Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este tópico explica o novo recurso de promoção do controlador de domínio dos Serviços de Domínio Ative Directory do Windows Server 2012 em um nível introdutório. No Windows Server 2012, o AD DS substitui a ferramenta Dcpromo por um Gerenciador de Servidores e um sistema de implantação baseado no Windows PowerShell.
Administração simplificada dos Serviços de Domínio Ative Directory
O Windows Server 2012 apresenta a próxima geração de Administração Simplificada dos Serviços de Domínio Ative Directory e é a revisão de domínio mais radical desde o Windows 2000 Server. A Administração Simplificada do AD DS aproveita as lições aprendidas em doze anos de Ative Directory e proporciona uma experiência administrativa mais suportável, mais flexível e mais intuitiva para arquitetos e administradores. Isso significou criar novas versões de tecnologias existentes, bem como estender os recursos dos componentes lançados no Windows Server 2008 R2.
O que é a Administração Simplificada do AD DS?
A Administração Simplificada do AD DS é uma reimaginação da implantação de domínio. Alguns desses recursos incluem:
A implantação da função AD DS agora faz parte da nova arquitetura do Gerenciador do Servidor e permite a instalação remota.
O mecanismo de implantação e configuração do AD DS agora é o Windows PowerShell, mesmo ao usar uma configuração gráfica.
Agora, a promoção inclui a verificação de pré-requisitos que valida a prontidão da floresta e do domínio para o novo controlador de domínio, reduzindo a probabilidade de promoções falhadas.
O nível funcional de floresta do Windows Server 2012 não implementa novos recursos e o nível funcional de domínio é necessário apenas para um subconjunto de novos recursos Kerberos, aliviando os administradores da necessidade frequente de um ambiente de controlador de domínio homogêneo.
Finalidade e Benefícios
Estas alterações podem parecer mais complexas e não mais simples. No entanto, ao redesenhar o processo de implantação do AD DS, houve a oportunidade de unir muitas etapas e práticas recomendadas em menos ações mais fáceis. Isso significa, por exemplo, que a configuração gráfica de um novo controlador de domínio de réplica agora é de oito caixas de diálogo em vez das doze anteriores. Criar uma nova floresta do Ative Directory requer um único comando do Windows PowerShell com apenas um argumento: o nome do domínio.
Por que há tanta ênfase no Windows PowerShell no Windows Server 2012? À medida que a computação distribuída evolui, o Windows PowerShell permite um único mecanismo para configuração e manutenção a partir de interfaces gráficas e de linha de comando. Ele permite scripts completos de qualquer componente com a mesma cidadania de primeira classe para um profissional de TI que uma API concede aos desenvolvedores. À medida que a computação baseada em nuvem se torna onipresente, o Windows PowerShell também finalmente traz a capacidade de administrar remotamente um servidor, onde um computador sem interface gráfica tem os mesmos recursos de gerenciamento que um com monitor e mouse.
Um administrador veterano do AD DS deve considerar seu conhecimento anterior altamente relevante. Um administrador iniciante encontrará uma curva de aprendizado muito mais rasa.
Visão Geral Técnica
O que você deve saber antes de começar
Este tópico pressupõe familiaridade com versões anteriores dos Serviços de Domínio Ative Directory e não fornece detalhes fundamentais sobre sua finalidade e funcionalidade. Para obter mais informações sobre o AD DS, consulte as páginas do Portal TechNet vinculadas abaixo:
Serviços de Domínio Ative Directory para Windows Server 2008 R2
Serviços de Domínio Ative Directory para Windows Server 2008
Descrições Funcionais
Instalação da função AD DS
A instalação dos Serviços de Domínio Ative Directory usa o Gerenciador do Servidor e o Windows PowerShell, como todas as outras funções e recursos de servidor no Windows Server 2012. O programa Dcpromo.exe não fornece mais opções de configuração GUI.
Use um assistente gráfico no Gerenciador do Servidor ou no módulo ServerManager para Windows PowerShell em instalações locais e remotas. Ao executar várias instâncias desses assistentes ou cmdlets e direcionar servidores diferentes, você pode implantar o AD DS em vários controladores de domínio simultaneamente, tudo a partir de um único console. Embora esses novos recursos não sejam compatíveis com versões anteriores do Windows Server 2008 R2 ou sistemas operacionais anteriores, você também pode usar o aplicativo Dism.exe introduzido no Windows Server 2008 R2 para instalação de função local a partir da linha de comando clássica.
Configuração da Função do AD DS
A configuração dos Serviços de Domínio Active Directory, anteriormente conhecida como DCPROMO, é agora uma operação separada da instalação da função. Depois de instalar a função AD DS, um administrador configura o servidor como um controlador de domínio usando um assistente separado no Gerenciador do Servidor ou usando o módulo ADDSDeployment do Windows PowerShell.
A configuração da função do AD DS baseia-se em doze anos de experiência de campo e agora configura controladores de domínio com base nas práticas recomendadas mais recentes da Microsoft. Por exemplo, o Sistema de Nomes de Domínio e os Catálogos Globais são instalados por padrão em cada controlador de domínio.
O assistente de configuração do AD DS do Gestor de Servidor combina muitas caixas de diálogo individuais em menos solicitações e não oculta mais as definições num modo "avançado". Todo o processo de promoção está em uma caixa de diálogo de expansão durante a instalação. O assistente e o módulo ADDSDeployment do Windows PowerShell mostram alterações notáveis e preocupações de segurança, com links para mais informações.
O Dcpromo.exe permanece no Windows Server 2012 apenas para instalações autônomas de linha de comando e não executa mais o assistente de instalação gráfica. É altamente recomendável que você interrompa o uso do Dcpromo.exe para instalações autônomas e o substitua pelo módulo ADDSDeployment, pois o executável agora preterido não será incluído na próxima versão do Windows.
Esses novos recursos não são compatíveis com versões anteriores do Windows Server 2008 R2 ou sistemas operacionais mais antigos.
Important
Dcpromo.exe não contém mais um assistente gráfico e não instala mais binários de função ou recurso. A tentativa de executar Dcpromo.exe a partir do shell do Explorer retorna:
"O Assistente de Instalação dos Serviços de Domínio Ative Directory é realocado no Gerenciador do Servidor. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=220921."
A tentativa de executar Dcpromo.exe /unattend ainda instala os binários, como nos sistemas operacionais anteriores, mas avisa:
A operação não assistida dcpromo é substituída pelo módulo ADDSDeployment para Windows PowerShell. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkId=220924."
O Windows Server 2012 substitui dcpromo.exe e não será incluído em versões futuras do Windows, nem receberá aprimoramentos adicionais neste sistema operacional. Os administradores devem interromper seu uso e alternar para os módulos suportados do Windows PowerShell se desejarem criar controladores de domínio a partir da linha de comando.
Verificação de pré-requisitos
A configuração do controlador de domínio também implementa uma fase de verificação de pré-requisitos que avalia a floresta e o domínio antes de continuar com a promoção do controlador de domínio. Isso inclui disponibilidade de função FSMO, privilégios de usuário, compatibilidade de esquema estendida e outros requisitos. Esse novo design alivia problemas em que a promoção do controlador de domínio é iniciada e, em seguida, para no meio do caminho com um erro de configuração fatal. Isso diminui a chance de metadados órfãos do controlador de domínio na floresta ou em um servidor que acredita incorretamente que é um controlador de domínio.
Implantando uma floresta com o Gerenciador do Servidor
Esta seção explica como instalar o primeiro controlador de domínio em um domínio raiz de floresta usando o Gerenciador do Servidor em um computador gráfico com Windows Server 2012.
Processo de instalação da função AD DS do Gerenciador do Servidor
O diagrama abaixo ilustra o processo de instalação da função Serviços de Domínio Ative Directory, começando com você executando ServerManager.exe e terminando logo antes da promoção do controlador de domínio.
Pool de servidores e adicionar funções
Todos os computadores com Windows Server 2012 acessíveis a partir do computador que executa o Gerenciador do Servidor são elegíveis para pooling. Uma vez agrupados, selecione esses servidores para instalação remota do AD DS ou quaisquer outras opções de configuração possíveis no Gerenciador do Servidor.
Para adicionar servidores, escolha uma das seguintes opções:
Clique em Adicionar Outros Servidores para Gerenciar no bloco de boas-vindas do painel
Clique no menu Gerenciar e selecione Adicionar servidores
Clique com o botão direito do mouse em Todos os Servidores e escolha Adicionar Servidores
Isso abre a caixa de diálogo Adicionar servidores:
Isso oferece três maneiras de adicionar servidores ao pool para uso ou agrupamento:
Pesquisa do Ative Directory (usa LDAP, requer que os computadores pertençam a um domínio, permite filtragem do sistema operacional e suporta curingas)
Pesquisa de DNS (utiliza alias DNS ou endereço IP via difusão ARP ou NetBIOS ou consulta WINS, não permite filtragem do sistema operativo nem suporta curingas)
Importar (usa uma lista de arquivos de texto de servidores separados por CR/LF)
Clique em Localizar agora para retornar uma lista de servidores do mesmo domínio do Ative Directory ao qual o computador está associado, clique em um ou mais nomes de servidor na lista de servidores. Clique na seta para a direita para adicionar os servidores à lista Selecionados . Use a caixa de diálogo Adicionar Servidores para adicionar servidores selecionados aos grupos de funções do painel. Ou clique em Gerenciar e, em seguida, clique em Criar Grupo de Servidores ou clique em Criar Grupo de Servidores no painel Bem-vindo ao bloco Gerenciador do Servidor para criar grupos de servidores personalizados.
Note
O procedimento Adicionar Servidores não valida se um servidor está online ou acessível. No entanto, quaisquer servidores sinalizados como inacessíveis na vista de Gerenciabilidade no Gestor de Servidores na próxima atualização.
Você pode instalar funções remotamente em qualquer computador com Windows Server 2012 que tenha adicionado o pool, conforme mostrado:
Não é possível gerenciar totalmente servidores que executam sistemas operacionais anteriores ao Windows Server 2012. A seleção Adicionar Funções e Recursos está a executar o módulo ServerManager do Windows PowerShell Install-WindowsFeature.
Você também pode usar o Painel do Gerenciador do Servidor em um controlador de domínio existente para selecionar a instalação do AD DS do servidor remoto com a função já pré-selecionada clicando com o botão direito do mouse no bloco do painel do AD DS e selecionando Adicionar AD DS a Outro Servidor. Isso é invocar Install-WindowsFeature AD-Domain-Services.
O computador no qual está a executar o Gestor de Servidores agrupa-se automaticamente. Para instalar a função AD DS aqui, basta clicar no menu Gerenciar e em Adicionar Funções e Recursos.
Tipo de Instalação
A caixa de diálogo Tipo de Instalação fornece uma opção que não suporta os Serviços de Domínio Ative Directory: a instalação baseada no cenário dos Serviços de Ambiente de Trabalho Remoto. Essa opção só permite o Serviço de Área de Trabalho Remota em uma carga de trabalho distribuída com vários servidores. Se você selecioná-lo, o AD DS não poderá ser instalado.
Sempre deixe a seleção padrão no lugar ao instalar o AD DS: Instalação baseada em função ou recurso.
Seleção do servidor
A caixa de diálogo Seleção de Servidor permite que você escolha entre um dos servidores adicionados anteriormente ao pool, desde que esteja acessível. O servidor local que executa o Gerenciador do Servidor está automaticamente disponível.
Além disso, você pode selecionar arquivos VHD Hyper-V offline com o sistema operacional Windows Server 2012 e o Gerenciador do Servidor adiciona a função a eles diretamente por meio da manutenção de componentes. Isso permite que você provisione servidores virtuais com os componentes necessários antes de configurá-los ainda mais.
Funções e recursos do servidor
Selecione a função Serviços de Domínio Ative Directory se pretender promover um controlador de domínio. Todos os recursos de administração do Ative Directory e serviços necessários são instalados automaticamente, mesmo que aparentemente façam parte de outra função ou não apareçam selecionados na interface do Gerenciador do Servidor.
O Gerenciador do Servidor também apresenta uma caixa de diálogo informativa que mostra quais recursos de gerenciamento essa função instala implicitamente; isso é equivalente ao argumento -IncludeManagementTools .
Recursos adicionais podem ser adicionados aqui, conforme desejado.
Active Directory Domain Services
A caixa de diálogo Active Directory Domain Services fornece informações limitadas sobre requisitos e práticas recomendadas. Ele atua principalmente como uma confirmação de que você escolheu a função AD DS " se esta tela não aparecer, você não selecionou AD DS.
Confirmation
A caixa de diálogo Confirmação é o ponto de verificação final antes do início da instalação da função. Ele oferece uma opção para reiniciar o computador conforme necessário após a instalação da função, mas a instalação do AD DS não requer uma reinicialização.
Ao clicar em Instalar, você confirma que está pronto para iniciar a instalação da função. Não é possível cancelar uma instalação de função depois que ela começar.
Results
A caixa de diálogo Resultados mostra o progresso atual da instalação e o status atual da instalação. A instalação da função continua independentemente de o Gerenciador do Servidor estar fechado.
Verificar os resultados da instalação ainda é uma prática recomendada. Se você fechar a caixa de diálogo Resultados antes da conclusão da instalação, poderá verificar os resultados usando o sinalizador de notificação do Gerenciador do Servidor. O Gerenciador do Servidor também mostra uma mensagem de aviso para todos os servidores que instalaram a função AD DS, mas não foram configurados como controladores de domínio.
Notificações de tarefas
Detalhes do AD DS
Detalhes da Tarefa
Promover para controlador de domínio
No final da instalação da função AD DS, você pode continuar com a configuração usando o link Promover este servidor para um controlador de domínio . Isso é necessário para tornar o servidor um controlador de domínio, mas não é necessário executar o assistente de configuração imediatamente. Por exemplo, talvez você queira provisionar apenas servidores com os binários do AD DS antes de enviá-los para outra filial para configuração posterior. Ao adicionar a função AD DS antes do envio, você economiza tempo quando ela chega ao destino. Você também segue a prática recomendada de não manter um controlador de domínio offline por dias ou semanas. Finalmente, isso permite que você atualize os componentes antes da promoção do controlador de domínio, salvando pelo menos uma reinicialização subsequente.
Selecionar este link invoca posteriormente os cmdlets ADDSDeployment: install-addsforest, install-addsdomain ou install-addsdomaincontroller.
Uninstalling/Disabling
Você remove a função AD DS como qualquer outra função, independentemente de ter promovido o servidor a um controlador de domínio. No entanto, a remoção da função AD DS requer uma reinicialização após a conclusão.
A remoção da função Active Directory Domain Services é diferente da instalação, pois requer o rebaixamento do controlador de domínio antes de poder ser concluída. Isso é necessário para evitar que um controlador de domínio tenha seus binários de função desinstalados sem a limpeza adequada de metadados na floresta. Para obter mais informações, consulte Rebaixando controladores de domínio e domínios (Nível 200).
Warning
Não há suporte para a remoção das funções do AD DS com o Dism.exe ou o módulo DISM do Windows PowerShell após a promoção para um Controlador de Domínio e impedirá que o servidor inicialize normalmente.
Ao contrário do Gerenciador do Servidor ou do módulo de Implantação do AD DS para Windows PowerShell, o DISM é um sistema de serviço nativo que não tem conhecimento inerente do AD DS ou de sua configuração. Não use o Dism.exe ou o módulo DISM do Windows PowerShell para desinstalar a função AD DS, a menos que o servidor não seja mais um controlador de domínio.
Criar um domínio raiz de floresta do AD DS com o Gerenciador do Servidor
O diagrama a seguir ilustra o processo de configuração dos Serviços de Domínio Ative Directory, no caso de você ter instalado anteriormente a função AD DS e iniciado o Assistente de Configuração dos Serviços de Domínio Ative Directory usando o Gerenciador do Servidor.
Configuração de implantação
O Gerenciador do Servidor inicia cada promoção de controlador de domínio com a página Configuração de Implantação . As opções restantes e os campos obrigatórios mudam nesta página e nas páginas subsequentes, dependendo da operação de implantação selecionada.
Para criar uma nova floresta do Ative Directory, clique em Adicionar uma nova floresta. Você deve fornecer um nome de domínio raiz válido; o nome não pode ser rotulado individualmente (por exemplo, o nome deve ser contoso.com ou semelhante e não apenas contoso) e deve usar os requisitos de nomenclatura de domínio DNS permitidos.
Para obter mais informações sobre os nomes de domínio válidos, consulte o artigo da Base de Dados de Conhecimento Convenções de nomenclatura no Active Directory para computadores, domínios, sites e OUs.
Warning
Não crie novas florestas do Ative Directory com o mesmo nome de um nome DNS externo. Por exemplo, se o URL DNS da Internet for https://contoso.com, tem de escolher um nome diferente para a sua floresta interna para evitar futuros problemas de compatibilidade. Esse nome deve ser exclusivo e pouco provável de ser usado no tráfego da web. Por exemplo: corp.contoso.com.
Uma nova floresta não precisa de novas credenciais para a conta de Administrador do domínio. O processo de promoção do controlador de domínio usa as credenciais da conta de Administrador interna do primeiro controlador de domínio usado para criar a raiz da floresta. Não há como (por padrão) desabilitar ou bloquear a conta de Administrador interna e ela pode ser o único ponto de entrada em uma floresta se as outras contas de domínio administrativo estiverem inutilizáveis. É fundamental saber a senha antes de implantar uma nova floresta.
DomainName requer um nome DNS de domínio totalmente qualificado válido e é necessário.
Opções do controlador de domínio
As Opções do Controlador de Domínio permitem configurar o nível funcional da floresta e o nível funcional do domínio para o novo domínio raiz da floresta. Por padrão, as configurações são para o Windows Server 2012 num novo domínio raiz da floresta. O nível funcional de floresta do Windows Server 2012 não fornece nenhuma nova funcionalidade sobre o nível funcional de floresta do Windows Server 2008 R2. O nível funcional de domínio do Windows Server 2012 é necessário apenas para implementar as novas configurações Kerberos "sempre fornecer reivindicações" e "falhar em solicitações de autenticação desprotegidas". Um uso principal dos níveis funcionais no Windows Server 2012 é restringir a participação no domínio a controladores de domínio que atendam aos requisitos mínimos permitidos do sistema operativo. Em outras palavras, você pode especificar o nível funcional de domínio do Windows Server 2012 somente os controladores de domínio que executam o Windows Server 2012 podem hospedar o domínio. O Windows Server 2012 implementa um novo sinalizador de controlador de domínio chamado DS_WIN8_REQUIRED na função DSGetDcName do NetLogon que localiza exclusivamente controladores de domínio do Windows Server 2012. Isso permite a flexibilidade de uma floresta mais homogênea ou heterogênea em termos de quais sistemas operacionais podem ser executados em controladores de domínio.
Para obter mais informações sobre o local do controlador de domínio, consulte Funções do serviço de diretório.
A única capacidade de controlador de domínio configurável é a opção de servidor DNS. A Microsoft recomenda que todos os controladores de domínio forneçam serviços DNS para alta disponibilidade em ambientes distribuídos, e é por isso que essa opção é selecionada por padrão ao instalar um controlador de domínio em qualquer modo ou domínio. As opções do Catálogo Global e do controlador de domínio somente leitura não estão disponíveis ao criar um novo domínio raiz da floresta; o primeiro controlador de domínio deve ser um GC e não pode ser um controlador de domínio somente leitura (RODC).
A Senha do Modo de Restauração dos Serviços de Diretório especificada deve estar em conformidade com a política de senhas aplicada ao servidor, que, por padrão, não requer uma senha forte; apenas que não esteja em branco. Escolha sempre uma palavra-passe forte e complexa ou, de preferência, uma frase secreta.
Opções de DNS e credenciais de delegação de DNS
A página Opções de DNS permite configurar a delegação de DNS e fornecer credenciais administrativas de DNS alternativas.
Não é possível configurar opções de DNS ou delegação no Assistente de Configuração dos Serviços de Domínio Ative Directory ao instalar um novo Domínio Raiz de Floresta do Ative Directory onde você selecionou o servidor DNS na página Opções do Controlador de Domínio . A opção Criar delegação de DNS está disponível ao criar uma nova zona DNS raiz de floresta em uma infraestrutura de servidor DNS existente. Essa opção permite que você forneça credenciais administrativas de DNS alternativas que tenham os direitos para atualizar a zona DNS.
Para obter mais informações sobre se você precisa criar uma delegação DNS, consulte Noções básicas sobre delegação de zona.
Opções Adicionais
A página Opções Adicionais mostra o nome NetBIOS do domínio e permite que você o substitua. Por padrão, o nome de domínio NetBIOS corresponde ao rótulo mais à esquerda do nome de domínio totalmente qualificado fornecido na página Configuração de Implantação . Por exemplo, se você forneceu o nome de domínio totalmente qualificado de corp.contoso.com, o nome de domínio NetBIOS padrão é CORP.
Se o nome tiver 15 caracteres ou menos e não entrar em conflito com outro nome NetBIOS, ele não será alterado. Se entrar em conflito com outro nome NetBIOS, um número é anexado ao nome. Se o nome tiver mais de 15 caracteres, o assistente fornecerá uma sugestão exclusiva e truncada. Em ambos os casos, o assistente primeiro valida que o nome ainda não está em uso por meio de uma pesquisa WINS e broadcast NetBIOS.
Para obter mais informações sobre os nomes de domínio válidos, consulte o artigo da Base de Dados de Conhecimento Convenções de nomenclatura no Active Directory para computadores, domínios, sites e OUs.
Paths
A página Caminhos permite substituir os locais de pasta padrão do banco de dados AD DS, os logs de transações do banco de dados e o compartilhamento SYSVOL. Os locais padrão estão sempre em subdiretórios de %systemroot% (ou seja, C:\Windows).
Rever Opções e Ver Script
A página Opções de revisão permite validar suas configurações e garantir que elas atendam aos seus requisitos antes de iniciar a instalação. Esta não é a última oportunidade de parar a instalação ao usar o Gerenciador do Servidor. Esta é simplesmente uma opção para confirmar suas configurações antes de continuar a configuração
A página Opções de Revisão no Gerenciador do Servidor também oferece um botão opcional Exibir Script para criar um arquivo de texto Unicode que contém a configuração atual de ADDSDeployment como um único script do Windows PowerShell. Isso permite que você use a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell. Use o Assistente de Configuração dos Serviços de Domínio Ative Directory para configurar opções, exportar a configuração e cancelar o assistente. Este processo cria uma amostra válida e sintaticamente correta para posterior modificação ou uso direto. Por exemplo:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
O Gerenciador do Servidor geralmente preenche todos os argumentos com valores ao promover e não depende de padrões (pois eles podem mudar entre versões futuras do Windows ou service packs). A única exceção a isso é o argumento -safemodeadministratorpassword (que é deliberadamente omitido do script). Para forçar um prompt de confirmação, omita o valor ao executar o cmdlet interativamente.
Verificação de pré-requisitos
A Verificação de Pré-requisitos é um novo recurso na configuração de domínio do AD DS. Esta nova fase valida se a configuração do servidor é capaz de suportar uma nova floresta do AD DS.
Ao instalar um novo domínio raiz de floresta, o Assistente de Configuração dos Serviços de Domínio Active Directory do Gestor de Servidor invoca uma série de testes modulares. Estes testes alertam-no com opções de reparação sugeridas. Você pode executar os testes quantas vezes forem necessárias. O processo do controlador de domínio não pode continuar até que todos os testes de pré-requisito sejam aprovados.
A Verificação de Pré-requisitos também apresenta informações relevantes, como alterações de segurança que afetam sistemas operacionais mais antigos.
Para obter mais informações sobre as verificações de pré-requisitos específicas, consulte Verificação de pré-requisitos.
Installation
Quando a página Instalação é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e gravadas em logs:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
Você pode executar simultaneamente vários assistentes de instalação de funções e configuração do AD DS no mesmo console do Gestor do Servidor.
Results
A página Resultados mostra o sucesso ou fracasso da promoção e qualquer informação administrativa importante. O controlador de domínio será reinicializado automaticamente após 10 segundos.
Implantando uma floresta com o Windows PowerShell
Esta seção explica como instalar o primeiro controlador de domínio em um domínio raiz de floresta usando o Windows PowerShell em um computador principal com Windows Server 2012.
Processo de instalação da função AD DS do Windows PowerShell
Ao implementar alguns cmdlets simples de implantação do ServerManager nos seus processos de implementação, você alcança ainda mais a visão de uma administração simplificada dos serviços de domínio Active Directory (AD DS).
A figura a seguir ilustra o processo de instalação da função Serviços de Domínio Ative Directory, começando com você executandoPowerShell.exe e terminando logo antes da promoção do controlador de domínio.
| ServerManager Cmdlet | Argumentos (argumentos ousados são necessários. Os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
Embora não seja necessário, o argumento -IncludeManagementTools é altamente recomendado ao instalar os binários de função do AD DS
O módulo ServerManager expõe os processos de instalação, estado e remoção de funções do novo módulo DISM para o Windows PowerShell. Essa camada simplifica a maioria das tarefas e reduz a necessidade de uso direto do poderoso (mas perigoso quando mal utilizado) módulo DISM.
Use Get-Command para exportar os aliases e cmdlets no ServerManager.
Get-Command -module ServerManager
Por exemplo:
Para adicionar a função Serviços de Domínio Ative Directory, basta executar o Install-WindowsFeature com o nome da função AD DS como argumento. Como o Gerenciador do Servidor, todos os serviços necessários implícitos à função AD DS são instalados automaticamente.
Install-WindowsFeature -name AD-Domain-Services
Se você também quiser que as ferramentas de gerenciamento do AD DS sejam instaladas - e isso é altamente recomendado - forneça o argumento -IncludeManagementTools :
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Por exemplo:
Para listar todos os recursos e funções com seu status de instalação, use Get-WindowsFeature sem argumentos. Especifique o argumento -ComputerName para o status da instalação de um servidor remoto.
Get-WindowsFeature
Como Get-WindowsFeature não tem um mecanismo de filtragem, você deve usar Where-Object com um pipeline para localizar recursos específicos. O pipeline é um canal usado entre vários cmdlets para passar dados e o cmdlet Where-Object atua como um filtro. A variável $_ interna atua como o objeto atual que passa pelo pipeline com quaisquer propriedades que ele possa conter.
Get-WindowsFeature | where-object <options>
Por exemplo, para localizar todos os recursos que contêm "Ative Dir" em sua propriedade Display Name , use:
Get-WindowsFeature | where displayname -like "*active dir*"
Outros exemplos ilustrados abaixo:
Para obter mais informações sobre mais operações do Windows PowerShell com pipelines e Where-Object, consulte Piping and the Pipeline in Windows PowerShell.
Observe também que o Windows PowerShell 3.0 simplificou significativamente os argumentos de linha de comando necessários nessa operação de pipeline. O Windows PowerShell 2.0 exigiria:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
Usando o pipeline do Windows PowerShell, você pode criar resultados legíveis. Por exemplo:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Observe como o uso do cmdlet Select-Object com o argumento -expandproperty retorna dados interessantes:
Note
O argumento Select-Object -expandproperty diminui ligeiramente o desempenho geral da instalação.
Criar um domínio raiz de floresta do AD DS com o Windows PowerShell
Para instalar uma nova floresta do Ative Directory usando o módulo ADDSDeployment, use o seguinte cmdlet:
Install-addsforest
O cmdlet Install-AddsForest tem apenas duas fases (verificação de pré-requisitos e instalação). As duas figuras abaixo mostram a fase de instalação com o argumento mínimo necessário de -domainname.
| ADDSDeployment Cmdlet | Argumentos (argumentos ousados são necessários. Os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
O argumento -DomainNetBIOSName é necessário se você quiser alterar o nome de 15 caracteres gerado automaticamente com base no prefixo do nome de domínio DNS ou se o nome exceder 15 caracteres.
O cmdlet e os argumentos equivalentes do Server Manager Deployment Configuration ADDSDeployment são:
Install-ADDSForest
-DomainName <string>
Os argumentos equivalentes do cmdlet ADDSDeployment do Server Manager Domain Controller Options são:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Os argumentos Install-ADDSForest seguem os mesmos padrões do Gerenciador do Servidor se não forem especificados.
A operação do argumento SafeModeAdministratorPassword é especial:
Se não for especificado como um argumento, o cmdlet solicitará que você insira e confirme uma senha mascarada. Esse é o uso preferencial ao executar o cmdlet interativamente.
Por exemplo, para criar uma nova floresta chamada corp.contoso.com e ser-lhe solicitado que insira e confirme uma senha mascarada:
Install-ADDSForest "DomainName corp.contoso.comSe especificado com um valor, o valor deve ser uma cadeia de caracteres segura. Esse não é o uso preferencial ao executar o cmdlet interativamente.
Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma cadeia de caracteres segura:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Como a opção anterior não confirma a senha, tenha muito cuidado: a senha não está visível.
Também pode fornecer uma cadeia segura como uma variável de texto simples convertida, embora isso seja altamente desaconselhado.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Finalmente, você pode armazenar a senha ofuscada em um arquivo e, em seguida, reutilizá-la mais tarde, sem que a senha de texto não criptografado apareça. Por exemplo:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Fornecer ou armazenar uma senha de texto clara ou ofuscada não é recomendado. Qualquer pessoa que execute esse comando em um script ou olhe por cima do ombro sabe a senha DSRM desse controlador de domínio. Qualquer pessoa com acesso ao arquivo poderia reverter essa senha ofuscada. Com esse conhecimento, eles podem ligar-se a um controlador de domínio iniciado no DSRM e, eventualmente, representar o próprio controlador de domínio, elevando seus privilégios ao nível mais alto em uma floresta do Active Directory. Um conjunto adicional de etapas usando System.Security.Cryptography para criptografar os dados do arquivo de texto é aconselhável, mas fora do escopo. A melhor prática é evitar totalmente o armazenamento de senhas.
O cmdlet ADDSDeployment oferece uma opção adicional para ignorar a configuração automática das configurações do cliente DNS, encaminhadores e dicas de raiz. Não é possível ignorar essa opção de configuração ao usar o Gerenciador do Servidor. Esse argumento é importante somente se você instalou a função Servidor DNS antes de configurar o controlador de domínio:
-SkipAutoConfigureDNS
A operação DomainNetBIOSName também é especial:
Se o argumento DomainNetBIOSName não for especificado com um nome de domínio NetBIOS e o nome de domínio do prefixo de rótulo único no argumento DomainName tiver 15 caracteres ou menos, a promoção continuará com um nome gerado automaticamente.
Se o argumento DomainNetBIOSName não for especificado com um nome de domínio NetBIOS e o nome de domínio do prefixo de rótulo único no argumento DomainName tiver 16 caracteres ou mais, a promoção falhará.
Se o argumento DomainNetBIOSName for especificado com um nome de domínio NetBIOS de 15 caracteres ou menos, a promoção continuará com esse nome especificado.
Se o argumento DomainNetBIOSName for especificado com um nome de domínio NetBIOS de 16 caracteres ou mais, a promoção falhará.
O argumento equivalente do cmdlet Opções Adicionais ADDSDeployment do Gerenciador do Servidor é:
-domainnetbiosname <string>
Os argumentos equivalentes do cmdlet ADDSDeployment do Server Manager Paths são:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Use o argumento Whatif opcional com o cmdlet Install-ADDSForest para revisar as informações de configuração. Isso permite que você veja os valores explícitos e implícitos dos argumentos de um cmdlet.
Por exemplo:
Não é possível ignorar a Verificação de Pré-requisitos ao usar o Gerenciador do Servidor, mas você pode ignorar o processo ao usar o cmdlet de Implantação do AD DS usando o seguinte argumento:
-skipprechecks
Warning
A Microsoft desencoraja ignorar a verificação de pré-requisitos, pois isso pode levar a uma promoção parcial do controlador de domínio ou a uma floresta AD DS danificada.
Observe como, assim como o Gerenciador do Servidor, o Install-ADDSForest lembra que a promoção reinicializará o servidor automaticamente.
Para aceitar o prompt de reinicialização automaticamente, use os argumentos -force ou -confirm:$false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para impedir que o servidor seja reinicializado automaticamente no final da promoção, use o argumento -norebootoncomplete .
Warning
Ignorar a reinicialização é desencorajado. O controlador de domínio deve reinicializar para funcionar corretamente.
Ver também
Serviços de Domínio Ative Directory (Portal TechNet)Serviços de Domínio Ative Directory para Windows Server 2008 R2Serviços de Domínio Ative Directory para Windows Server 2008Referência técnica do Windows Server (Windows Server 2003)Centro Administrativo do Ative Directory: Introdução (Windows Server 2008 R2)Administração do Ative Directory com o Windows PowerShell (Windows Server 2008 R2)Pergunte à Equipe de Serviços de Diretório (Blog Oficial de Suporte Técnico Comercial da Microsoft)