Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt de nieuwe functie voor promotie van domeincontrollers van Windows Server 2012 Active Directory Domain Services uitgelegd op introductieniveau. In Windows Server 2012 vervangt AD DS het hulpprogramma Dcpromo door een Serverbeheer- en Windows PowerShell-implementatiesysteem.
Vereenvoudigd beheer van Active Directory Domain Services
Windows Server 2012 introduceert de volgende generatie Active Directory Domain Services Simplified Administration en is de meest radicale herinrichting van domeinen sinds Windows 2000 Server. Ad DS Simplified Administration neemt lessen die zijn geleerd van twaalf jaar Active Directory en maakt een meer ondersteunende, flexibelere, intuïtievere administratieve ervaring voor architecten en beheerders. Dit betekende het maken van nieuwe versies van bestaande technologieën en het uitbreiden van de mogelijkheden van onderdelen die zijn uitgebracht in Windows Server 2008 R2.
Wat is vereenvoudigd AD DS-beheer?
AD DS Simplified Administration is een heragining van domeinimplementatie. Enkele van deze functies zijn:
Implementatie van AD DS-rollen maakt nu deel uit van de nieuwe serverbeheerarchitectuur en staat externe installatie toe.
De AD DS-implementatie- en configuratie-engine is nu Windows PowerShell, zelfs wanneer u een grafische installatie gebruikt.
Vanaf nu omvat de promotie een controle van de vereisten die de gereedheid van forest en domein voor de nieuwe domeincontroller valideert, waardoor de kans op mislukte promoties kleiner wordt.
Het functionele niveau van het Windows Server 2012-forest implementeert geen nieuwe functies en domeinfunctionaliteitsniveau is alleen vereist voor een subset van nieuwe Kerberos-functies, zodat beheerders van de frequente behoefte aan een homogene domeincontrolleromgeving worden ontlast.
Doel en voordelen
Deze wijzigingen kunnen complexer lijken, niet eenvoudiger. Bij het opnieuw ontwerpen van het AD DS-implementatieproces was er echter de mogelijkheid om veel stappen en aanbevolen procedures samen te voegen in minder, eenvoudigere acties. Dit betekent bijvoorbeeld dat de grafische interface van een nieuwe replicadomeincontroller nu uit acht dialoogvensters bestaat in plaats van eerder twaalf. Voor het maken van een nieuw Active Directory-forest is één Windows PowerShell-opdracht met slechts één argument vereist: de naam van het domein.
Waarom is er zo'n nadruk op Windows PowerShell in Windows Server 2012? Naarmate gedistribueerde computing zich ontwikkelt, staat Windows PowerShell één engine toe voor configuratie en onderhoud vanuit zowel grafische als opdrachtregelinterfaces. Het maakt volledig functionele scripting van elk onderdeel mogelijk met hetzelfde eersteklas recht voor een IT-professional, zoals een API aan ontwikkelaars verleent. Naarmate cloudcomputing alomtegenwoordig wordt, biedt Windows PowerShell ten slotte ook de mogelijkheid om een server op afstand te beheren, waarbij een computer zonder grafische interface dezelfde beheermogelijkheden heeft als een computer met een monitor en muis.
Een veteraan AD DS-beheerder moet hun eerdere kennis zeer relevant vinden. Een beginnende beheerder zal een veel ondiepere leercurve vinden.
Technisch overzicht
Wat u moet weten voordat u begint
In dit onderwerp wordt ervan uitgegaan dat u bekend bent met eerdere versies van Active Directory Domain Services en geen basisdetails over hun doel en functionaliteit biedt. Zie de TechNet-portalpagina's die hieronder zijn gekoppeld voor meer informatie over AD DS:
Functionele beschrijvingen
Installatie van AD DS-rol
Active Directory Domain Services-installatie maakt gebruik van Serverbeheer en Windows PowerShell, zoals alle andere serverfuncties en -onderdelen in Windows Server 2012. Het Dcpromo.exe programma biedt geen GUI-configuratieopties meer.
U gebruikt een grafische wizard in Serverbeheer of de ServerManager-module voor Windows PowerShell in zowel lokale als externe installaties. Door meerdere exemplaren van deze wizards of cmdlets uit te voeren en op verschillende servers te richten, kunt u AD DS tegelijkertijd implementeren op meerdere domeincontrollers, allemaal vanuit één console. Hoewel deze nieuwe functies niet achterwaarts compatibel zijn met Windows Server 2008 R2 of eerdere besturingssystemen, kunt u ook nog steeds de Dism.exe toepassing gebruiken die is geïntroduceerd in Windows Server 2008 R2 voor installatie van lokale functies vanaf de klassieke opdrachtregel.
Configuratie van AD DS-rol
Active Directory Domain Services-configuratie, voorheen bekend als DCPROMO, is nu een op zichzelf staande handeling ten opzichte van de installatie van de rol. Nadat de AD DS-rol is geïnstalleerd, configureert een beheerder de server als een domeincontroller met behulp van een afzonderlijke wizard in Serverbeheer of met behulp van de WINDOWS PowerShell-module ADDSDeployment.
Configuratie van AD DS-rollen bouwt voort op twaalf jaar veldervaring en configureert nu domeincontrollers op basis van de meest recente aanbevolen procedures van Microsoft. Domain Name System en Global Catalogs worden bijvoorbeeld standaard geïnstalleerd op elke domeincontroller.
De Serverbeheer AD DS-configuratiewizard voegt veel afzonderlijke dialoogvensters samen tot minder aanwijzingen en verbergt geen instellingen meer in een geavanceerde modus. Het hele promotieproces bevindt zich in één uitvouwend dialoogvenster tijdens de installatie. In de wizard en de WINDOWS PowerShell-module ADDSDeployment worden belangrijke wijzigingen en beveiligingsproblemen weergegeven, met koppelingen naar meer informatie.
De Dcpromo.exe blijft in Windows Server 2012 voor opdrachtregelinstallaties zonder toezicht en voert de grafische installatiewizard niet meer uit. Het wordt ten zeerste aanbevolen om het gebruik van Dcpromo.exe voor installatie zonder toezicht te stoppen en te vervangen door de ADDSDeployment-module, omdat het nu afgeschafte uitvoerbare bestand niet wordt opgenomen in de volgende versie van Windows.
Deze nieuwe functies zijn niet achterwaarts compatibel met Windows Server 2008 R2 of oudere besturingssystemen.
Important
Dcpromo.exe bevat geen grafische wizard meer en installeert geen binaire bestanden voor rollen of onderdelen meer. Als u probeert Dcpromo.exe uit te voeren vanuit de Explorer-shell, wordt het volgende geretourneerd:
"De installatiewizard van Active Directory Domain Services wordt verplaatst in Serverbeheer. Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=220921."
Als u probeert Dcpromo.exe /unattend uit te voeren, worden de binaire bestanden nog steeds geïnstalleerd, zoals in eerdere besturingssystemen, maar wordt gewaarschuwd:
"De dcpromo-bewerking zonder toezicht wordt vervangen door de module ADDSDeployment voor Windows PowerShell. Zie voor meer informatie https://go.microsoft.com/fwlink/?LinkId=220924."
Windows Server 2012 verwijdert dcpromo.exe en het wordt niet opgenomen in toekomstige versies van Windows en ontvangt ook geen verdere verbeteringen in dit besturingssysteem. Beheerders moeten stoppen met het gebruik en overschakelen naar de ondersteunde Windows PowerShell-modules als ze domeincontrollers willen maken vanaf de opdrachtregel.
Controle van vereisten
De configuratie van de domeincontroller implementeert ook een fase voor het controleren van vereisten waarmee het forest en het domein worden geëvalueerd voordat wordt doorgegaan met de promotie van domeincontrollers. Dit omvat de beschikbaarheid van FSMO-rollen, gebruikersbevoegdheden, uitgebreide schemacompatibiliteit en andere vereisten. Dit nieuwe ontwerp vermindert problemen waarbij promotie van domeincontroller begint en vervolgens halverwege stopt met een fatale configuratiefout. Dit vermindert de kans op zwevende metagegevens van domeincontrollers in het forest of een server die ten onrechte denkt dat het een domeincontroller is.
Een forest implementeren met Serverbeheer
In deze sectie wordt uitgelegd hoe u de eerste domeincontroller in een foresthoofddomein installeert met Serverbeheer op een grafische Windows Server 2012-computer.
Installatieproces voor AD DS-rollen in Serverbeheer
In het onderstaande diagram ziet u het installatieproces van de Active Directory Domain Services-functie, beginnend met het uitvoeren van ServerManager.exe en eindigend vlak voor de promotie van de domeincontroller.
Servergroep en functies toevoegen
Alle Windows Server 2012-computers die toegankelijk zijn vanaf de computer waarop Serverbeheer wordt uitgevoerd, komen in aanmerking voor pooling. Zodra de bundeling is voltooid, selecteert u die servers voor externe installatie van AD DS of andere configuratieopties die mogelijk zijn van de Serverbeheer-console.
Kies een van de volgende opties om servers toe te voegen:
Klik op Andere servers toevoegen om te beheren op de welkomsttegel van het dashboard
Klik op het menu Beheren en selecteer Servers toevoegen
Klik met de rechtermuisknop op Alle servers en kies Servers toevoegen
Hiermee wordt het dialoogvenster Servers toevoegen weergegeven:
Dit biedt u drie manieren om servers toe te voegen aan de pool voor gebruik of groepering:
Active Directory-zoekopdrachten (maakt gebruik van LDAP, vereist dat de computers deel uitmaken van een domein, maakt filteren van het besturingssysteem mogelijk en ondersteunt jokertekens)
DNS-zoekopdracht (maakt gebruik van DNS-alias of IP-adres via ARP- of NetBIOS-broadcast of WINS-zoekactie, staat geen filtering van het besturingssysteem of ondersteuning voor jokertekens toe)
Importeren (maakt gebruik van een lijst met servers gescheiden door CR/LF)
Klik op Nu zoeken als u een lijst wilt retourneren met servers uit hetzelfde Active Directory-domein waaraan de computer is gekoppeld. Klik op een of meer servernamen uit de lijst met servers. Klik op de pijl-rechts om de servers toe te voegen aan de geselecteerde lijst. Gebruik het dialoogvenster Servers toevoegen om geselecteerde servers toe te voegen aan dashboardrolgroepen. Of klik op Beheren en klik vervolgens op Servergroep maken of klik op de tegel Serverbeheer maken op het dashboard om aangepaste servergroepen te maken.
Note
De procedure Servers toevoegen valideert niet of een server online of toegankelijk is. Onbereikbare servers worden echter gemarkeerd in de weergave Beheer in Serverbeheer bij de volgende vernieuwing.
U kunt rollen op afstand installeren op alle Windows Server 2012-computers die aan de pool zijn toegevoegd, zoals weergegeven:
U kunt servers met besturingssystemen die ouder zijn dan Windows Server 2012 niet volledig beheren. Met de selectie Functies en onderdelen toevoegen wordt de ServerManager Windows PowerShell-module Install-WindowsFeature uitgevoerd.
U kunt ook het Serverbeheer-dashboard op een bestaande domeincontroller gebruiken om AD DS-installatie op een externe server te selecteren, waarbij de rol al is voorgekozen, door met de rechtermuisknop op de AD DS-dashboardtegel te klikken en AD DS toevoegen aan een andere server te selecteren. Hiermee wordt Install-WindowsFeature AD-Domain-Services aanroepen.
De computer waarop u Server Manager gebruikt, zorgt ervoor dat hij zichzelf automatisch groepeert. Als u de AD DS-rol hier wilt installeren, klikt u op het menu Beheren en klikt u op Functies en onderdelen toevoegen.
Installatietype
Het dialoogvenster Installatietype biedt een optie die Geen ondersteuning biedt voor Active Directory Domain Services: de installatie op basis van extern bureaublad-services. Met deze optie is extern bureaublad-service alleen toegestaan in een gedistribueerde workload met meerdere servers. Als u deze optie selecteert, kan AD DS niet worden geïnstalleerd.
Laat de standaardselectie altijd aanwezig bij het installeren van AD DS: rollengebaseerde of functiegebaseerde installatie.
Serverselectie
Met het dialoogvenster Serverselectie kunt u kiezen uit een van de servers die eerder aan de groep zijn toegevoegd, zolang deze toegankelijk is. De lokale server waarop Serverbeheer wordt uitgevoerd, is automatisch beschikbaar.
Daarnaast kunt u offline Hyper-V VHD-bestanden selecteren met het Besturingssysteem Windows Server 2012 en Serverbeheer voegt de functie rechtstreeks via onderdeelonderhoud toe. Hiermee kunt u virtuele servers inrichten met de benodigde onderdelen voordat u ze verder configureert.
Serverfuncties en -onderdelen
Selecteer de rol Active Directory Domain Services als u een domeincontroller wilt promoveren. Alle Active Directory-beheerfuncties en vereiste services worden automatisch geïnstalleerd, zelfs als deze deel uitmaken van een andere functie of niet worden weergegeven in de interface van Serverbeheer.
Serverbeheer geeft ook een informatievenster weer waarin wordt getoond welke beheerfuncties deze rol impliciet installeert; dit is gelijk aan het argument -IncludeManagementTools .
Schermopname die de pagina Functies toont in de wizard Rollen en functies toevoegen.
Aanvullende functies kunnen hier naar wens worden toegevoegd.
Domeindiensten van Active Directory
Het dialoogvenster Active Directory Domain Services biedt beperkte informatie over vereisten en aanbevolen procedures. Het fungeert voornamelijk als bevestiging dat u de AD DS-rol hebt gekozen " als dit scherm niet wordt weergegeven, u hebt AD DS niet geselecteerd.
Confirmation
Het bevestigingsvenster is het laatste controlepunt voordat de installatie van de rol wordt gestart. Het biedt een optie om de computer indien nodig opnieuw op te starten na de installatie van de functie, maar AD DS-installatie vereist geen herstart.
Door op Installeren te klikken, bevestigt u dat u klaar bent om de installatie van de functie te starten. U kunt een installatie van een rol niet annuleren nadat deze is gestart.
Results
In het dialoogvenster Resultaten ziet u de huidige voortgang van de installatie en de huidige installatiestatus. De installatie van de rol gaat door, ongeacht of Server Manager is gesloten.
Het controleren van de installatieresultaten is nog steeds een best practice. Als u het dialoogvenster Resultaten sluit voordat de installatie is voltooid, kunt u de resultaten controleren met behulp van de meldingsvlag Serverbeheer. Serverbeheer geeft ook een waarschuwingsbericht weer voor servers die de AD DS-rol hebben geïnstalleerd, maar die niet verder zijn geconfigureerd als domeincontrollers.
Taakmeldingen
AD DS-details
Taakdetails
Niveau verhogen naar domeincontroller
Aan het einde van de installatie van de AD DS-rol kunt u de configuratie voortzetten door de koppeling Deze server promoveren naar een domeincontroller te gebruiken. Dit is vereist om de server een domeincontroller te maken, maar is niet nodig om de configuratiewizard onmiddellijk uit te voeren. U wilt bijvoorbeeld alleen servers inrichten met de binaire AD DS-bestanden voordat u ze naar een ander filiaal verzendt voor latere configuratie. Door de AD DS-rol toe te voegen voordat deze wordt verzonden, bespaart u tijd wanneer deze de bestemming bereikt. U volgt ook de aanbevolen procedure om een domeincontroller dagen of weken niet offline te houden. Ten slotte kunt u hiermee onderdelen bijwerken voordat de domeincontrollerpromotie plaatsvindt, waardoor u ten minste één volgende herstart kunt besparen.
Als u deze koppeling later selecteert, worden de addsDeployment-cmdlets aangeroepen: install-addsforest, install-addsdomain of install-addsdomaincontroller.
Uninstalling/Disabling
U verwijdert de AD DS-rol zoals elke andere rol, ongeacht of u de server naar een domeincontroller hebt gepromoveerd. Het verwijderen van de AD DS-rol vereist echter opnieuw opstarten bij voltooiing.
Het verwijderen van active Directory Domain Services-rollen verschilt van de installatie, omdat hiervoor domeincontrollerdegradatie is vereist voordat deze kan worden voltooid. Dit is nodig om te voorkomen dat een domeincontroller binaire rolbestanden verwijdert zonder dat de juiste metagegevens worden opgeschoond in het forest. Voor meer informatie, zie Demoting Domain Controllers and Domains (Niveau 200).
Warning
Het verwijderen van de AD DS-rollen met Dism.exe of de Windows PowerShell DISM-module na promotie naar een domeincontroller wordt niet ondersteund en voorkomt dat de server normaal wordt opgestart.
In tegenstelling tot Serverbeheer of de AD DS Deployment-module voor Windows PowerShell is DISM een systeemeigen servicesysteem dat geen inherente kennis van AD DS of de configuratie ervan heeft. Gebruik geen Dism.exe of de Windows PowerShell DISM-module om de AD DS-functie te verwijderen, tenzij de server geen domeincontroller meer is.
Een AD DS-foresthoofddomein maken met Serverbeheer
In het volgende diagram ziet u het configuratieproces van Active Directory Domain Services, in het geval dat u de AD DS-rol eerder hebt geïnstalleerd en de wizard Active Directory Domain Services-configuratie hebt gestart met Serverbeheer.
Implementatieconfiguratie
Serverbeheer begint elke domeincontrollerpromotie met de pagina Implementatieconfiguratie . De resterende opties en vereiste velden worden op deze pagina en volgende pagina's gewijzigd, afhankelijk van de implementatiebewerking die u selecteert.
Als u een nieuw Active Directory-forest wilt maken, klikt u op Een nieuw forest toevoegen. U moet een geldige hoofddomeinnaam opgeven; de naam mag niet met één label worden gelabeld (de naam moet bijvoorbeeld contoso.com of vergelijkbaar zijn en niet alleen contoso) en moet toegestane DNS-domeinnaamvereisten gebruiken.
Zie KB-artikel Naamconventies in Active Directory voor computers, domeinen, sites en OE's voor meer informatie over geldige domeinnamen.
Warning
Maak geen nieuwe Active Directory-forests met dezelfde naam als een externe DNS-naam. Als uw INTERNET-DNS-URL bijvoorbeeld is https://contoso.com, moet u een andere naam voor uw interne forest kiezen om toekomstige compatibiliteitsproblemen te voorkomen. Deze naam moet uniek en onwaarschijnlijk zijn voor webverkeer. Bijvoorbeeld: corp.contoso.com.
Een nieuw forest heeft geen nieuwe referenties nodig voor het beheerdersaccount van het domein. Het promotieproces van de domeincontroller gebruikt de referenties van het ingebouwde Administrator-account van de eerste domeincontroller die wordt gebruikt om de bosroot te maken. Er is geen manier (standaard) om het ingebouwde Administrator-account uit te schakelen of te vergrendelen en het kan het enige toegangspunt in een forest zijn als de andere beheerdersdomeinaccounts onbruikbaar zijn. Het is essentieel om het wachtwoord te kennen voordat u een nieuw forest implementeert.
DomainName vereist een geldige fully qualified domain DNS-naam en is vereist.
Opties voor domeincontroller
Met de domeincontrolleropties kunt u het functionele forestniveau en het functionele domeinniveau voor het nieuwe foresthoofddomein configureren. Deze instellingen zijn standaard Windows Server 2012 in een nieuw foresthoofddomein. Het functionele niveau van het Windows Server 2012-forest biedt geen nieuwe functionaliteit ten opzichte van het functionele niveau van het Windows Server 2008 R2-forest. Het functionele niveau van het Windows Server 2012-domein is alleen vereist om de nieuwe Kerberos-instellingen 'altijd claims verstrekken' en 'verificatieaanvragen zonder bescherming laten mislukken' te implementeren. Een primair gebruik voor functionele niveaus in Windows Server 2012 is het beperken van deelname aan het domein aan domeincontrollers die voldoen aan de minimaal toegestane besturingssysteemvereisten. Met andere woorden, u kunt het domeinfunctionele niveau van Windows Server 2012 specificeren, waarbij alleen domeincontrollers die Windows Server 2012 draaien het domein kunnen hosten. Windows Server 2012 implementeert een nieuwe domeincontrollervlag met de naam DS_WIN8_REQUIRED in de functie DSGetDcName van NetLogon die uitsluitend Windows Server 2012-domeincontrollers zoekt. Met deze mogelijkheid kunt u kiezen voor een meer homogeen of heterogeen domeinlandschap, afhankelijk van welke besturingssystemen toegestaan zijn voor uitvoering op domeincontrollers.
Raadpleeg Directory Service Functions voor meer informatie over de locatie van de domeincontroller.
De enige configureerbare domeincontrollermogelijkheid is de optie DNS-server. Microsoft raadt aan dat alle domeincontrollers DNS-services bieden voor hoge beschikbaarheid in gedistribueerde omgevingen. Daarom wordt deze optie standaard geselecteerd bij het installeren van een domeincontroller in een modus of domein. De algemene catalogus en alleen-lezen domeincontrolleropties zijn niet beschikbaar bij het maken van een nieuw foresthoofddomein; de eerste domeincontroller moet een GC zijn en mag geen alleen-lezen domeincontroller (RODC) zijn.
Het opgegeven wachtwoord voor de herstelmodus van Directory Services moet voldoen aan het wachtwoordbeleid dat is toegepast op de server, wat standaard geen sterk wachtwoord vereist; slechts een niet-lege. Kies altijd een sterk, complex wachtwoord of bij voorkeur een wachtwoordzin.
DNS-opties en DNS-delegatiegegevens
Op de pagina DNS-opties kunt u DNS-delegering configureren en alternatieve DNS-beheerdersreferenties opgeven.
U kunt geen DNS-opties of delegatie configureren in de wizard Active Directory Domain Services-configuratie bij het installeren van een nieuw Active Directory-foresthoofddomein waar u de DNS-server hebt geselecteerd op de pagina Opties voor domeincontroller . De optie DNS-delegering maken is beschikbaar bij het maken van een nieuwe DNS-foresthoofdzone in een bestaande DNS-serverinfrastructuur. Met deze optie kunt u alternatieve DNS-beheerdersreferenties opgeven die over de rechten beschikken om de DNS-zone bij te werken.
Zie Understanding Zone Delegationvoor meer informatie over of u een DNS-delegatie moet maken.
Aanvullende opties
Op de pagina Extra opties ziet u de NetBIOS-naam van het domein en kunt u deze overschrijven. Standaard komt de NetBIOS-domeinnaam overeen met het meest linkse label van de volledig gekwalificeerde domeinnaam die is opgegeven op de pagina Implementatieconfiguratie . Als u bijvoorbeeld de volledig gekwalificeerde domeinnaam van corp.contoso.com hebt opgegeven, is de standaard NetBIOS-domeinnaam CORP.
Als de naam 15 tekens of minder is en niet conflicteert met een andere NetBIOS-naam, is deze ongewijzigd. Als deze conflicteert met een andere NetBIOS-naam, wordt er een getal toegevoegd aan de naam. Als de naam langer is dan 15 tekens, biedt de wizard een unieke, afgekapte suggestie. In beide gevallen valideert de wizard eerst dat de naam nog niet in gebruik is via een WINS-zoekactie en NetBIOS-uitzending.
Zie KB-artikel Naamconventies in Active Directory voor computers, domeinen, sites en OE's voor meer informatie over geldige domeinnamen.
Paths
Op de pagina Paden kunt u de standaardmaplocaties van de AD DS-database, de databasetransactielogboeken en de SYSVOL-share overschrijven. De standaardlocaties bevinden zich altijd in submappen van %systemroot% (bijvoorbeeld C:\Windows).
Opties controleren en script weergeven
Op de pagina Opties controleren kunt u uw instellingen valideren en ervoor zorgen dat deze voldoen aan uw vereisten voordat u de installatie start. Dit is niet de laatste mogelijkheid om de installatie te stoppen bij het gebruik van Serverbeheer. Dit is gewoon een optie om uw instellingen te bevestigen voordat u doorgaat met de configuratie
De pagina Opties controleren in Serverbeheer biedt ook een optionele knop Script weergeven om een Unicode-tekstbestand te maken dat de huidige ADDSDeployment-configuratie bevat als één Windows PowerShell-script. Hiermee kunt u de grafische interface serverbeheer gebruiken als een Windows PowerShell-implementatiestudio. Gebruik de wizard voor het configureren van Active Directory Domain Services om opties te configureren, de configuratie te exporteren en vervolgens de wizard af te sluiten. Met dit proces maakt u een geldig en syntactisch correct voorbeeld voor verdere wijziging of direct gebruik. Voorbeeld:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Serverbeheer vult over het algemeen alle argumenten in met waarden bij het promoveren en is niet afhankelijk van standaardwaarden (omdat deze kunnen veranderen tussen toekomstige versies van Windows of servicepacks). De enige uitzondering hierop is het argument -safemodeadministratorpassword (dat opzettelijk uit het script wordt weggelaten). Als u een bevestigingsprompt wilt afdwingen, laat u de waarde weg wanneer u de cmdlet interactief uitvoert.
Controle van vereisten
De controle van vereisten is een nieuwe functie in de configuratie van het AD DS-domein. Deze nieuwe fase valideert dat de serverconfiguratie een nieuw AD DS-forest kan ondersteunen.
Wanneer u een nieuw rootforest-domein installeert, roept de Serverbeheer Active Directory Domain Services Configuratiewizard een reeks modulaire tests aan. Deze tests waarschuwen u met voorgestelde herstelopties. U kunt de tests zo vaak uitvoeren als nodig is. Het proces van de domeincontroller kan pas worden voortgezet als alle vereiste tests zijn geslaagd.
Met de controle van vereisten worden ook relevante informatie weergegeven, zoals beveiligingswijzigingen die van invloed zijn op oudere besturingssystemen.
Zie Vereisten controleren voor meer informatie over de specifieke vereistencontroles.
Installation
Wanneer de installatiepagina wordt weergegeven, wordt de configuratie van de domeincontroller gestart en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en worden naar logboeken geschreven:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
U kunt meerdere functie-installatie- en AD DS-configuratiewizards uitvoeren vanuit dezelfde Serverbeheer-console tegelijk.
Results
Op de pagina Resultaten ziet u het succes of falen van de promotie en belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.
Een forest implementeren met Windows PowerShell
In deze sectie wordt uitgelegd hoe u de eerste domeincontroller in een foresthoofddomein installeert met Behulp van Windows PowerShell op een Core Windows Server 2012-computer.
Installatieproces voor Windows PowerShell AD DS-rol
Door enkele eenvoudige ServerManager-implementatie-cmdlets te implementeren in uw implementatieprocessen, realiseert u zich verder met de visie van vereenvoudigd AD DS-beheer.
In de volgende afbeelding ziet u het installatieproces van de active Directory Domain Services-functie, beginnend met het uitvoeren van PowerShell.exe en eindigend vlak voor de promotie van de domeincontroller.
| ServerManager-cmdlet | Argumenten (vetgedrukte argumenten zijn vereist. Cursieve argumenten kunnen worden opgegeven met Behulp van Windows PowerShell of de wizard AD DS-configuratie.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
Hoewel dit niet vereist is, wordt het argument -IncludeManagementTools ten zeerste aanbevolen bij het installeren van de binaire bestanden van de AD DS-rol
De ServerManager-module bevat onderdelen voor de installatie, status en verwijdering van functies van de nieuwe DISM-module voor Windows PowerShell. Deze lagen vereenvoudigt de meeste taken en vermindert de behoefte aan direct gebruik van de krachtige (maar gevaarlijk wanneer misbruikt) DISM-module.
Gebruik Get-Command om de aliassen en cmdlets in ServerManager te exporteren.
Get-Command -module ServerManager
Voorbeeld:
Als u de rol Active Directory Domain Services wilt toevoegen, voert u de functie Install-WindowsFeature uit met de naam van de AD DS-rol als argument. Net als Serverbeheer worden alle vereiste services automatisch geïnstalleerd voor de AD DS-functie.
Install-WindowsFeature -name AD-Domain-Services
Als u ook wilt dat de AD DS-beheerhulpprogramma's zijn geïnstalleerd en dit wordt ten zeerste aanbevolen, geeft u het argument -IncludeManagementTools op:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Voorbeeld:
Als u alle functies en rollen met hun installatiestatus wilt weergeven, gebruikt u Get-WindowsFeature zonder argumenten. Geef het argument -ComputerName op voor de installatiestatus van een externe server.
Get-WindowsFeature
Omdat Get-WindowsFeature geen filtermechanisme heeft, moet u Where-Object met een pijplijn gebruiken om specifieke functies te vinden. De pijplijn is een kanaal dat wordt gebruikt tussen meerdere cmdlets om gegevens door te geven en de Where-Object cmdlet fungeert als een filter. De ingebouwde variabele $_ fungeert als het huidige object dat door de pijplijn wordt doorgegeven, met alle eigenschappen die het kan bevatten.
Get-WindowsFeature | where-object <options>
Als u bijvoorbeeld alle functies wilt zoeken die 'Active Dir' bevatten in de eigenschap Weergavenaam , gebruikt u:
Get-WindowsFeature | where displayname -like "*active dir*"
Hieronder ziet u nog meer voorbeelden:
Zie Pijplijnen en de pijplijn in Windows PowerShell voor meer informatie over windows PowerShell-bewerkingen met pijplijnen en where-object.
Houd er ook rekening mee dat Windows PowerShell 3.0 de opdrachtregelargumenten die nodig zijn voor deze pijplijnbewerking aanzienlijk vereenvoudigd. Windows PowerShell 2.0 zou vereist zijn:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Met behulp van de Windows PowerShell-pijplijn kunt u leesbare resultaten maken. Voorbeeld:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Let op hoe het gebruik van de cmdlet Select-Object met het argument -expandproperty interessante gegevens retourneert:
Note
Het argumentSelect-Object -expandproperty vertraagt de algehele installatieprestaties enigszins.
Een AD DS-foresthoofddomein maken met Windows PowerShell
Als u een nieuw Active Directory-forest wilt installeren met behulp van de module ADDSDeployment, gebruikt u de volgende cmdlet:
Install-addsforest
De cmdlet Install-AddsForest heeft slechts twee fasen (controle van vereisten en installatie). In de onderstaande afbeeldingen ziet u de installatiefase met het minimaal vereiste argument van -domeinnaam.
| ADDSDeployment-cmdlet | Argumenten (vetgedrukte argumenten zijn vereist. Cursieve argumenten kunnen worden opgegeven met Behulp van Windows PowerShell of de wizard AD DS-configuratie.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
Het argument -DomainNetBIOSName is vereist als u de automatisch gegenereerde naam van 15 tekens wilt wijzigen op basis van het voorvoegsel van de DNS-domeinnaam of als de naam langer is dan 15 tekens.
De equivalente cmdlet en argumenten voor serverbeheerimplementatieconfiguratie ADDSDeployment zijn:
Install-ADDSForest
-DomainName <string>
De equivalente cmdlet-argumenten voor serverbeheerdomeincontrolleropties ADDSDeployment zijn:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
De install-ADDSForest-argumenten volgen dezelfde standaardwaarden als Serverbeheer als deze niet zijn opgegeven.
De bewerking van het argument SafeModeAdministratorPassword is speciaal:
Als dit niet als argument is opgegeven , wordt u door de cmdlet gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit is het voorkeursgebruik bij het interactief uitvoeren van de cmdlet.
Als u bijvoorbeeld een nieuw forest wilt maken met de naam corp.contoso.com en wordt u gevraagd een gemaskeerd wachtwoord in te voeren en te bevestigen:
Install-ADDSForest "DomainName corp.contoso.comAls u hebt opgegeven met een waarde, moet de waarde een beveiligde tekenreeks zijn. Dit is niet het voorkeursgebruik wanneer u de cmdlet interactief uitvoert.
U kunt bijvoorbeeld handmatig om een wachtwoord vragen met behulp van de cmdlet Read-Host om de gebruiker om een beveiligde tekenreeks te vragen:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Aangezien de vorige optie het wachtwoord niet bevestigt, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.
U kunt ook een beveiligde tekenreeks opgeven als een geconverteerde variabele voor duidelijke tekst, hoewel dit sterk wordt afgeraden.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Ten slotte kunt u het verborgen wachtwoord opslaan in een bestand en het later opnieuw gebruiken, zonder dat het wachtwoord voor duidelijke tekst ooit wordt weergegeven. Voorbeeld:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Het is niet raadzaam om een duidelijk of verborgen tekstwachtwoord op te geven of op te slaan. Iedereen die deze opdracht uitvoert in een script of over uw schouder kijkt, kent het DSRM-wachtwoord van die domeincontroller. Iedereen met toegang tot het bestand kan dat verborgen wachtwoord omkeren. Met die kennis kunnen ze zich aanmelden bij een DC die is gestart in DSRM en uiteindelijk de domeincontroller zelf imiteren, waardoor hun bevoegdheden worden verhoogd naar het hoogste niveau in een Active Directory-forest. Een extra set stappen met System.Security.Cryptography voor het versleutelen van de tekstbestandsgegevens is raadzaam, maar valt buiten het bereik. De best practice is om wachtwoordopslag volledig te voorkomen.
De cmdlet ADDSDeployment biedt een extra optie om automatische configuratie van DNS-clientinstellingen, doorstuurservers en basishints over te slaan. U kunt deze configuratieoptie niet overslaan wanneer u Serverbeheer gebruikt. Dit argument is alleen van belang als u de DNS-serverfunctie hebt geïnstalleerd voordat u de domeincontroller configureert:
-SkipAutoConfigureDNS
De bewerking DomainNetBIOSName is ook speciaal:
Als het argument DomainNetBIOSName niet is opgegeven met een NetBIOS-domeinnaam en de domeinnaam voor het voorvoegsel met één label in het argument DomainName 15 tekens of minder is, wordt de promotie voortgezet met een automatisch gegenereerde naam.
Als het argument DomainNetBIOSName niet is opgegeven met een NetBIOS-domeinnaam en de domeinnaam voor het voorvoegsel met één label in het argument DomainName 16 tekens of meer is, mislukt de promotie.
Als het argument DomainNetBIOSName is opgegeven met een NetBIOS-domeinnaam van 15 tekens of minder, gaat de promotie verder met die opgegeven naam.
Als het argument DomainNetBIOSName is opgegeven met een NetBIOS-domeinnaam van 16 tekens of meer, mislukt de promotie.
Het equivalente cmdlet-argument addsDeployment met extra opties voor Serverbeheer is:
-domainnetbiosname <string>
De equivalente cmdlet-argumenten voor serverbeheerpaden ADDSDeployment zijn:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Gebruik het optionele Whatif-argument met de cmdlet Install-ADDSForest om configuratiegegevens te controleren. Hiermee kunt u de expliciete en impliciete waarden van de argumenten van een cmdlet bekijken.
Voorbeeld:
U kunt de controle van vereisten niet omzeilen wanneer u Serverbeheer gebruikt, maar u kunt het proces overslaan wanneer u de CMDLET AD DS-implementatie gebruikt met het volgende argument:
-skipprechecks
Warning
Microsoft ontmoedigt het overslaan van de controle van vereisten, omdat dit kan leiden tot een gedeeltelijke promotie van domeincontrollers of een beschadigd AD DS-forest.
Zoals serverbeheer, herinnert Install-ADDSForest u eraan dat de promotie de server automatisch opnieuw opstart.
Als u de prompt voor opnieuw opstarten automatisch wilt accepteren, gebruikt u de argumenten -force of -confirm:$false met een ADDSDeployment Windows PowerShell-cmdlet. Gebruik het argument -norebootoncompletion om te voorkomen dat de server automatisch opnieuw wordt opgestart aan het einde van de promotie.
Warning
Het omzeilen van het opnieuw opstarten wordt afgeraden. De domeincontroller moet opnieuw worden opgestart om correct te kunnen functioneren.
Zie ook
Active Directory Domain Services (TechNet-portal)Active Directory Domain Services voor Windows Server 2008 R2Active Directory Domain Services voor Windows Server 2008Windows Server Technical Reference (Windows Server 2003)Active Directory-beheercentrum: Aan de slag (Windows Server 2008 R2)Active Directory-beheer met Windows PowerShell (Windows Server 2008 R2)Vraag het team van Directory Services (officiële commerciële technische ondersteuningsblog van Microsoft)