Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo explica como criar uma conta RODC em estágios e, em seguida, anexar um servidor a essa conta durante a instalação do RODC. Este artigo também explica como instalar um RODC sem executar uma instalação em estágios.
Fase do fluxo de trabalho do RODC
Uma instalação de controlador de domínio de só leitura por etapas (RODC) funciona em duas fases discretas.
Preparar uma conta de computador desocupada
Ligar um RODC a essa conta durante o processo de promoção
O diagrama a seguir ilustra o processo de preparo do Controlador de Domínio Read-Only dos Serviços de Domínio Ative Directory, no qual você cria uma conta de computador RODC vazia no domínio usando o Centro Administrativo do Ative Directory (Dsac.exe).
Estágio RODC Windows PowerShell
| ADDSDeployment Cmdlet | Argumentos (argumentos ousados são necessários. Os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS.) |
|---|---|
| Add-addsreadonlydomaincontrolleraccount | -SkipPreChecks -DomainControllerAccountName -DomainName -SiteName -AllowPasswordReplicationAccountName -Credential -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -NoGlobalCatalog -InstallDNS -ReplicationSourceDC |
Note
O argumento -credential só é necessário se você ainda não estiver conectado como membro do grupo Administradores do Domínio.
Anexar fluxo de trabalho RODC
O diagrama abaixo ilustra o processo de configuração dos Serviços de Domínio Ative Directory, onde você já instalou a função AD DS, preparou a conta RODC e iniciou Promover este Servidor para um Controlador de Domínio usando o Gerenciador do Servidor para criar um novo RODC em um domínio existente, anexando-o à conta de computador em estágios.
Conectar RODC ao Windows PowerShell
| ADDSDeployment Cmdlet | Argumentos (argumentos ousados são necessários. Os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS.) |
|---|---|
| Install-AddsDomaincontroller | -SkipPreChecks -DomainName -SafeModeAdministratorPassword -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -InstallationMediaPath -LogPath -Norebootoncompletion -ReplicationSourceDC -SystemKey -SYSVOLPath -UseExistingAccount |
Note
O argumento -credential só é necessário se você ainda não estiver conectado como membro do grupo Administradores do Domínio.
Staging
Execute a operação de preparo de uma conta de computador de controlador de domínio somente leitura abrindo a Central Administrativa do Ative Directory (Dsac.exe). Selecione o nome do domínio no painel de navegação. Clique duas vezes em Controladores de Domínio na lista de gerenciamento. Selecione Predefinir uma conta de controlador de domínio somente leitura no painel de tarefas.
Para obter mais informações sobre o Centro Administrativo do Ative Directory, consulte Gerenciamento avançado do AD DS usando o Centro Administrativo do Ative Directory (Nível 200) e consulte Centro Administrativo do Ative Directory: Introdução.
Se tiver experiência na criação de controladores de domínio somente leitura, descobrirá que o assistente de instalação tem a mesma interface gráfica vista ao usar o snap-in Usuários e Computadores do Active Directory mais antigo do Windows Server 2008 e usa o mesmo código, o que inclui exportar a configuração no formato de ficheiro não assistido usado pelo dcpromo obsoleto.
O Windows Server 2012 introduz um novo cmdlet ADDSDeployment para preparar contas de computador RODC, mas o assistente não usa o cmdlet para sua operação. As seções a seguir exibem o cmdlet e os argumentos equivalentes para facilitar a compreensão das informações associadas a cada um.
O link Pré-criar uma conta de controlador de domínio somente leitura no painel de tarefas do Centro de Administração do Ative Directory é equivalente ao cmdlet ADDSDeployment do Windows PowerShell:
Add-addsreadonlydomaincontrolleraccount
Welcome
A caixa de diálogo Bem-vindo ao Assistente de Instalação dos Serviços de Domínio Ative Directory tem uma opção chamada Usar instalação em modo avançado. Selecione esta opção e selecione Avançar para mostrar as opções da política de replicação de senha. Desmarque essa opção para usar os valores padrão para opções de política de replicação de senha (isso será discutido com mais detalhes mais adiante nesta seção).
Credenciais de rede
A opção de nome de domínio na caixa de diálogo Credenciais de Rede exibe o domínio direcionado pela Central Administrativa do Ative Directory por padrão. Suas credenciais atuais são usadas por padrão. Se eles não incluírem associação ao grupo Administradores do Domínio, selecione Credenciais Alternativas e selecione Definir para fornecer ao assistente um nome de usuário e uma senha que sejam membros dos Administradores do Domínio.
O argumento ADDSDeployment equivalente do Windows PowerShell é:
-credential <pscredential>
Lembre-se de que o sistema de encenação é uma transferência direta do Windows Server 2008 R2 e não fornece a nova funcionalidade Adprep. Se planeia implementar contas RODC escalonadas, deve primeiro implementar um RODC não escalonado nesse domínio para que a operação automática rodcprep ocorra, ou executar manualmente adprep.exe /rodcprep primeiro.
Caso contrário, você receberá um erro. Você não poderá instalar um controlador de domínio somente leitura neste domínio porque adprep /rodcprep ainda não foi executado.
Especifique o nome do computador
A caixa de diálogo Especificar o Nome do Computador requer que você insira o nome do computador de rótulo único de um controlador de domínio que não existe. O controlador de domínio que configurar e anexar a esta conta posteriormente deve ter o mesmo nome, ou a operação de promoção não detetará a conta pré-configurada.
O argumento ADDSDeployment equivalente do Windows PowerShell é:
-domaincontrolleraccountname <string>
Selecione um Site
A caixa de diálogo Selecionar um Site mostra uma lista de sites do Ative Directory para a floresta atual. A operação do controlador de domínio de leitura em estágios exige que o utilizador selecione um único site na lista. O RODC usa essas informações para criar seu objeto NTDS Settings na partição Configuration e unir-se ao site correto quando ele é iniciado pela primeira vez após ser implantado.
O argumento ADDSDeployment equivalente do Windows PowerShell é:
-sitename <string>
Opções adicionais do controlador de domínio
A caixa de diálogo Opções Adicionais do Controlador de Domínio permite especificar que um controlador de domínio inclua a execução como um Servidor DNS e um Catálogo Global. A Microsoft recomenda que os controladores de domínio somente leitura forneçam serviços DNS e GC, para que ambos sejam instalados por padrão; uma das intenções da função RODC são cenários de filiais em que a rede de longa distância pode não estar disponível e, sem esses serviços DNS e de catálogo global, os computadores na filial não poderão usar recursos e funcionalidades do AD DS.
A opção Controlador de domínio somente leitura (RODC) está pré-selecionada e não pode ser desabilitada. Os argumentos equivalentes do Windows PowerShell ADDSDeployment são:
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
Note
Por padrão, o valor -NoGlobalCatalog é $false, o que significa que o controlador de domínio será um servidor de catálogo global se o argumento não for especificado.
Especificar a política de replicação de senha
A caixa de diálogo Especificar a Política de Replicação de Senha permite modificar a lista padrão de contas que têm permissão para armazenar em cache suas senhas neste controlador de domínio somente leitura. As contas na lista configuradas com Negar ou que não estão na lista (implícitas) não armazenam em cache suas senhas. As contas que não têm permissão para armazenar senhas em cache no RODC e não podem se conectar e autenticar em um controlador de domínio gravável não podem acessar recursos ou funcionalidades fornecidos pelo Ative Directory.
Important
O assistente mostrará essa caixa de diálogo somente se você marcar a caixa de seleção Usar Instalação do Modo Avançado na tela de boas-vindas. Se você desmarcar essa caixa de seleção, o assistente usará os seguintes grupos e valores padrão:
- Administradores - Negar
- Operadores de servidor - Negar
- Operadores de backup - Negar
- Operadores de Conta - Negar
- Grupo de replicação de senha RODC negado - Negar
- Grupo de replicação de senha RODC permitido - Permitir
Os argumentos equivalentes do Windows PowerShell ADDSDeployment são:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Delegação de Instalação e Administração do RODC
A caixa de diálogo Delegação de Instalação e Administração do RODC permite configurar um usuário ou grupo contendo usuários que têm permissão para anexar o servidor à conta de computador do RODC. Selecione Definir para procurar um usuário ou grupo no domínio. O usuário ou grupo especificado nesta caixa de diálogo ganha permissões administrativas locais para o RODC. O usuário especificado ou membros do grupo especificado podem executar operações no RODC com privilégios equivalentes ao grupo Administradores do computador. Eles não são* membros dos grupos Administradores do Domínio ou Administradores internos do domínio.
Use esta opção para delegar a administração da filial sem conceder a associação de administrador da filial ao grupo Administradores do Domínio. Não é necessário delegar a administração do RODC.
O argumento ADDSDeployment equivalente do Windows PowerShell é:
-delegatedadministratoraccountname <string>
Summary
A caixa de diálogo Resumo permite que você confirme suas configurações. Esta é a última oportunidade de interromper a instalação antes que o assistente crie a conta provisória. Selecione Avançar quando estiver pronto para criar a conta de computador RODC em estágios. Selecione Configurações de exportação para salvar um arquivo de resposta no formato de arquivo autônomo dcpromo obsoleto.
Creation
O Assistente de Instalação dos Serviços de Domínio Active Directory cria um controlador de domínio somente leitura preparado no Active Directory. Não é possível cancelar esta operação depois que ela for iniciada.
Utilize o cmdlet seguinte para configurar uma conta de computador de controlador de domínio de só leitura usando o módulo "ADDSDeployment" do Windows PowerShell.
Add-addsreadonlydomaincontrolleraccount
Consulte Stage RODC Windows PowerShell para obter argumentos obrigatórios e opcionais.
Como Add-addsreadonlydomaincontrolleraccount tem apenas uma ação com duas fases (verificação de pré-requisitos e instalação), as capturas de tela a seguir mostram a fase de instalação com os argumentos mínimos necessários.
A operação RODC de estágio cria a conta de computador RODC no Ative Directory. O Centro Administrativo do Ative Directory mostra o Tipo de Controlador de Domínio como uma Conta de Controlador de Domínio Desocupada. Este tipo de controlador de domínio indica que a conta RODC pré-configurada está pronta para ser associada a um servidor como um controlador de domínio somente leitura.
Important
O Centro Administrativo do Active Directory já não é necessário para anexar um servidor a uma conta de computador do controlador de domínio de leitura. Use o Gerenciador do Servidor e o Assistente de Configuração dos Serviços de Domínio Ative Directory ou o cmdlet do módulo ADDSDeployment do Windows PowerShell Install-AddsDomainController para anexar um novo RODC à sua conta em estágios. As etapas são semelhantes à adição de um novo controlador de domínio gravável a um domínio existente, com a exceção de que a conta de computador RODC preparada contém opções de configuração decididas no momento em que se preparou a conta de computador RODC.
Attaching
Configuração de implantação
O Gerenciador do Servidor inicia cada promoção de controlador de domínio com a página Configuração de Implantação . As opções restantes e os campos obrigatórios mudam nesta página e nas páginas subsequentes, dependendo da operação de implantação selecionada.
Para adicionar um controlador de domínio somente leitura a um domínio existente, selecione Adicionar um controlador de domínio a um domínio existente e selecione o botão Selecionar para Especificar as informações de domínio para este domínio. O Gerenciador do Servidor solicita automaticamente credenciais válidas ou você pode selecionar Alterar.
Anexar um RODC requer associação aos grupos Administradores de Domínio no Windows Server 2012. O Assistente de Configuração dos Serviços de Domínio Active Directory irá avisá-lo mais tarde se as suas credenciais atuais não tiverem permissões ou associações de grupo adequadas.
O cmdlet e os argumentos do Windows PowerShell da Configuração de Implantação ADDSDeployment são:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opções do controlador de domínio
A página Opções do Controlador de Domínio mostra as opções do controlador de domínio para o novo controlador de domínio. Quando esta página é carregada, o Assistente de Configuração dos Serviços de Domínio Ative Directory envia uma consulta LDAP a um controlador de domínio existente para verificar se há contas desocupadas. Se a consulta encontrar uma conta de computador do controlador de domínio desocupada que compartilhe o mesmo nome do computador atual, o assistente exibirá uma mensagem informativa na parte superior da página que lê Existe uma conta RODC pré-criada que corresponde ao nome do servidor de destino no diretório. Escolha se deseja usar essa conta RODC existente ou reinstalar este controlador de domínio. O assistente usa a configuração padrão Usar conta RODC existente .
Important
Você pode usar a opção Reinstalar este controlador de domínio quando um controlador de domínio tiver sofrido um problema físico e não puder retornar à funcionalidade. Isso economiza tempo ao configurar o controlador de domínio de substituição, deixando a conta do computador do controlador de domínio e os metadados do objeto no Ative Directory. Instale o novo computador com o mesmo nome e promova-o como um controlador de domínio no domínio. A opção Reinstalar este controlador de domínio não estará disponível se você tiver removido os metadados do objeto do controlador de domínio do Ative Directory (limpeza de metadados).
Não é possível configurar as opções do controlador de domínio quando você está anexando um servidor a uma conta de computador RODC. Você configura as opções do controlador de domínio RODC ao criar a conta de computador RODC em fases.
A Senha do Modo de Restauração dos Serviços de Diretório especificada deve aderir à diretiva de senha aplicada ao servidor. Escolha sempre uma palavra-passe forte e complexa ou, de preferência, uma frase secreta.
Os argumentos do Domain Controller Options ADDSDeployment Windows PowerShell são:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Important
O nome do site já deve existir quando fornecido como um argumento para -sitename. O cmdlet install-AddsDomainController não cria nomes de site. Você pode usar o cmdlet new-adreplicationsite para criar novos sites.
Os argumentos Install-ADDSDomainController seguem os mesmos padrões do Gerenciador do Servidor se não forem especificados.
A operação do argumento SafeModeAdministratorPassword é especial:
Se não for especificado como um argumento, o cmdlet solicitará que você insira e confirme uma senha mascarada. Esse é o uso preferencial ao executar o cmdlet interativamente.
Por exemplo, para criar um novo RODC no corp.contoso.com e ser solicitado a inserir e confirmar uma senha mascarada:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)Se especificado com um valor, o valor deve ser uma cadeia de caracteres segura. Esse não é o uso preferido ao executar o cmdlet interativamente.
Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma cadeia de caracteres segura:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Warning
Como a opção anterior não confirma a senha, tenha muito cuidado: a senha não está visível.
Também pode fornecer uma cadeia segura como uma variável de texto simples convertida, embora isso seja altamente desaconselhado.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Finalmente, você pode armazenar a senha ofuscada em um arquivo e, em seguida, reutilizá-la mais tarde, sem que a senha de texto não criptografado apareça. Por exemplo:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Fornecer ou armazenar uma senha de texto clara ou ofuscada não é recomendado. Qualquer pessoa que execute esse comando em um script ou olhe por cima do ombro sabe a senha DSRM desse controlador de domínio. Qualquer pessoa com acesso ao arquivo poderia reverter essa senha ofuscada. Com esse conhecimento, eles podem fazer logon em um controlador de domínio iniciado no DSRM e, eventualmente, representar o próprio controlador de domínio, elevando seus privilégios ao nível mais alto em uma floresta do AD. Um conjunto adicional de etapas usando System.Security.Cryptography para criptografar os dados do arquivo de texto é aconselhável, mas fora do escopo. A melhor prática é evitar totalmente o armazenamento de senhas.
Opções Adicionais
A página Opções Adicionais fornece opções de configuração para nomear um controlador de domínio como a fonte de replicação ou você pode usar qualquer controlador de domínio como a fonte de replicação.
Você também pode optar por instalar o controlador de domínio a partir de mídia de backup usando a opção Instalar da mídia (IFM). A caixa de seleção Instalar da mídia fornece uma opção de navegação uma vez selecionada e você deve selecionar Verificar para garantir que o caminho fornecido seja uma mídia válida.
Orientações para a fonte IFM:
- A mídia usada pela opção IFM é criada com o Backup do Windows Server ou Ntdsutil.exe de outro Controlador de Domínio do Windows Server existente apenas com a mesma versão do sistema operacional. Por exemplo, você não pode usar um sistema operacional Windows Server 2008 R2 ou anterior para criar mídia para um controlador de domínio do Windows Server 2012.
- Os dados de IFM de origem devem provir de um controlador de domínio com capacidade de gravação. Embora uma fonte do RODC funcione tecnicamente para criar um novo RODC, há avisos falsos positivos de replicação que indicam que a fonte IFM do RODC não está a replicar.
Para obter mais informações sobre alterações no IFM, consulte Ntdsutil.exe Instalar a partir de alterações de mídia. Se estiver usando mídia protegida com uma SYSKEY, o Gerenciador do Servidor solicitará a senha da imagem durante a verificação.
Os argumentos do cmdlet ADDSDeployment de Opções Adicionais são:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Paths
A página Caminhos permite substituir os locais de pasta padrão do banco de dados AD DS, os logs de transações do banco de dados e o compartilhamento SYSVOL. Os locais padrão estão sempre em subdiretórios de %systemroot%. Os argumentos do cmdlet Paths ADDSDeployment são:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Rever Opções e Ver Script
A página Opções de revisão permite validar suas configurações e garantir que elas atendam aos seus requisitos antes de iniciar a instalação. Esta não é a última oportunidade de parar a instalação usando o Gerenciador do Servidor. Esta página simplesmente permite que você revise e confirme suas configurações antes de continuar a configuração. A página Opções de Revisão no Gerenciador do Servidor também oferece um botão opcional Exibir Script para criar um arquivo de texto Unicode que contém a configuração atual de ADDSDeployment como um único script do Windows PowerShell. Isso permite que você use a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell. Use o Assistente de Configuração dos Serviços de Domínio Ative Directory para configurar opções, exportar a configuração e cancelar o assistente. Este processo cria uma amostra válida e sintaticamente correta para posterior modificação ou uso direto. Por exemplo:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true
Note
O Gerenciador do Servidor geralmente preenche todos os argumentos com valores ao promover e não depende de padrões (pois eles podem mudar entre versões futuras do Windows ou service packs). A única exceção a isso é o argumento -safemodeadministratorpassword . Para forçar um prompt de confirmação, omita o valor ao executar o cmdlet interativamente
Use o argumento Whatif opcional com o cmdlet Install-ADDSDomainController para revisar as informações de configuração. Isso permite que você veja os valores explícitos e implícitos dos argumentos de um cmdlet.
Verificação de pré-requisitos
A Verificação de Pré-requisitos é um novo recurso na configuração de domínio do AD DS. Esta nova fase valida se a configuração do servidor é capaz de suportar uma nova floresta do AD DS.
Ao instalar um novo domínio raiz de floresta, o Assistente de Configuração dos Serviços de Domínio Ative Directory do Gerenciador do Servidor invoca uma série de testes modulares serializados. Estes testes alertam-no com opções de reparação sugeridas. Você pode executar os testes quantas vezes forem necessárias. O processo de instalação do controlador de domínio não pode continuar até que todos os testes de pré-requisitos sejam aprovados.
A Verificação de Pré-requisitos também apresenta informações relevantes, como alterações de segurança que afetam sistemas operacionais mais antigos. Para obter mais informações sobre as verificações de pré-requisitos, consulte Verificação de pré-requisitos.
Não é possível ignorar a Verificação de Pré-requisitos ao usar o Gerenciador do Servidor, mas você pode ignorar o processo ao usar o cmdlet de Implantação do AD DS usando o seguinte argumento:
-skipprechecks
Warning
A Microsoft desencoraja ignorar a verificação de pré-requisitos, pois isso pode levar a uma promoção parcial do controlador de domínio ou a uma floresta AD DS danificada.
Selecione Instalar para iniciar o processo de promoção do controlador de domínio. Esta é a última oportunidade para cancelar a instalação. Não é possível cancelar o processo de promoção assim que ele começar. O computador será reiniciado automaticamente no final da promoção, independentemente dos resultados da promoção.
Installation
Quando a página Instalação é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e gravadas em logs:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Para instalar uma nova floresta do Ative Directory usando o módulo ADDSDeployment, use o seguinte cmdlet:
Install-addsdomaincontroller
Consulte Anexar RODC Windows PowerShell para obter argumentos obrigatórios e opcionais.
O cmdlet Install-addsdomaincontroller tem apenas duas fases (verificação de pré-requisitos e instalação). As duas figuras abaixo mostram a fase de instalação com os argumentos mínimos necessários de -domainname, -useexistingaccount e -credential. Observe como, assim como o Gerenciador do Servidor, Install-ADDSDomainController lembra que a promoção reinicializará o servidor automaticamente:
Para aceitar o prompt de reinicialização automaticamente, use os argumentos -force ou -confirm:$false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para impedir que o servidor seja reinicializado automaticamente no final da promoção, use o argumento -norebootoncomplete .
Warning
Ignorar a reinicialização é desencorajado. O controlador de domínio deve reinicializar para funcionar corretamente.
Results
A página Resultados mostra o sucesso ou fracasso da promoção e qualquer informação administrativa importante. O controlador de domínio será reinicializado automaticamente após 10 segundos.
RODC sem fluxo de trabalho de preparo
O diagrama a seguir ilustra o processo de configuração dos Serviços de Domínio Active Directory, quando você já instalou a função AD DS e iniciou o Assistente de Configuração dos Serviços de Domínio Active Directory usando o Gerenciador do Servidor para criar um novo controlador de domínio somente leitura não previamente preparado em um domínio existente do Windows Server 2012.
RODC sem faseamento do Windows PowerShell
| ADDSDeployment Cmdlet | Argumentos (argumentos ousados são necessários. Os argumentos em itálico podem ser especificados usando o Windows PowerShell ou o Assistente de Configuração do AD DS.) |
|---|---|
| Install-AddsDomainController | -SkipPreChecks -DomainName -SafeModeAdministratorPassword -SiteName -ApplicationPartitionsToReplicate -CreateDNSDelegation -Credential -CriticalReplicationOnly -DatabasePath -DNSDelegationCredential -DNSOnNetwork -InstallationMediaPath -InstallDNS -LogPath -MoveInfrastructureOperationMasterRoleIfNecessary -NoGlobalCatalog -Norebootoncompletion -ReplicationSourceDC -SkipAutoConfigureDNS -SystemKey -SYSVOLPath -AllowPasswordReplicationAccountName -DelegatedAdministratorAccountName -DenyPasswordReplicationAccountName -ReadOnlyReplica |
Note
O argumento -credential só é necessário se você ainda não estiver conectado como membro do grupo Administradores do Domínio.
RODC sem implantação de preparo
Configuração de implantação
O Gerenciador do Servidor inicia cada promoção de controlador de domínio com a página Configuração de Implantação . As opções restantes e os campos obrigatórios mudam nesta página e nas páginas subsequentes, dependendo da operação de implantação selecionada.
Para adicionar um controlador de domínio somente leitura sem estágios a um domínio existente do Windows Server 2012, selecione Adicionar um controlador de domínio a um domínio existente e selecione o botão Selecionar para Especificar as informações de domínio para este domínio. O Gerenciador do Servidor solicita automaticamente credenciais válidas ou você pode selecionar Alterar.
Anexar um RODC requer associação aos grupos Administradores de Domínio no Windows Server 2012. O Assistente de Configuração dos Serviços de Domínio Active Directory irá avisá-lo mais tarde se as suas credenciais atuais não tiverem permissões ou associações de grupo adequadas.
O cmdlet e os argumentos do Windows PowerShell da Configuração de Implantação ADDSDeployment são:
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Opções do controlador de domínio
A página Opções do Controlador de Domínio especifica os recursos do controlador de domínio para o novo controlador de domínio. Os recursos configuráveis do controlador de domínio são servidor DNS, Catálogo Global e controlador de domínio somente leitura. A Microsoft recomenda que todos os controladores de domínio forneçam serviços de DNS e GC para alta disponibilidade em ambientes distribuídos. GC é sempre selecionado por padrão e servidor DNS é selecionado por padrão se o domínio atual hospeda DNS já em seus DCs com base na consulta Start of Authority.
A página Opções do Controlador de Domínio também permite que você escolha o nome do site lógico apropriado do Ative Directory na configuração da floresta. Por padrão, ele seleciona o site com a sub-rede mais correta. Se houver apenas um site, ele selecionará esse site automaticamente.
Important
Se o servidor não pertencer a uma sub-rede do Ative Directory e houver mais de um site do Ative Directory, nada será selecionado e o botão Avançar ficará indisponível até que você escolha um site na lista.
A Senha do Modo de Restauração dos Serviços de Diretório especificada deve aderir à diretiva de senha aplicada ao servidor. Escolha sempre uma palavra-passe forte e complexa ou, de preferência, uma frase secreta. Os argumentos do Domain Controller Options ADDSDeployment Windows PowerShell são:
-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>
Important
O nome do site já deve existir quando fornecido como um argumento para -sitename. O cmdlet install-AddsDomainController não cria nomes de site. Você pode usar o cmdlet new-adreplicationsite para criar novos sites.
Os argumentos Install-ADDSDomainController seguem os mesmos padrões do Gerenciador do Servidor se não forem especificados.
A operação do argumento SafeModeAdministratorPassword é especial:
Se não for especificado como um argumento, o cmdlet solicitará que você insira e confirme uma senha mascarada. Esse é o uso preferencial ao executar o cmdlet interativamente.
Por exemplo, para criar um novo RODC no corp.contoso.com e ser solicitado a inserir e confirmar uma senha mascarada:
Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)Se especificado com um valor, o valor deve ser uma cadeia de caracteres segura. Esse não é o uso preferido ao executar o cmdlet interativamente.
Por exemplo, você pode solicitar manualmente uma senha usando o cmdlet Read-Host para solicitar ao usuário uma cadeia de caracteres segura:
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
Warning
Como a opção anterior não confirma a senha, tenha muito cuidado: a senha não está visível.
Também pode fornecer uma cadeia segura como uma variável de texto simples convertida, embora isso seja altamente desaconselhado.
-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)
Finalmente, você pode armazenar a senha ofuscada em um arquivo e, em seguida, reutilizá-la mais tarde, sem que a senha de texto não criptografado apareça. Por exemplo:
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Fornecer ou armazenar uma senha de texto clara ou ofuscada não é recomendado. Qualquer pessoa que execute esse comando em um script ou olhe por cima do ombro sabe a senha DSRM desse controlador de domínio. Qualquer pessoa com acesso ao arquivo poderia reverter essa senha ofuscada. Com esse conhecimento, eles podem fazer logon em um controlador de domínio iniciado no DSRM e, eventualmente, representar o próprio controlador de domínio, elevando seus privilégios ao nível mais alto em uma floresta do AD. Um conjunto adicional de etapas usando System.Security.Cryptography para criptografar os dados do arquivo de texto é aconselhável, mas fora do escopo. A melhor prática é evitar totalmente o armazenamento de senhas.
Opções RODC
A página Opções do RODC permite modificar as configurações:
Conta de administrador delegado
Contas que têm permissão para replicar senhas para o RODC
Contas que não têm permissão para replicar senhas para o RODC
As contas de administrador delegado ganham permissões administrativas locais para o RODC. Esses usuários podem operar com privilégios equivalentes ao grupo Administradores do computador local. Eles não são membros dos grupos Administradores do Domínio ou Administradores internos do domínio. Esta opção é útil para delegar a administração da filial sem conceder permissões administrativas de domínio. Não é necessário configurar a delegação de administração.
O argumento ADDSDeployment equivalente do Windows PowerShell é:
-delegatedadministratoraccountname <string>
As contas que não têm permissão para armazenar senhas em cache no RODC e não podem se conectar e autenticar em um controlador de domínio gravável não podem acessar recursos ou funcionalidades fornecidos pelo Ative Directory.
Important
Se não forem modificados, os grupos e configurações padrão serão usados:
- Administradores - Negar
- Operadores de servidor - Negar
- Operadores de backup - Negar
- Operadores de Conta - Negar
- Grupo de replicação de senha RODC negado - Negar
- Grupo de replicação de senha RODC permitido - Permitir
Os argumentos equivalentes do Windows PowerShell ADDSDeployment são:
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Opções Adicionais
A página Opções Adicionais fornece opções de configuração para nomear um controlador de domínio como a fonte de replicação ou você pode usar qualquer controlador de domínio como a fonte de replicação.
Você também pode optar por instalar o controlador de domínio a partir de mídia de backup usando a opção Instalar da mídia (IFM). A caixa de seleção Instalar da mídia fornece uma opção de navegação uma vez selecionada e você deve selecionar Verificar para garantir que o caminho fornecido seja uma mídia válida.
Orientações para a fonte IFM:
- A mídia usada pela opção IFM é criada com o Backup do Windows Server ou Ntdsutil.exe de outro Controlador de Domínio do Windows Server existente apenas com a mesma versão do sistema operacional. Por exemplo, você não pode usar um sistema operacional Windows Server 2008 R2 ou anterior para criar mídia para um controlador de domínio do Windows Server 2012.
- Os dados de IFM de origem devem provir de um controlador de domínio com capacidade de gravação. Embora uma fonte do RODC funcione tecnicamente para criar um novo RODC, há avisos falsos positivos de replicação que indicam que a fonte IFM do RODC não está a replicar.
Para obter mais informações sobre alterações no IFM, consulte Ntdsutil.exe Instalar a partir de alterações de mídia. Se estiver usando mídia protegida com uma SYSKEY, o Gerenciador do Servidor solicitará a senha da imagem durante a verificação.
Os argumentos de opções adicionais do cmdlet ADDSDeployment são:
-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>
Paths
A página Caminhos permite substituir os locais de pasta padrão do banco de dados AD DS, os logs de transações do banco de dados e o compartilhamento SYSVOL. Os locais padrão estão sempre em subdiretórios de %systemroot%. Os argumentos do cmdlet Paths ADDSDeployment são:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Opções de Preparação
A página Opções de Preparação alerta que a configuração do AD DS inclui a extensão do Esquema (forestprep) e a atualização do domínio (domainprep). Você verá esta página apenas quando a floresta ou o domínio não tiverem sido preparados por uma instalação anterior de um controlador de domínio do Windows Server 2012, ou por uma execução manual do Adprep.exe. Por exemplo, o Assistente de Configuração dos Serviços de Domínio do Active Directory suprime esta página se adicionar um novo controlador de domínio de réplica a um domínio raiz de uma floresta existente no Windows Server 2012.
A extensão do esquema e a atualização do domínio não ocorrem quando você seleciona Avançar. Esses eventos ocorrem somente durante a fase de instalação. Esta página simplesmente alerta sobre os eventos que ocorrerão durante a instalação.
Esta página também valida que as credenciais de usuário atuais são membros dos grupos Administrador de Esquema e Administradores Corporativos, pois você precisa de associação a esses grupos para estender o esquema ou preparar um domínio. Selecione Alterar para fornecer as credenciais de usuário adequadas se a página informar que as credenciais atuais não fornecem permissões suficientes.
O argumento do cmdlet ADDSDeployment "Opções Adicionais" é:
-adprepcredential <pscredential>
Important
Assim como nas versões anteriores do Windows Server, a preparação automatizada de domínio do Windows Server 2012 não executa o GPPREP. Execute adprep.exe /gpprep manualmente para todos os domínios que não foram preparados anteriormente para Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. Você deve executar o GPPrep apenas uma vez no histórico de um domínio, não com todas as atualizações. Adprep.exe não executa /gpprep automaticamente porque sua operação pode fazer com que todos os arquivos e pastas na pasta SYSVOL sejam replicados novamente em todos os controladores de domínio.
O RODCPrep automático é executado quando você promove o primeiro RODC sem estágios em um domínio. Isso não ocorre quando você promove o primeiro controlador de domínio gravável do Windows Server 2012. Você também pode executar manualmente adprep.exe /rodcprep se planeja implantar controladores de domínio somente leitura.
Rever Opções e Ver Script
A página Opções de revisão permite validar suas configurações e garantir que elas atendam aos seus requisitos antes de iniciar a instalação. Esta não é a última oportunidade de parar a instalação usando o Gerenciador do Servidor. Esta página simplesmente permite que você revise e confirme suas configurações antes de continuar a configuração.
A página Opções de Revisão no Gerenciador do Servidor também oferece um botão opcional Exibir Script para criar um arquivo de texto Unicode que contém a configuração atual de ADDSDeployment como um único script do Windows PowerShell. Isso permite que você use a interface gráfica do Gerenciador do Servidor como um estúdio de implantação do Windows PowerShell. Use o Assistente de Configuração dos Serviços de Domínio Ative Directory para configurar opções, exportar a configuração e cancelar o assistente. Este processo cria uma amostra válida e sintaticamente correta para posterior modificação ou uso direto. Por exemplo:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true
Note
O Gerenciador do Servidor geralmente preenche todos os argumentos com valores ao promover e não depende de padrões (pois eles podem mudar entre versões futuras do Windows ou service packs). A única exceção a isso é o argumento -safemodeadministratorpassword . Para forçar um prompt de confirmação, omita o valor ao executar o cmdlet interativamente.
Use o argumento Whatif opcional com o cmdlet Install-ADDSDomainController para revisar as informações de configuração. Isso permite que você veja os valores explícitos e implícitos dos argumentos de um cmdlet.
Verificação de pré-requisitos
A Verificação de Pré-requisitos é um novo recurso na configuração de domínio do AD DS. Esta nova fase valida se a configuração do servidor é capaz de suportar uma nova floresta do AD DS.
Ao instalar um novo domínio raiz de floresta, o Assistente de Configuração dos Serviços de Domínio Ative Directory do Gerenciador do Servidor invoca uma série de testes modulares serializados. Estes testes alertam-no com opções de reparação sugeridas. Você pode executar os testes quantas vezes forem necessárias. O processo do controlador de domínio não pode continuar até que todos os testes de pré-requisitos sejam aprovados.
A Verificação de Pré-requisitos também apresenta informações relevantes, como alterações de segurança que afetam sistemas operacionais mais antigos.
Não é possível ignorar a Verificação de Pré-requisitos ao usar o Gerenciador do Servidor, mas você pode ignorar o processo ao usar o cmdlet de Implantação do AD DS usando o seguinte argumento:
-skipprechecks
Selecione Instalar para iniciar o processo de promoção do controlador de domínio. Esta é a última oportunidade para cancelar a instalação. Não é possível cancelar o processo de promoção assim que ele começar. O computador será reiniciado automaticamente no final da promoção, independentemente dos resultados da promoção.
Installation
Quando a página Instalação é exibida, a configuração do controlador de domínio começa e não pode ser interrompida ou cancelada. As operações detalhadas são exibidas nesta página e gravadas em logs:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Para instalar uma nova floresta do Ative Directory usando o módulo ADDSDeployment, use o seguinte cmdlet:
Install-addsdomaincontroller
Consulte a tabela ADDSDeployment Cmdlet no início desta seção para obter argumentos obrigatórios e opcionais.
O cmdlet Install-addsdomaincontroller tem apenas duas fases (verificação de pré-requisitos e instalação). As duas figuras abaixo mostram a fase de instalação com os argumentos mínimos necessários de -domainname, -readonlyreplica,-sitename e -credential. Observe como, assim como o Gerenciador do Servidor, Install-ADDSDomainController lembra que a promoção reinicializará o servidor automaticamente:
Para aceitar o prompt de reinicialização automaticamente, use os argumentos -force ou -confirm:$false com qualquer cmdlet ADDSDeployment do Windows PowerShell. Para impedir que o servidor seja reinicializado automaticamente no final da promoção, use o argumento -norebootoncomplete .
Warning
Anular a reinicialização não é recomendado. O controlador de domínio deve reinicializar para funcionar corretamente. Se encerrar a sessão do controlador de domínio, não poderá voltar a iniciar sessão de forma interativa até reiniciá-lo.
Results
A página Resultados mostra o sucesso ou fracasso da promoção e qualquer informação administrativa importante. O controlador de domínio será reinicializado automaticamente após 10 segundos.