помощью интерфейса командной строки. Она обеспечивает создание полнофункциональных сценариев для любого компонента, предоставляя ИТ-специалистам те же первоклассные возможности, какие интерфейсы API дают разработчикам. По мере широкого распространения облачных вычислений среда Windows PowerShell также дает возможность удаленного администрирования сервера. При этом компьютером без графического интерфейса можно управлять так же эффективно, как и компьютером с монитором и мышью.

Опытный администратор доменных служб Active Directory сможет с успехом применять накопленные знания. Для начинающего администратора кривая обучения стала гораздо более пологой.

технический обзор

Что следует знать перед началом работы

В этом разделе предполагается, что вы знакомы с предыдущими выпусками доменных служб Active Directory, поэтому в нем не приводятся базовые сведения об их назначении и функциональных возможностях. Дополнительную информацию о доменных службах Active Directory можно найти на страницах портала TechNet, ссылки на которые приведены ниже:

Описания функций

Установка роли доменных служб Active Directory

Screenshot that shows the Server Roles page in the Add Roles and Features wizard.

Для установки доменных служб Active Directory, так же как для установки всех остальных ролей сервера и компонентов в Windows Server 2012, используются диспетчер сервера и среда Windows PowerShell. Программа Dcpromo.exe больше не предоставляет графический интерфейс пользователя с параметрами настройки.

Графический мастер в диспетчере сервера или модуль ServerManager для Windows PowerShell используются как для локальной, так и для удаленной установки. Запуская несколько экземпляров этого мастера или командлетов для разных серверов, можно одновременно развертывать доменные службы Active Directory в нескольких контроллерах домена из единой консоли. Хотя эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более ранними операционными системами, вы по-прежнему можете использовать программу Dism.exe, появившуюся в Windows Server 2008 R2, для локальной установки роли из классической командной строки.

Screenshot that shows a Windows PowerShell terminal window.

Настройка роли доменных служб Active Directory

Screenshot that shows the Deployment Configuration page in the Active Directory Domain Services Configuration Wizard.

конфигурация служб домен Active Directory "ранее известная как DCPROMO" теперь является дискретной операцией из установки ролей. После установки роли доменных служб Active Directory администратор настраивает сервер в качестве контроллера домена с помощью отдельного мастера в диспетчере сервера или с помощью модуля Windows PowerShell ADDSDeployment.

Настройка роли доменных служб Active Directory осуществляется на основе двенадцатилетнего практического опыта. Контроллеры домена настраиваются в соответствии с новейшими рекомендациями Майкрософт. Например, служба доменных имен (DNS) и глобальные каталоги устанавливаются по умолчанию в каждом контроллере домена.

Мастер настройки диспетчер сервера AD DS объединяет множество отдельных диалогов в меньшее количество запросов и больше не скрывает параметры в режиме "дополнительно". Весь процесс повышения роли осуществляется в ходе установки с помощью одного раскрывающегося диалогового окна. Мастер и модуль Windows PowerShell ADDSDeployment выводят информацию о существенных изменениях и проблемах безопасности, а также ссылки на дополнительные материалы.

Программа Dcpromo.exe сохранена в Windows Server 2012 только для автоматической установки посредством командной строки. Она больше не используется для запуска графического мастера установки. Настоятельно рекомендуется отказаться от использования программы Dcpromo.exe в целях автоматической установки, заменив ее модулем ADDSDeployment, так как соответствующий исполняемый файл не будет включен в следующую версию Windows.

Эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более поздними операционными системами.

Screenshot that shows a Windows PowerShell terminal window during an installation.

Внимание

Программа Dcpromo.exe больше не предоставляет графический мастер и не используется для установки двоичных файлов роли или компонента. При попытке запустить Dcpromo.exe из проводника происходит ошибка:

Мастер установки служб домен Active Directory перемещается в диспетчер сервера. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220921."

При попытке выполнить команду Dcpromo.exe /unattend двоичные файлы по-прежнему устанавливаются, как в предыдущих операционных системах, но выводится предупреждение:

"Автоматическая операция dcpromo заменяется модулем ADDSDeployment для Windows PowerShell. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220924."

В Windows Server 2012 использовать программу dcpromo.exe не рекомендуется. Она не будет включена в будущие версии Windows и не будет улучшаться далее в текущей. Администраторам следует прекратить ее использование и перейти на поддерживаемые модули Windows PowerShell для создания контроллеров домена из командной строки.

Проверка предварительных требований

Настройка контроллера домена также включает этап проверки предварительных требований, на котором проводится оценка леса и домена перед повышением роли контроллера домена. При этом проверяются доступность роли FSMO, права пользователей, совместимость расширенной схемы и другие требования. Новая структура процесса позволяет уменьшить число проблем, при которых повышение роли контроллера домена прерывается посередине из-за неустранимой ошибки конфигурации. Это снижает вероятность образования потерянных метаданных контроллеров домена в лесу или возникновения серверов, которые считают себя контроллерами домена, хотя не являются ими.

Развертывание леса с использованием диспетчера серверов

В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью диспетчера сервера на компьютере Windows Server 2012 с графическим интерфейсом.

Процесс установки роли доменных служб Active Directory с помощью диспетчера сервера

На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска ServerManager.exe и заканчивая моментом перед повышением роли контроллера домена.

Diagram that illustrates the Active Directory Domain Services role installation process, beginning with running ServerManager.exe and ending right before the promotion of the domain controller.

Пул серверов и добавление ролей

Объединить в пул можно любые компьютеры с ОС Windows Server 2012, доступные с компьютера, на котором запущен диспетчер сервера. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере сервера.

Чтобы добавить серверы, выполните одно из указанных ниже действий.

  • На плитке приветствия на информационной панели щелкните Добавить другие серверы для управления .

  • В меню Управление выберите пункт Добавление серверов.

  • Щелкните правой кнопкой мыши Все серверы и выберите пункт Добавление серверов.

Откроется диалоговое окно "Добавление серверов".

Screenshot that shows the Active Directory tab in the Add Servers dialog box.

В нем можно добавить серверы в пул для использования или группировки тремя способами:

  • поиск в Active Directory (используется LDAP, компьютеры должны принадлежать к домену, разрешена фильтрация ОС, поддерживаются подстановочные знаки);

  • Поиск по DNS (используется DNS-псевдоним или IP-адрес посредством передачи ARP или NetBIOS либо просмотра WINS; операционной системе запрещена фильтрация и поддержка подстановочных знаков);

  • Импорт (используется список серверов в виде текстового файла с разделителями CR/LF)

Щелкните Найти для получения списка серверов из домена Active Directory, к которому присоединен компьютер, а затем щелкните одно или несколько имен серверов в списке. Нажмите кнопку со стрелкой вправо, чтобы добавить серверы в список Выбранные . Используйте диалоговое окно Добавление серверов для добавления выбранных серверов в группы ролей на информационной панели. Чтобы создать настраиваемые группы серверов, выберите в меню Управлениепункт Создание группы серверовили щелкните элемент Создание группы серверов на плитке Вас приветствует диспетчер серверов информационной панели.

Примечание.

Процедура "Добавление серверов" не выполняет проверку подключения сервера или его доступности. Однако при следующем обновлении недоступные серверы будут помечены в представлении "Управляемость" диспетчера сервера.

Вы можете установить роли удаленно на любые компьютеры Windows Server 2012, добавленные в пул, как показано на снимке экрана:

Screenshot that shows how you can install roles remotely on any Windows Server 2012 computers added the to pool.

Вы не можете полностью управлять серверами с более ранними операционными системами, чем Windows Server 2012. При выборе пункта Добавить роли и компоненты выполняется командлет Install-WindowsFeatureиз модуля Windows PowerShell ServerManager.

Screenshot that shows the Add AD DS to Another Server menu option.

Вы также можете выбрать установку доменных служб Active Directory на удаленном сервере с предварительно выбранной ролью с помощью информационной панели диспетчера сервера на существующем контроллере домена, щелкнув плитку на информационной панели правой кнопкой мыши и выбрав пункт Добавить AD DS на другой сервер. Будет вызван командлет Install-WindowsFeature AD-Domain-Services.

Компьютер с запущенным диспетчером сервера автоматически включает себя в пул. Чтобы установить на нем роль доменных служб Active Directory, просто откройте меню Управление и выберите пункт Добавить роли и компоненты.

Screenshot that shows how to access the Add Roles and Features menu option.

Тип установки

Screenshot that shows the Installation Type page in teh Add Roles and Features Wizard.

В диалоговом окне Тип установки есть вариант, при котором доменные службы Active Directory не поддерживаются: Установка на основе служб удаленных рабочих столов. При выборе этого варианта возможно использование только служб удаленных рабочих столов в распределенной среде с несколькими серверами. Установить доменные службы Active Directory в этом случае нельзя.

При установке доменных служб Active Directory всегда оставляйте вариант по умолчанию: Установка ролей или компонентов.

Выбор сервера

Screenshot that shows the Server Selection page in the Remove Roles and Features Wizard.

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен автоматически.

Кроме того, вы можете выбрать автономные VHD-файлы Hyper-V с операционной системой Windows Server 2012, и диспетчер сервера добавит в них роль напрямую с помощью системы предоставления компонентов. Таким образом можно предоставлять виртуальным серверам необходимые компоненты перед их дальнейшей настройкой.

"Роли сервера" и "Компоненты"

Screenshot that shows the Server Roles page in the Add Roles and Features Wizard.

Если необходимо повысить роль контроллера домена, выберите роль Доменные службы Active Directory . Все функции администрирования Active Directory и необходимые службы устанавливаются автоматически, даже если они являются частью другой роли или не выбраны в интерфейсе диспетчера сервера.

В диспетчере сервера также выводится информационное диалоговое окно, в котором показаны компоненты управления, неявно устанавливаемые вместе с этой ролью. Это равноценно использованию аргумента -IncludeManagementTools .

Screenshot that shows which management features this role implicitly installs; this is equivalent to the -IncludeManagementTools argument.

Screenshot that shows the Features page in the Add Roles and Features Wizard.

При необходимости здесь можно добавить дополнительные компоненты .

Доменные службы Active Directory

Screenshot that shows the AD DS page in the Removal Roles and Features Wizard.

В диалоговом окне Доменные службы Active Directory приводится ограниченная информация о требованиях и рекомендациях. В основном он выступает в качестве подтверждения того, что вы выбрали роль AD DS " если этот экран не отображается, вы не выбрали AD DS.

Подтверждение

Screenshot that shows the Confirmation page in the Add Roles and Features Wizard.

Диалоговое окно Подтверждение — это последний этап перед установкой роли. С его помощью можно указать, что компьютер необходимо перезагрузить после установки роли, однако установка доменных служб Active Directory не требует перезагрузки.

Нажимая кнопку Установить, вы подтверждаете готовность к установке роли. После того как установка роли начнется, отменить ее будет невозможно.

Результаты

Screenshot that shows the Results page in the Add Roles and Features Wizard.

В диалоговом окне Результаты показан ход установки и ее текущее состояние. Установка роли продолжится, даже если закрыть диспетчер сервера.

Рекомендуется проверять результат установки. Если вы закрыли диалоговое окно Результаты до того, как установка завершилась, результаты можно проверить с помощью флага уведомления в диспетчере сервера. В диспетчере сервера также выводятся предупреждения для всех серверов, на которых установлена роль доменных служб Active Directory, но которые не были затем настроены как контроллеры домена.

Уведомления о задачах

Screenshot that shows a task notification.

Сведения о AD DS

Screenshot that shows where to view AD DS details.

Сведения о задаче

Screenshot that shows where to view task details.

Повышение роли до контроллера домена

Screenshot that shows the Promote this server to a domain controller link.

После того как установка роли доменных служб Active Directory завершится, можно продолжить настройку с помощью ссылки Повысить роль этого сервера до уровня контроллера домена . Это необходимо для того, чтобы сделать сервер контроллером домена, однако мастер настройки запускать сразу необязательно. Например, может потребоваться предоставить серверам двоичные файлы роли доменных служб Active Directory, а затем отправить их в другой филиал для дальнейшей настройки. Добавив роль доменных служб Active Directory перед отправкой, можно сэкономить время, требуемое для настройки на месте назначения. При этом также выполняется рекомендация, в соответствии с которой контроллер домена не следует отключать на несколько дней или недель. Наконец, это позволяет обновить компоненты перед повышением роли контроллера домена и уменьшить число последующих перезагрузок по крайней мере на одну.

При выборе этой ссылки вызываются следующие командлеты ADDSDeployment: install-addsforest, install-addsdomainили install-addsdomaincontroller.

Удаление или отключение

Роль доменных служб Active Directory удаляется так же, как любая другая роль, вне зависимости от того, была ли роль сервера повышена до контроллера домена. Однако по завершении удаления роли доменных служб Active Directory необходимо перезапустить сервер.

Удаление роли доменных служб Active Directory отличается от установки тем, что для его завершения необходимо понизить роль контроллера домена. Это требуется для того, чтобы удаление двоичных файлов роли в контроллере домена сопровождалось надлежащей очисткой метаданных в лесу. Дополнительные сведения см. в разделе "Понижение контроллеров домена" и "Домены" (уровень 200).

Предупреждение

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.

Создание корневого домена леса доменных служб Active Directory с помощью диспетчера сервера

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера.

Diagram that illustrates the Active Directory Domain Services configuration process, in the case where you have previously installed the AD DS role and started the Active Directory Domain Services Configuration Wizard using Server Manager.

Конфигурация развертывания

Screenshot that shows the Deployment Configuration.

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.

Чтобы создать лес Active Directory, установите переключатель в положение Добавить новый лес. Необходимо указать допустимое имя корневого домена. Оно не может быть однокомпонентным (например, имя должно иметь вид contoso.com , а не просто contoso) и должно соответствовать требованиям к разрешенным доменным именам DNS.

Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

Предупреждение

Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если URL-адрес DNS в Интернете имеет https://contoso.comзначение, необходимо выбрать другое имя внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.

В новом лесу не требуются новые учетные данные для учетной записи администратора домена. Процесс повышения роли контроллера домена использует учетные данные встроенной учетной записи администратора из первого контроллера домена, применяемого для создания корневого домена леса. Не существует стандартного способа отключить или заблокировать встроенную учетную запись администратора, и она может быть единственной точкой входа в лес, если другие учетные записи администраторов домена использовать невозможно. Перед развертыванием нового леса необходимо знать пароль.

АргументDomainName обязателен, и ему должно быть присвоено полное доменное имя DNS.

Параметры контроллера домена

Screenshot that shows the Domain Controller Options in the Active Directory Domain Services Configuration Wizard.

На странице Параметры контроллера домена можно настроить режим работы леса и режим работы домена для нового корневого домена леса. По умолчанию эти параметры являются Windows Server 2012 в новом корневом домене леса. Функциональный уровень леса Windows Server 2012 не предоставляет новые функциональные возможности для леса Windows Server 2008 R2. Функциональный уровень домена Windows Server 2012 требуется только для реализации новых параметров Kerberos "всегда предоставлять утверждения" и "Неупорядоченные запросы проверки подлинности". Основное использование функциональных уровней в Windows Server 2012 заключается в ограничении участия в домене контроллерам домена, которые соответствуют минимальным требованиям к операционной системе. Другими словами, можно указать функциональный уровень домена Windows Server 2012 только контроллеры домена под управлением Windows Server 2012, которые могут размещать домен. Windows Server 2012 реализует новый флаг контроллера домена с именем DS_WIN8_REQUIRED в функции DSGetDcName NetLogon, которая исключительно находит контроллеры домена Windows Server 2012. Это позволяет более гибко создавать однородные или разнородные леса с учетом операционных систем, под управлением которых могут работать контроллеры домена.

Подробнее о расположении контроллеров домена см. в статье Функции службы каталогов.

Единственной настраиваемой возможностью контроллера домена является служба DNS-сервера. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS для обеспечения высокой доступности в распределенных средах. Поэтому этот параметр выбран по умолчанию при установке контроллера домена в любом режиме или домене. Параметры "Глобальный каталог" и "Контроллер домена только для чтения" недоступны при создании корневого домена леса, потому что первый контроллер домена должен быть глобальным каталогом и не может быть контроллером домена только для чтения.

Назначаемый пароль режима восстановления служб каталогов должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.

Параметры DNS и учетные данные для делегирования DNS

Screenshot that shows the DNS Options in the Active Directory Domain Services Configuration Wizard.

На странице Параметры DNS можно настроить делегирование DNS и указать альтернативные учетные данные администратора DNS.

Вы не можете настроить параметры или делегирование DNS в мастере настройки доменных служб Active Directory при установке нового корневого домена леса Active Directory, если на странице Параметры контроллера домена был выбран параметр DNS-сервер . Параметр Создать DNS-делегирование доступен при создании корневой зоны DNS леса в существующей инфраструктуре DNS-серверов. Он позволяет указать альтернативные учетные данные администратора DNS с правами на обновление зоны DNS.

Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.

Дополнительные параметры

Screenshot that shows the Additional Options page in the Active Directory Domain Services Configuration Wizard.

На странице Дополнительные параметры приводится NetBIOS-имя домена, которое вы можете переопределить. По умолчанию NetBIOS-имя домена совпадает с крайним левым компонентом полного доменного имени, указанного на странице Конфигурация развертывания. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.

Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.

Пути

Screenshot that shows the Paths page in the Active Directory Domain Services Configuration Wizard.

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. Расположение по умолчанию всегда в подкаталогах %systemroot% (т. е. C:\Windows).

"Просмотреть параметры" и "Просмотреть скрипт"

Screenshot that shows the Review Options page in the Active Directory Domain Services Configuration Wizard.

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт, предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. Рассмотрим пример.

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Примечание.

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.

Проверка необходимых компонентов

Screenshot that shows the Prerequisite Check page in the Active Directory Domain Services Configuration Wizard.

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы.

Подробнее о проверках предварительных требований см. в разделе Prerequisite Checking.

Установка

Screenshot that shows the Installation page in the Active Directory Domain Services Configuration Wizard.

Когда появляется страница Установка, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Примечание.

Из одной консоли диспетчера сервера можно одновременно запустить несколько мастеров установки роли и настройки доменных служб Active Directory.

Результаты

Screenshot that shows the Results page where you can see if the promotion succeeded or failed.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Развертывание леса с помощью Windows PowerShell

В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью Windows PowerShell на компьютере с базовыми компонентами Windows Server 2012.

Процесс установки роли доменных служб Active Directory с помощью Windows PowerShell

Включив несколько простых командлетов из модуля ServerManager в процесс развертывания, можно еще более упростить администрирование доменных служб Active Directory.

На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска PowerShell.exe и заканчивая моментом перед повышением роли контроллера домена.

Diagram that illustrates the Active Directory Domain Services role installation process, beginning with you running PowerShell.exe and ending right before the promotion of the domain controller.

Командлет ServerManager Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Install-WindowsFeature/Add-WindowsFeature -Имя

-Перезапустить

-IncludeAllSubFeature

-IncludeManagementTools

-Source

-Computername

-Credential

-LogPath

-Vhd

-ConfigurationFilePath

Примечание.

Хотя аргумент -IncludeManagementTools необязателен, его настоятельно рекомендуется использовать при установке двоичных файлов роли доменных служб Active Directory.

Модуль ServerManager предоставляет доступ к частям нового модуля DISM для Windows PowerShell, предназначенным для установки, отслеживания состояния и удаления роли. Такая структура упрощает большинство задач и уменьшает потребность в прямом использовании эффективного (но опасного при неправильном применении) модуля DISM.

Для экспорта псевдонимов и командлетов ServerManager используйте командлет Get-Command .

Get-Command -module ServerManager

Например:

Screenshot of a terminal window that shows where to find the Install-WindowsFeature cmdlet.

Чтобы добавить роль доменных служб Active Directory, просто выполните командлет Install-WindowsFeature с именем этой роли в качестве аргумента. Так же как при использовании диспетчера сервера, все службы, необходимые для роли доменных служб Active Directory, устанавливаются автоматически.

Install-WindowsFeature -name AD-Domain-Services

Если также требуется установить средства управления доменными службами Active Directory (настоятельно рекомендуем сделать это), укажите аргумент -IncludeManagementTools :

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Например:

Screenshot of a terminal window that shows where to provide the the -IncludeManagementTools argument.

Чтобы вывести список всех компонентов и ролей с состоянием их установки, используйте командлет Get-WindowsFeature без аргументов. Чтобы получить состояние установки с удаленного сервера, укажите аргумент -ComputerName .

Get-WindowsFeature

Так как командлет Get-WindowsFeature не имеет механизма фильтрации, чтобы найти определенные компоненты, необходимо использовать командлет Where-Object с конвейером. Конвейер — это канал, по которому данные передаются между несколькими командлетами, а командлет Where-Object выступает в роли фильтра. Встроенная переменная $_ содержит текущий объект со всеми свойствами, передаваемый через конвейер.

Get-WindowsFeature | where-object <options>

Например, чтобы найти все компоненты, в свойстве Отображаемое имя которых имеется строка Active Dir, выполните следующую команду:

Get-WindowsFeature | where displayname -like "*active dir*"

Ниже приведены дополнительные примеры.

Install a new forest

Подробнее о дополнительных операциях с конвейерами в Windows PowerShell и командлете Where-Object см. в статье Конвейерная передача и конвейер в Windows PowerShell.

Также обратите внимание на то, что в Windows PowerShell 3.0 значительно упростились аргументы командной строки, необходимые для выполнения этой конвейерной операции. В Windows PowerShell 2.0 потребовалась бы следующая команда:

Get-WindowsFeature | where {$_.displayname - like "*active dir*"}

С помощью конвейера Windows PowerShell можно получить удобные для восприятия результаты. Например:

Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List

Screenshot of a terminal window that shows how you can create readable results.

Обратите внимание на интересные данные, которые возвращает командлет Select-Object с аргументом -expandproperty :

Screenshot of a terminal window that shows how using the Select-Object cmdlet with the -expandproperty argument returns interesting data.

Примечание.

Аргумент Select-Object -expandproperty немного снижает общую производительность установки.

Создание корневого домена леса доменных служб Active Directory с помощью Windows PowerShell

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:

Install-addsforest

Выполнение командлета Install-AddsForest включает только два этапа (проверка предварительных требований и установка). На двух иллюстрациях ниже показан этап установки с единственным необходимым аргументом -domainname.

Командлет ADDSDeployment Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
install-addsforest -Confirm

-CreateDNSDelegation

-DatabasePath

-DomainMode

-Domainname

-DomainNetBIOSName

-DNSDelegationCredential

-ForestMode

-Force

-InstallDNS

-LogPath

-NoDnsOnNetwork

-NoRebootOnCompletion

-Сейф Mode Администратор istratorPassword

-SkipAutoConfigureDNS

-SkipPreChecks

-SYSVOLPath

-Whatif

Примечание.

Аргумент -DomainNetBIOSName является обязательным, если требуется изменить 15-значное имя, созданное автоматически на базе префикса доменного имени DNS, или если длина имени превышает 15 символов.

Командлет и аргументы модуля ADDSDeployment, эквивалентные параметрам на странице Конфигурация развертывания в диспетчере сервера:

Install-ADDSForest
-DomainName <string>

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Параметры контроллера домена" в диспетчере сервера:

-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>

Если аргументы Install-ADDSForest не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент SafeModeAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

    Например, чтобы создать лес с именем corp.contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:

    Install-ADDSForest "DomainName corp.contoso.com
    
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки.

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Предупреждение

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Например:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Предупреждение

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. Лучше всего полностью отказаться от хранения паролей.

Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:

-SkipAutoConfigureDNS

Аргумент DomainNetBIOSName также действует особым образом.

  • Если в аргументе DomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени.

  • Если в аргументе DomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли.

  • Если в аргументе DomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени.

  • Если в аргументе DomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Дополнительные параметры" в диспетчере сервера:

-domainnetbiosname <string>

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути в диспетчере сервера:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest. Это позволит просмотреть явные и неявные значения аргументов командлета.

Например:

Screenshot of a terminal window that shows how to use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента:

-skipprechecks

Предупреждение

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.

Обратите внимание на то, что командлет Install-ADDSForest , как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли:

Screenshot of a terminal window that shows Install-ADDSForest reminding you that promotion will reboot the server automatically.

Screenshot of a terminal window that shows the progress of the reboot process.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.

См. также

службы домен Active Directory (портал TechNet)службы домен Active Directory для Windows Server 2008 R2службы домен Active Directory для Windows Server 2008Технический справочник по Windows Server (Windows Server 2003)Active Directory Администратор istrative Center: начало работы (Windows Server 2008 R2)Active Directory Администратор istration with Windows PowerShell (Windows Server 2008 R2)Ask the Directory Services Team (Official Microsoft Commercial Technical Support Blog)