Меню Рубрики

Установка active directory и леса

Установка нового дочернего объекта Active Directory или домена дерева в Windows Server 2012 (уровень 200) Install a New Windows Server 2012 Active Directory Child or Tree Domain (Level 200)

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается, как добавить дочерние домены и домены дерева в существующий лес Windows Server 2012 с помощью диспетчера сервера или Windows PowerShell. This topic explains how to add child and tree domains to an existing Windows Server 2012 forest, using Server Manager or Windows PowerShell.

Дочерний рабочий процесс и домен дерева Child and Tree Domain Workflow

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать домен в существующем лесу. The following diagram illustrates the Active Directory Domain Services configuration process when you previously installed the AD DS role and you have started the Active Directory Domain Services Configuration Wizard using Server Manager to create a new domain in an existing forest.

Дочерние домены и Доменная структура Windows PowerShell Child and Tree Domain Windows PowerShell

Командлет ADDSDeployment ADDSDeployment Cmdlet Аргументы (аргументы, выделенныежирным шрифтом , являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенныекурсивом , можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-Аддсдомаин Install-AddsDomain -SkipPreChecks -SkipPreChecks

-NewDomainName -NewDomainName

-ParentDomainName -ParentDomainName

-SafeModeAdministratorPassword -SafeModeAdministratorPassword

-Credential -Credential

-DomainType -DomainType

Аргумент -credential требуется только в том случае, если текущий пользователь не является членом группы «Администраторы предприятия». Аргумент -NewDomainNetBIOSName требуется, если вы хотите изменить имя из 15 символов, автоматически создаваемое на основе префикса доменного имени DNS, или если длина имени превышает 15 символов. The -credential argument is only required when you are not currently logged on as a member of the Enterprise Admins group.The -NewDomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.

Развертывания Deployment

Deployment Configuration Deployment Configuration

На следующем снимке экрана показаны параметры добавления дочернего домена: The following screenshot shows the options for adding a child domain:

На следующем снимке экрана показаны параметры добавления домена дерева: The following screenshot shows the options for adding a tree domain:

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания . Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

В этом разделе совместно рассматриваются две отдельные операции: повышение роли дочернего домена и повышение роли домена дерева. This topic combines two discrete operations: child domain promotion and tree domain promotion. Единственное различие между ними заключается в выбираемом для создания типе домена. The only difference between the two operations is the domain type that you choose to create. Все остальные действия идентичны. All of the other steps are identical between the two operations.

Чтобы создать дочерний домен, установите переключатель в положение Добавить домен в существующий лес и выберите тип Дочерний домен. To create a new child domain, click Add a domain to an existing Forest and choose Child Domain. Введите или выберите имя родительского домена. For Parent domain name, type or select the name of the parent domain. Затем введите имя нового домена в поле Новое имя домена. Then type the name of the new domain in the New domain name box. Укажите допустимое однокомпонентное имя дочернего домена, которое отвечает требованиям к DNS-имени домена. Provide a valid, single-label child domain name; the name must use DNS domain name requirements.

Чтобы создать домен дерева в существующем лесу, установите переключатель в положение Добавить домен в существующий лес и выберите тип Домен дерева. To create a tree domain within an existing forest, click Add a domain to an existing Forest and choose Tree Domain. Введите имя корневого домена леса, а затем введите имя нового домена. Type the name of the forest root domain, and then type the name of the new domain. Укажите допустимое полное имя корневого домена, причем оно не может быть однокомпонентным и должно отвечать требованиям к DNS-имени домена. Provide a valid, fully qualified root domain name; the name cannot be single-labeled and must use DNS domain name requirements.

Мастер настройки доменных служб Active Directory в диспетчере сервера запрашивает учетные данные домена, если текущие учетные данные не для этого домена. The Server Manager Active Directory Domain Services Configuration Wizard prompts you for domain credentials if your current credentials are not from the domain. Чтобы указать учетные данные для операции повышения роли, нажмите кнопку Изменить. Click Change to provide domain credentials for the promotion operation.

Командлет и аргументы модуля Windows PowerShell ADDSDeployment: The Deployment Configuration ADDSDeployment cmdlet and arguments are:

Параметры контроллера домена Domain Controller Options

На странице Параметры контроллера домена приведены параметры нового контроллера домена. The Domain Controller Options page specifies the domain controller options for the new domain controller. Настраиваемые параметры контроллера домена включают в себя DNS-сервер и Глобальный каталог, причем нельзя назначить контроллер домена только для чтения первым контроллером нового домена. The configurable domain controller options include DNS server and Global Catalog; you cannot configure read-only domain controller as the first domain controller in a new domain.

Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Microsoft recommends that all domain controllers provide DNS and GC services for high availability in distributed environments. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. GC is always selected by default and DNS is selected by default if the current domain hosts DNS already on its DCs, based on a Start-of-Authority query. Также необходимо указать режим работы домена. You must also specify a Domain functional level. Режим работы по умолчанию — Windows Server 2012. Вы можете выбрать любое другое значение не ниже текущего режима работы леса. The default functional level is Windows Server 2012, and you can choose any other value that is equal to or greater than the current forest functional level.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. По умолчанию выбран сайт с наиболее правильной подсетью. By default, the site with the most correct subnet is selected. Если существует только один сайт, он выбирается автоматически. If there is only one site, it is selected automatically.

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка. If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Always choose a strong, complex password or preferably, a passphrase.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена: The Domain Controller Options ADDSDeployment cmdlet arguments are:

Имя сайта уже должно существовать на момент ввода в качестве значения аргумента sitename . The site name must already exist when provided as a value to the sitename argument. Командлет install-AddsDomainController не создает имена сайтов. The install-AddsDomainController cmdlet does not create site names. Для создания сайтов можно использовать командлет new-adreplicationsite . You can use the new-adreplicationsite cmdlet to create new sites.

Если аргументы командлета Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. The Install-ADDSDomainController cmdlet arguments follow the same defaults as Server Manager if not specified.

Аргумент SafeModeAdministratorPassword действует особым образом. The SafeModeAdministratorPassword argument’s operation is special:

Если этот аргумент не указан , командлет предлагает ввести и подтвердить скрытый пароль. If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета. This is the preferred usage when running the cmdlet interactively.

Например, чтобы создать дочерний домен с именем NorthAmerica в домене Contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду: For example, to create a new child domain named NorthAmerica in the Contoso.com forest and be prompted to enter and confirm a masked password:

Если аргумент указан со значением, это значение должно быть защищенной строкой. If specified with a value, the value must be a secure string. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. This is not the preferred usage when running the cmdlet interactively.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки. For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим. As the previous option does not confirm the password, use extreme caution: the password is not visible.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. You can also provide a secure string as a converted clear-text variable, although this is highly discouraged.

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Finally, you could store the obfuscated password in a file, and then reuse it later, without the clear text password ever appearing. Пример: For example:

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Providing or storing a clear or obfuscated text password is not recommended. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Anyone with access to the file could reverse that obfuscated password. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. With that knowledge, they can logon to a DC started in DSRM and eventually impersonate the domain controller itself, elevating their privileges to the highest level in an AD forest. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей. The best practice is to totally avoid password storage.

Модуль ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. The ADDSDeployment module offers an additional option to skip automatic configuration of DNS client settings, forwarders, and root hints. При использовании диспетчера сервера такой возможности нет. This is not configurable when using Server Manager. Этот аргумент имеет значение только в том случае, если служба DNS-сервера уже была установлена до настройки контроллера домена: This argument matters only if you already installed the DNS Server service prior to configuring the domain controller:

Параметры DNS и учетные данные для делегирования DNS DNS Options and DNS Delegation Credentials

На странице Параметры DNS можно указать альтернативные учетные данные администратора DNS для делегирования. The DNS Options page enables you to provide alternate DNS Admin credentials for delegation.

При установке нового домена в существующем лесу, то есть если вы выбрали установку DNS на странице Параметры контроллера домена, никакие параметры настроить нельзя — делегирование выполняется автоматически, и отменить его нельзя. When installing a new domain in an existing forest — where you selected DNS installation on the Domain Controller Options page — you cannot configure any options; the delegation happens automatically and irrevocably. Вы можете указать альтернативные учетные данные администратора DNS с правами на обновление этой структуры. You have the option to provide alternate DNS administrative credentials with rights to update that structure.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры DNS : The DNS Options ADDSDeployment Windows PowerShell arguments are:

Дополнительные сведения о делегировании DNS см. в разделе Общее представление о делегировании зоны. For more information about DNS delegation, see Understanding Zone Delegation.

Дополнительные параметры Additional Options

На странице Дополнительные параметры приводится NetBIOS-имя домена, которое вы можете переопределить. The Additional Options page shows the NetBIOS name of the domain and enables you to override it. По умолчанию NetBIOS-имя домена совпадает с крайним левым компонентом полного доменного имени, указанного на странице Конфигурация развертывания . By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP. For example, if you provided the fully qualified domain name of corp.contoso.com, the default NetBIOS domain name is CORP.

Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. If the name is 15 characters or less and does not conflict with another NetBIOS name, it is unaltered. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. If it does conflict with another NetBIOS name, a number is appended to the name. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. If the name is more than 15 characters, the wizard provides a unique, truncated suggestion. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS. In either case, the wizard first validates the name is not already in use via a WINS lookup and NetBIOS broadcast.

Если аргументы Install-AddsDomain не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. The Install-AddsDomain arguments follow the same defaults as Server Manager if not specified. Аргумент DomainNetBIOSName действует особым образом. The DomainNetBIOSName operation is special:

Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName не превышает 15 символов, повышение роли продолжает выполняться с использованием автоматически созданного имени. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.

Если в аргументе NewDomainNetBIOSName не задано NetBIOS-имя домена, а длина однокомпонентного доменного имени в аргументе DomainName превышает 16 символов, происходит сбой повышения роли. If the NewDomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.

Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной не более 15 символов, повышение роли продолжает выполняться с использованием указанного имени. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.

Если в аргументе NewDomainNetBIOSName задано NetBIOS-имя домена длиной более 16 символов, происходит сбой повышения роли. If the NewDomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.

Аргумент Дополнительных параметров командлета ADDSDeployment таков: The Additional Options ADDSDeployment cmdlet argument is:

Paths Paths

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. The Paths page enables you to override the default folder locations of the AD DS database, the data base transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot%. The default locations are always in subdirectories of %systemroot%.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути : The Paths ADDSDeployment cmdlet arguments are:

«Просмотреть параметры» и «Просмотреть скрипт» Review Options and View Script

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. This is not the last opportunity to stop the installation when using Server Manager. Эта страница позволяет подтвердить параметры перед продолжением настройки. This is simply an option to confirm your settings before continuing the configuration

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт , предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. This process creates a valid and syntactically correct sample for further modification or direct use. Пример: For example:

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). Единственным исключением является аргумент -safemodeadministratorpassword (который намеренно опущен в скрипте). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета. To force a confirmation prompt, omit the value when running cmdlet interactively.

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSForest . Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета. This enables you to see the explicit and implicit values of the arguments for a cmdlet.

Проверка готовности к установке Prerequisites Check

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового домена доменных служб Active Directory конфигурацией сервера. This new phase validates that the server configuration is capable of supporting a new AD DS domain.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of serialized modular tests. При этом предлагаются рекомендуемые способы восстановления. These tests alert you with suggested repair options. Тесты можно выполнять необходимое число раз. You can run the tests as many times as required. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены. The domain controller process cannot continue until all prerequisite tests pass.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

Подробнее о проверках предварительных требований см. в разделе Prerequisite Checking. For more information on the specific prerequisite checks, see Prerequisite Checking.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента: You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory. Microsoft discourages skipping the prerequisite check as it can lead to a partial domain controller promotion or damaged AD DS forest.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить . Click Install to begin the domain controller promotion process. Это последняя возможность отменить установку. This is last opportunity to cancel the installation. После того как процесс повышения роли начнется, отменить его будет невозможно. You cannot cancel the promotion process once it begins. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. The computer will reboot automatically at the end of promotion, regardless of the promotion results.

Установка Installation

Когда появляется страница Установка , это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы: Detailed operations display on this page and are written to logs:

Чтобы установить новый домен Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет: To install a new Active Directory domain using the ADDSDeployment module, use the following cmdlet:

Список обязательных и необязательных аргументов см. в разделе Добавление дочернего домена и домена дерева с помощью Windows PowerShell. Выполнение командлета Install-addsdomain включает только два этапа (проверка предварительных требований и установка). See Child and Tree Domain Windows PowerShell for required and optional arguments.The Install-addsdomain cmdlet only has two phases (prerequisite checking and installation). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domaintype, -newdomainname, -parentdomainname и -credential. The two figures below show the installation phase with the minimum required arguments of -domaintype, -newdomainname, -parentdomainname, and -credential. Обратите внимание на то, что командлет Install-ADDSDomain, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли: Note how, just like Server Manager, Install-ADDSDomain reminds you that promotion will reboot the server automatically.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion . To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Отключать перезагрузку не рекомендуется. Overriding the reboot is not recommended. Для правильной работы контроллер домена должен перезагрузиться. The domain controller must reboot to function correctly

Результаты Results

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд. The domain controller will automatically reboot after 10 seconds.

источник

Читайте также:  Установка крыла на короллу

Добавить комментарий