Меню Рубрики

Установка контроллера домена для чтения

Для чего нужен контроллер домена на чтение (RODC)? Установка и настройка RODC в Windows Server 2016

Впервые функционал контроллера домена, доступного только на чтение ( RODC — read-only domain controller), был представлен в Windows Server 2008. Основная задача, которую преследует технологией RODC, возможность безопасной установки собственного контролера домена в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с ролью DC. Контроллер домена RODC содержит копию базы Active Directory, доступную только на чтение. Это означает, что никто, даже при получении физического доступа к такому контроллеру домена, не сможет изменить данные в AD (в том числе сбросить пароль администратора домена ).

В это статье мы рассмотрим основные особенности использования и процедуру установки нового контроллера домена RODC на базе Windows Server 2016.

Особенности контроллера домена RODC

Основные отличия RODC от обычных контроллером домена, доступных для записи (RWDC)

  • Контроллер домена RODC хранит копию базы AD, доступную только для чтения. Соответственно, клиенты такого контролера домена не могут вносить в нее изменения.
  • RODC не реплицирцирует данные AD и папку SYSVOL на другие контроллеры домена (RWDC).
  • Контроллер RODC хранит полную копию базы AD, за исключением хэшей паролей объектов AD и других атрибутов, содержащих чувствительную информацию. Этот набор атрибутов называется Filtered Attribute Set (FAS) . Сюда относятся такие атрибуты, как ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys и т.д. В случае необходимости в этот набор можно добавить и другие атрибуты, например при использовании LAPS , в него следует добавить атрибут ms-MCS-AdmPwd.
  • При получении контроллером RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на RWDC контроллер.
  • Контроллер RODC может кэшировать учетные данные некоторых пользователей (это ускоряет скорость авторизации и позволяет пользователям авторизоваться на контроллере домена, даже при отсутствии связи с полноценным DC).
  • На контроллеры домена RODC можно давать административный доступ обычным пользователям (например, техническому специалисту филиала).

Требования, которые должны быть выполнены для разворачивания Read-Only Domain Controller.

  • На сервере должен быть назначен статический IP
  • Файервол должен быть отключен или корректно настроен для прохождения трафика между DC и доступа от клиентов
  • В качестве DNS сервера должен быть указан ближайший RWDC контроллер

Установка RODC из графического интерфейса Server Manager

Откройте консоль Server Manager и добавьте роль Active Directory Domain Services (согласитесь с установкой всех дополнительных компонентов и средств управления).

На этапе указания настроек нового DC, укажите что нужно добавить новый контроллер домена в существующий домен ( Add a domain controller to an existing domain ), укажите имя домена и, если необходимо, данные учетной записи пользователя с правами администратора домена.

Выберите, что нужно установить роль DNS сервера, глобального каталога (GC) и RODC. Далее выберите сайт, в котором будет находится новый контролер и пароль для доступа в DSRM режиме.

источник

Установка контроллера домена только для чтения (RODC) на базе Windows 2012 R2 (core)

ШАГ4. Установка контроллера домена только для чтения. Настройка служб Active Directory, DNS, DHCP.

Предполагается, что в филиале у нас также имеется Windows Server Core и необходимо развернуть на нем контроллер домена только для чтения. Рассмотрим два варианта установки, при помощи графического интерфейса из Server Manager и с помощью консоли в Powershell.

При помощи sconfig, назначим имя контролеру — dc3, разрешим удаленное управление, добавим сервер в домен.

Активируем правила на firewall для обнаружения сервера по dns и удаленного управления из Server Manager.

С другого компьютера/сервера переходим в Server Manager, нажимаем Manage и выбирем Add Servers. В появившемся окне Add Servers переходим на вкладку DNS и находим там наш сервер. Нажимаем ОК.

Если видим, что в поле Manageability запись изменилась на ‘Online — Performance counters not started’ то можно приступать к процессу развертывания служб AD DS при помощи мастера добавления ролей и компонентов.

Итак, при помощи мастера, отмечаем для установки роли Active Directory Domain Services, DHCP Server, DNS Server, доходим до завершающего этапа при помощи кнопки далее и перегружаем сервер.

После перезагрузки, заходим в диспетчер сервера, завершим конфигурацию DHCP-сервера выбором Complete DHCP Configuration, как мы это делали когда разворачивали первый и второй контроллеры домена.

Здесь же, запустим мастер конфигурации доменных служб Active Directory выбрав пункт Promote this server to a domain controller — Повысить этот сервер до контроллера домена.

Запустится мастер Active Directory Domain Services Configuration Wizard (Мастер конфигурации доменных служб Active Directory). Оставляем первый вариант (по умолчанию) — Add a domain controller to an existing domain — добавить дополнительный контроллер домена в существующем домене. Укажем учетные данные доменного администратора. Жмем Далее.

На следующем экране, поставим галочку Read only domain controller (RODC) и укажем пароль для режима восстановления службы каталогов (DSRM).

На экране RODC Option в поле ‘Delagated administrator account’ (делегированная учетная запись администратора) можно указать или создать доменную учетную запись, которая будет выполнять роль локального администратора сервера RODC и выполнять административные функции. При этом данная учетная запись не будет входить в группу администраторов домена или встроенных учетных записей администраторов домена и не иметь никаких разрешений AD DS.

В поле ‘Accounts that are allowed to replicate passwords to the RODC’ можно задать группу пользователей, которым разрешено реплицировать пароли в RODC. В ситуации, когда основной контроллер домена не доступен, пользователи указанные в данной группе смогут авторизоваться на контроллере RODC. Оставим по умолчанию.

В поле ‘Account that are denied from replicaing passwords to the RODC’ указываются пользователи, которым запрещено реплицировать пароли в RODC. Соответственно, если основной контроллер домена не доступен, то пользователи указанные в данной группе авторизоваться в домене не смогут. Оставляем по умолчанию. Жмем Далее.

На экране Additional Option (Дополнительные параметры) можно указать имя контроллера домена, который будет использоваться в качестве источника репликации. Жмем Далее.

На экране Paths можно изменить путь к каталогам баз данных, файлам журнала и к SYSVOL. Оставляем по умолчанию, нажимаем Next.

На экране Review Options отображается сводная информация по настройке. При помощи кнопки View Script, можно просмотреть и сохранить сценарий Powershell, при помощи которого, можно будет в последствии развернуть контроллер домена только для чтения в автоматическом режиме. Нажимаем Next.

На последнем этапе предварительных проверок, если видим надпись: «All prerequisite checks are passed successfully. Click «install» to begin installation.» ( Все предварительные проверки пройдены успешно . Нажмите кнопку « установить » , чтобы начать установку .), нажимаем Install и дожидаемся окончания процесса установки.

Второй вариант развертывания сервера RODC, заключается в предварительном создании учетной записи контроллера домена только для чтения при помощи специального мастера, который можно запустить из оснастки Active Directory Users and Computers. Для этого добавляемый компьютер не должен быть членом домена и иметь сетевое имя такое же как у будущего контроллера.

На первом контроллере запускаем оснастку Active Directory Users and Computers, щелкаем правой кнопкой по контейнеру Domain Controllers и выбираем там Pre-create Read-only Domain Controller account (Предварительное создание учетной записи контроллера домена только для чтения)

Запустится мастер Active Directory Domain Services Installation Wizard. Отметим галочку Use advanced mode installation (Использовать расширенный режим) если хотим просмотреть политики репликации паролей. Жмем Далее.

На следующем экране укажем мастеру учетные данные администратора домена (по умолчанию) или выберем другую учетную запись (Alternate credentials) имеющую административные привилегии. Жмем Далее.

Далее укажем имя компьютера, которое еще не занято и которое должно соответствовать имени будущего контроллера домена только для чтения.

На следующем экране выберем сайт, жмем Далее.

На экране Addional Domain Controller Options (Дополнительные параметры контроллера домена) согласимся с тем что контроллер будет выступать в роли DNS-сервера и глобального каталога. Жмем Далее.

Далее если мы, на первом этапе включили расширенный режим установки, то появится диалоговое окно, где можно задать политику репликации паролей, т.е. указать учетные записи которым разрешено или запрещено кэшировать пароли на контроллере RODC.

Следующее диалоговое окно Delegation of RODC installation and Administration (Делегирование установки и администрирования RODC) позволяет настроить специального пользователя, которому будет разрешено подключать сервер к учетной записи компьютера RODC, или группу таких пользователей. Чтобы выбрать пользователя или группу в домене, нажимаем Set (Выбрать). Пользователь или группа, указанные в этом диалоговом окне, получают доступ к RODC с разрешениями локального администратора. Указанный пользователь или члены указанной группы могут выполнять в RODC операции с правами, эквивалентными правам группы администраторов компьютера, при этом они не являются членами группы администраторов домена или встроенной группы «Администраторы» домена.

С помощью этого параметра можно делегировать права на администрирование филиала, не предоставляя администраторам филиала членство в группе администраторов домена, но делать это не обязательно.

На следующем экране будет показана сводная информация по установке. Кнопка Export Settings позволяет экспортировать параметры установки в текстовый файл ответов для последующей установки из командной строки с использованием dcpromo. Нажатием Next подтвердим параметры установки.

Завершаем работу мастера нажатием Finish. В контейнере Domain Controllers появится незанятая учетная запись контроллера домена — Uunoccupied DC Account (Read-Only), GC

Теперь что бы завершить установку контроллера домена только для чтения на компьютере DC3 c использованием предварительно созданной учетной записи, в диспетчере сервера необходимо добавить компьютер в список серверов, после чего запустить мастер конфигурации доменных служб Active Directory.

Для управления ‘не доменным компьютером’ при помощи диспетчера сервера, необходимо добавить этот компьютер в список исключений winrm при помощи следующей команды:

Затем, подключить компьютер с использованием учетных данных локального администратора выбрав Manage As (Управлять как), в противном случае диспетчер выдаст ошибку аутентификации kerberos.

После, когда компьютер примет статус ‘Online — Performance counters not started’ можно приступать к процессу запуска мастера для повышения компьютера до контроллера домена. Для этого запускам пиктограмму флажка в верхней части окна Server Manager и выбираем — Promote this server to domain controller. Запустится уже знакомый нам мастер конфигурации доменных служб Active Directory, но в данном случае шагов по установке будет немного меньше, т.к. основную информацию мы уже указали в процессе создания учетной записи.

Итак, выбираем дополнительный контроллер домена в существующем домене, указываем учетные данные доменного администратора. Жмем Далее. Затем мастер радостно отрапортует нам, что обнаружил в директории предварительно настроенную учетную запись контроллера домена только для чтения и предложит либо использовать существующие параметры (Use existing RODC account) или переустановить сервер по новой (Reinstall this domain controller). Укажем пароль для режима восстановления службы каталогов (DSRM) и жмем Next.

Затем как в первом случае, последовательно нажимая далее, укажем контроллер домена, который будет использоваться в качестве источника репликации, согласимся с предлагаемыми по умолчанию, путями базы, логов и sysvol, экспортируем скрипт если нужно и наконец согласимся с предлагаемыми параметрами нажатием Install. Дожидаемся окончания процесса установки.


Не сложнее развернуть контроллер домена только для чтения будет при помощи команд в powershell.

Сначала добавляем роли и сопутствующие службы AD DS, DNS, DHCP.

или аналогичная команда с использованием скрипта:

затем, создадим предварительную учетную запись контроллера домена только для чтения:

Add-ADDSReadOnlyDomainControllerAccount — добавить учетную запись RODC,
DomainName — имя домена,
Credential (get-credential) — учетные данные для авторизации в домене,
domaincontrolleraccountname — имя предварительной созданной учетной записи контроллера домена только для чтения (соответствует имени компьютера),
sitename — имя сайта,
delegatedadministratoraccountname — имя делегируемой учетной записи администратора;

Теперь, запускаем саму установку контроллера с предустановленной учетной записью:

источник

Установка контроллера домена только для чтения (RODC) Active Directory в Windows Server 2012 (уровень 200) Install a Windows Server 2012 Active Directory Read-Only Domain Controller (RODC) (Level 200)

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом разделе описывается, как поэтапно создать учетную запись контроллера домена только для чтения (RODC), а затем подключить к ней сервер во время установки RODC. This topic explains how to create a staged RODC account and then attach a server to that account during RODC installation. В нем также объясняется, как установить учетную запись только для чтения, не выполняя поэтапную установку. This topic also explains how to install an RODC without performing a staged installation.

Рабочий процесс поэтапной установки RODC Stage RODC Workflow

Поэтапная установка контроллера домена только для чтения (RODC) состоит из двух отдельных этапов: A staged read only domain controller (RODC) installation works in two discrete phases:

подготовка незанятой учетной записи компьютера; Staging an unoccupied computer account

подключение контроллера домена только для чтения к этой учетной записи во время повышения роли. Attaching an RODC to that account during promotion

На схеме ниже показан процесс поэтапного создания контроллера домена только для чтения в доменных службах Active Directory, при котором пустая учетная запись компьютера RODC создается в домене с помощью центра администрирования Active Directory (Dsac.exe). The following diagram illustrates the Active Directory Domain Services Read-Only Domain Controller staging process, where you create an empty RODC computer account in the domain using the Active Directory Administrative Center (Dsac.exe).

Этап Windows PowerShell для RODC Stage RODC Windows PowerShell

Командлет ADDSDeployment ADDSDeployment Cmdlet Аргументы (аргументы, выделенныежирным шрифтом , являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенныекурсивом , можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Add-addsreadonlydomaincontrolleraccount Add-addsreadonlydomaincontrolleraccount -SkipPreChecks -SkipPreChecks

-Домаинконтроллераккаунтнаме -DomainControllerAccountName

-Имя_домена -DomainName

-SiteName -SiteName

-Credential -Credential

-ReplicationSourceDC -ReplicationSourceDC

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена. The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

Рабочий процесс подключения RODC Attach RODC Workflow

На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы уже установили роль доменных служб Active Directory, подготовили учетную запись RODC и запустили процесс Повысить роль этого сервера до уровня контроллера домена с помощью диспетчера сервера для создания контроллера RODC в существующем домене и его подключения к промежуточной учетной записи компьютера. The diagram below illustrates the Active Directory Domain Services configuration process, where you already installed the AD DS role, you staged the RODC account, and started Promote this Server to a Domain Controller using Server Manager to create a new RODC in an existing domain, attaching it to the staged computer account.

Подключение RODC Windows PowerShell Attach RODC Windows PowerShell

Командлет ADDSDeployment ADDSDeployment Cmdlet Аргументы (аргументы, выделенныежирным шрифтом , являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенныекурсивом , можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomaincontroller Install-AddsDomaincontroller -SkipPreChecks -SkipPreChecks

-Имя_домена -DomainName

-Credential -Credential

-Усиксистингаккаунт -UseExistingAccount

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена. The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

Промежуточный Staging

Чтобы выполнить поэтапное создание учетной записи компьютера для контроллера домена только для чтения, откройте центр администрирования Active Directory (Dsac.exe). You perform the staging operation of a read-only domain controller computer account by opening the Active Directory Administrative Center (Dsac.exe). На панели навигации щелкните имя домена. Click the name of the domain in the navigation pane. В списке управления дважды щелкните элемент Контроллеры домена. Double-click Domain Controllers in the management list. На панели задач щелкните Предварительное создание учетной записи контроллера домена только для чтения. Click Pre-create a Read-only domain controller account in the tasks pane.

Если у вас есть опыт создания контроллеров домена только для чтения, вы заметите, что мастер установки имеет такой же графический интерфейс, что и оснастка «Пользователи и компьютеры Active Directory» в Windows Server 2008, и в нем используется такой же код, включая экспорт конфигурации в формате файла автоматической установки, используемом устаревшим средством dcpromo. If you have experience creating read-only domain controllers, you will discover that the installation wizard has the same graphical interface as seen when using the older Active Directory Users and Computers snap-in from Windows Server 2008 and uses the same code, which includes exporting the configuration in the unattend file format used by the obsolete dcpromo.

В Windows Server 2012 появился новый командлет ADDSDeployment для поэтапного создания учетных записей компьютеров RODC, однако при выполнении мастера он не используется. Windows Server 2012 introduces a new ADDSDeployment cmdlet to stage RODC computer accounts, but the wizard does not use the cmdlet for its operation. В следующих разделах приводится эквивалентный командлет и его аргументы, что позволит лучше понять связанную с ними информацию. The following sections display the equivalent cmdlet and arguments in order to make the information associated with each easier to understand.

Ссылка » предварительное создание учетной записи контроллера домена только для чтения » в области задач центр администрирования Active Directory эквивалентна командлету Windows PowerShell аддсдеплоймент: The Pre-create a Read-only domain controller account link in the Active Directory Administrative Center’s task pane is equivalent to the ADDSDeployment Windows PowerShell cmdlet:

Приветствие Welcome

В диалоговом окне Вас приветствует мастер установки доменных служб Active Directory есть один параметр под названием Использовать расширенный режим установки. The Welcome to the Active Directory Domain Services Installation Wizard dialog has one option named Use advanced mode installation. Выберите его и нажмите кнопку Далее, чтобы просмотреть параметры политики репликации паролей. Select this option and click Next to show password replication policy options. Чтобы использовать значения по умолчанию для параметров политики репликации паролей (рассматриваются подробнее далее в этом разделе), отключите этот параметр. Clear this option to use the default values for password replication policy options (this is discussed in further detail later in this section).

Сетевые учетные данные Network Credentials

В диалоговом окне Сетевые учетные данные в поле доменного имени указан целевой домен по умолчанию для центра администрирования Active Directory. The domain name option in the Network Credentials dialog displays the domain targeted by the Active Directory Administrative Center by default. По умолчанию используются ваши текущие учетные данные. Your current credentials are used by default. Если они не входят в группу администраторов домена, установите переключатель в положение Альтернативные учетные данные и нажмите кнопку Задать, чтобы предоставить мастеру имя пользователя и пароль члена группы «Администраторы домена». If they do not include membership in the Domain Admins group, click Alternate Credentials, and click Set to provide the wizard with a user name and password that is a member of Domain Admins.

Эквивалентный аргумент Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell argument is:

Имейте в виду, что система поэтапного создания была напрямую перенесена из Windows Server 2008 R2 и не предоставляет новых функциональных возможностей Adprep. Keep in mind that the staging system is a direct port from Windows Server 2008 R2 and does not provide the new Adprep functionality. Если вы планируете развертывать поэтапно создаваемые учетные записи RODC, необходимо предварительно развернуть в этом домене контроллер RODC без поэтапного создания, что позволит автоматически выполнять операцию rodcprep, или вручную выполнить команду adprep.exe /rodcprep. If you plan to deploy staged RODC accounts, you must either first deploy an un-staged RODC in that domain so that the automatic rodcprep operation runs, or manually run adprep.exe /rodcprep first.

В противном случае появится сообщение об ошибке, в котором не удастся установить контроллер домена только для чтения в этом домене, так как программа Adprep/родкпреп еще не запущена. Otherwise, you will receive error You will not be able to install a read-only domain controller in this domain because adprep /rodcprep was not yet run.

Задайте имя компьютера Specify the Computer Name

В диалоговом окне Задайте имя компьютера необходимо ввести однокомпонентное имя компьютера для домена контроллера, которое еще не используется. The Specify the Computer Name dialog requires you to enter the single-label Computer name of a domain controller that does not exist. Контроллер домена, который вы настроите и подключите к этой учетной записи позднее, должен иметь это же имя. В противном случае операции повышения роли не удастся обнаружить промежуточную учетную запись. The domain controller you configure and attach to this account later must have the same name, or the promotion operation will not detect the staged account.

Эквивалентный аргумент Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell argument is:

Выбор сайта Select a Site

В диалоговом окне Выберите сайт приводится список сайтов Active Directory для текущего леса. The Select a Site dialog shows a list of Active Directory sites for the current forest. Операция поэтапного создания контроллера домена только для чтения требует выбора одного сайта из списка. The staged read-only domain controller operation requires you to select a single site from the list. Контроллер RODC использует эту информацию для создания собственного объекта параметров NTDS в разделе конфигурации и подключения к соответствующему сайту при первом запуске после развертывания. The RODC uses this information to create its NTDS Settings object in the Configuration partition and join itself to the correct site when it starts for the first time after being deployed.

Эквивалентный аргумент Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell argument is:

Дополнительные параметры контроллера домена Additional Domain Controller Options

В диалоговом окне Дополнительные параметры контроллера домена можно указать, что контроллер домена должен также выступать в роли DNS-сервера и глобального каталога. The Additional Domain Controller Options dialog enables you to specify that a domain controller include running as a DNS Server and a Global Catalog. Корпорация Майкрософт рекомендует использовать контроллеры домена только для чтения для предоставления служб DNS и глобального каталога, поэтому обе эти роли устанавливаются по умолчанию. Одно из предназначений роли RODC — сценарии использования в филиалах, в которых глобальная сеть может быть недоступна, а без служб DNS и глобального каталога компьютеры филиала не смогут использовать ресурсы и функциональные возможности доменных служб Active Directory. Microsoft recommends that read-only domain controllers provide DNS and GC services, so both are installed by default; one intention of the RODC role is branch office scenarios where the wide area network may not be available and without those DNS and global catalog services, computers in the branch will not be able to use AD DS resources and functionality.

Параметр Контроллер домена только для чтения (RODC) выбран по умолчанию, и отключить его нельзя. The Read-only domain controller (RODC) option is pre-selected and cannot be disabled. Эквивалентные аргументы Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell arguments are:

По умолчанию параметр -ноглобалкаталог имеет значение $false. Это означает, что контроллер домена будет сервером глобального каталога, если аргумент не указан. By default, the -NoGlobalCatalog value is $false, which means the domain controller will be a global catalog server if the argument is not specified.

Задайте политику репликации паролей Specify the Password Replication Policy

Диалоговое окно Задайте политику репликации паролей позволяет изменить список учетных записей по умолчанию, которым разрешено кэшировать пароли в этом контроллере домена только для чтения. The Specify the Password Replication Policy dialog enables you to modify the default list of accounts that are allowed to cache their passwords on this read-only domain controller. Учетные записи, для которых в списке задано значение Запретить или которые отсутствуют в списке (неявный запрет), не кэшируют свои пароли. Accounts in the list configured with Deny or that are not in the list (implicit) do not cache their password. Учетные записи, которым не разрешено кэшировать пароли в контроллере RODC и которые не могут подключиться к доступному для записи контроллеру домена для проверки подлинности, не имеют доступа к ресурсам и функциональным возможностям Active Directory. Accounts that are not allowed to cache passwords on the RODC and cannot connect and authenticate to a writable domain controller cannot access resources or functionality provided by Active Directory.

Это диалоговое окно мастера выводится только в том случае, если на экране приветствия был установлен флажок Использовать расширенный режим установки. The wizard shows this dialog only if you select the Use Advanced Mode Installation check box on the welcome screen. Если этот флажок снят, то в мастере используются следующие группы и значения по умолчанию: If you clear this check box, then the wizard uses following default groups and values:

  • Администраторы — Запретить Administrators — Deny
  • Операторы сервера — Запретить Server Operators — Deny
  • Операторы архива — Запретить Backup Operators — Deny
  • Операторы учета — Запретить Account Operators — Deny
  • Группа с запрещением репликации паролей RODC — Запретить Denied RODC Password Replication Group — Deny
  • Группа с разрешением репликации паролей RODC — Разрешить Allowed RODC Password Replication Group — Allow

Эквивалентные аргументы Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell arguments are:

Делегирование установки и администрирования RODC Delegation of RODC Installation and Administration

Диалоговое окно Делегирование установки и администрирования RODC позволяет настроить пользователя, которому разрешено подключать сервер к учетной записи компьютера RODC, или группу таких пользователей. The Delegation of RODC Installation and Administration dialog enables you to configure a user or group containing users who are allowed to attach the server to the RODC computer account. Чтобы выбрать пользователя или группу в домене, нажмите кнопку Задать. Click Set to browse the domain for a user or group. Пользователь или группа, указанные в этом диалоговом окне, получают доступ к RODC с разрешениями локального администратора. The user or group specified in this dialog gains local administrative permissions to the RODC. Указанный пользователь или члены указанной группы могут выполнять операции на RODC с привилегиями, эквивалентными группе администраторов компьютера. The specified user or members of the specified group can perform operations on the RODC with privileges equivalent to the computer’s Administrators group. Они не являются членами группы администраторов домена или встроенной группы «Администраторы» домена. They are not members of the Domain Admins or domain built-in Administrators groups.

С помощью этого параметра можно делегировать права на администрирование филиала, не предоставляя администраторам филиала членство в группе администраторов домена. Use this option to delegate branch office administration without granting the branch administrator membership to the Domain Admins group. Делегировать администрирование RODC необязательно. Delegating RODC administration is not required.

Эквивалентный аргумент Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell argument is:

Сводка Summary

Диалоговое окно Сводка позволяет подтвердить параметры. The Summary dialog enables you to confirm your settings. Это последняя возможность прервать установку, прежде чем мастер создаст промежуточную учетную запись. This is the last opportunity to stop the installation before the wizard creates the staged account. Когда вы будете готовы создать промежуточную учетную запись компьютера RODC, нажмите кнопку Далее. Click Next when you are ready to create the staged RODC computer account. Чтобы сохранить файл ответов в устаревшем формате файла автоматической установки dcpromo, нажмите кнопку Экспорт параметров. Click Export Settings to save an answer file in the obsolete dcpromo unattend file format.

Создание Creation

Мастер установки доменных служб Active Directory поэтапно создает контроллер домена только для чтения в Active Directory. The Active Directory Domain Services Installation Wizard creates the staged read-only domain controller in Active Directory. Отменить эту операцию после того, как она началась, нельзя. You cannot cancel this operation after it starts.

Чтобы поэтапно создать учетную запись компьютера для контроллера домена только для чтения с помощью модуля Windows PowerShell ADDSDeployment, используйте следующий командлет: Use the following cmdlet to stage a read-only domain controller computer account using the ADDSDeployment Windows PowerShell module:

Список обязательных и необязательных аргументов см. в разделе Поэтапная установка RODC с помощью Windows PowerShell. See Stage RODC Windows PowerShell for required and optional arguments.

Так как командлет Add-addsreadonlydomaincontrolleraccount выполняет только одно действие, состоящее из двух этапов (проверка необходимых условий и установка), на приведенных ниже снимках экрана показан этап установки с минимальными необходимыми аргументами. Because Add-addsreadonlydomaincontrolleraccount only has one action with two phases (prerequisite checking and installation), the following screen shots show the installation phase with the minimum required arguments.

Операция поэтапной установки контроллера RODC создает учетную запись компьютера RODC в Active Directory. The stage RODC operation creates the RODC computer account in Active Directory. В центре администрирования Active Directory свойство Тип контроллера домена имеет значение Незанятая учетная запись контроллера домена. The Active Directory Administrative Center shows the Domain Controller Type as an Unoccupied Domain Controller Account. Этот тип контроллера домена указывает на то, что промежуточная учетная запись RODC готова к подключению сервера в качестве контроллера домена только для чтения. This domain controller types indicates that staged RODC account is ready for a server to attach to it as a read only domain controller.

Центр администрирования Active Directory больше не нужен для подключения сервера к учетной записи контроллера домена только для чтения. The Active Directory Administrative Center is no longer required to attach a server to a read-only domain controller computer account. Чтобы подключить контроллер RODC к промежуточной учетной записи, используйте диспетчер сервера и мастер настройки доменных служб Active Directory или командлет Install-AddsDomainController из модуля Windows PowerShell ADDSDeployment. Use Server Manager and the Active Directory Domain Services Configuration Wizard or the ADDSDeployment Windows PowerShell module cmdlet Install-AddsDomainController to attach a new RODC to its staged account. Порядок действий при этом тот же, что и при добавлении нового доступного для чтения контроллера домена в существующий домен, за тем исключением, что предварительно подготовленная учетная запись RODC содержит параметры конфигурации, заданные при поэтапном создании учетной записи компьютера RODC. The steps are similar to adding a new writable domain controller to an existing domain, with the exception that the staged RODC computer account contains configuration options decided at the time you staged the RODC computer account.

присоединения Attaching

Deployment Configuration Deployment Configuration

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания . Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

Чтобы добавить контроллер домена только для чтения в существующий домен, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. To add a read-only domain controller to an existing domain, select Add a domain controller to an existing domain and click the Select button to Specify the domain information for this domain. Диспетчер сервера автоматически запросит у вас действительные учетные данные. Вы также можете нажать кнопку Изменить. Server Manager automatically prompts you for valid credentials, or you can click Change.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Attaching an RODC requires membership in the Domain Admins groups in Windows Server 2012. Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы. The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment: The Deployment Configuration ADDSDeployment Windows PowerShell cmdlet and arguments are:

Параметры контроллера домена Domain Controller Options

На странице Параметры контроллера домена показаны параметры нового контроллера домена. The Domain Controller Options page shows the domain controller options for the new domain controller. При загрузке этой страницы мастер настройки доменных служб Active Directory отправляет существующему контроллеру домена запрос LDAP для проверки незанятых учетных записей. When this page loads, the Active Directory Domain Services Configuration Wizard sends an LDAP query to an existing domain controller to check for unoccupied accounts. Если запрос находит незанятую учетную запись компьютера контроллера домена, имеющую то же имя, что и текущий компьютер, мастер выводит информационное сообщение в верхней части страницы, которое считывает предварительно созданную учетную запись RODC, совпадающую с именем целевого сервера, существует в каталоге. Выберите, следует ли использовать существующую учетную запись RODC или переустановите этот контроллер домена. If the query finds an unoccupied domain controller computer account that shares the same name as the current computer, then the wizard displays an informational message at the top of the page that reads A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller. По умолчанию в мастере используется параметр Использовать существующую учетную запись RODC. The wizard uses the Use existing RODC account as the default configuration.

Если в контроллере домена произошла физическая неполадка и он не может восстановить работоспособность, вы можете использовать параметр Переустановить этот контроллер домена. You can use the Reinstall this domain controller option when a domain controller has suffered a physical problem and cannot return to functionality. Это позволит сэкономить время при настройке контроллера домена для замены благодаря тому, что учетная запись компьютера контроллера домена и метаданные объекта остаются в Active Directory. This saves time when configuring the replacement domain controller, by leaving the domain controller computer account and object metadata in Active Directory. Установите новый компьютер с тем же именем повысьте его роль до контроллера домена. Install the new computer with the same name, and promote it as a domain controller in the domain. Параметр переустановить этот контроллер домена недоступен, если метаданные объекта контроллера домена удалены из Active Directory (очистка метаданных). The Reinstall this domain controller option is unavailable if you removed the domain controller object’s metadata from Active Directory (metadata cleanup).

Настроить параметры контроллера домена при подключении сервера к учетной записи компьютера RODC нельзя. You cannot configure domain controller options when you are attaching a server to an RODC computer account. Параметры контроллера домена настраиваются при создании предварительно подготовленной учетной записи компьютера RODC. You configure domain controller options when you create the staged RODC computer account.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу. Always choose a strong, complex password or preferably, a passphrase.

Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена: The Domain Controller Options ADDSDeployment Windows PowerShell arguments are:

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. The site name must already exist when provided as an argument to -sitename. Командлет install-AddsDomainController не создает имена сайтов. The install-AddsDomainController cmdlet does not create site names. Для создания сайтов можно использовать командлет new-adreplicationsite. You can use cmdlet new-adreplicationsite to create new sites.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. The Install-ADDSDomainController arguments follow the same defaults as Server Manager if not specified.

Аргумент SafeModeAdministratorPassword действует особым образом. The SafeModeAdministratorPassword argument’s operation is special:

Если этот аргумент не указан , командлет предлагает ввести и подтвердить скрытый пароль. If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета. This is the preferred usage when running the cmdlet interactively.

Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду: For example, to create a new RODC in the corp.contoso.com and be prompted to enter and confirm a masked password:

Если аргумент указан со значением, это значение должно быть защищенной строкой. If specified with a value, the value must be a secure string. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. This is not the preferred usage when running the cmdlet interactively.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки. For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим. As the previous option does not confirm the password, use extreme caution: the password is not visible.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. You can also provide a secure string as a converted clear-text variable, although this is highly discouraged.

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Finally, you could store the obfuscated password in a file, and then reuse it later, without the clear text password ever appearing. Например: For example:

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Providing or storing a clear or obfuscated text password is not recommended. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Anyone with access to the file could reverse that obfuscated password. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. With that knowledge, they can logon to a DC started in DSRM and eventually impersonate the domain controller itself, elevating their privileges to the highest level in an AD forest. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей. The best practice is to totally avoid password storage.

Дополнительные параметры Additional Options

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации. The Additional Options page provides configuration options to name a domain controller as the replication source, or you can use any domain controller as the replication source.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. При установке флажка Установка с носителя появляется возможность выбора носителя. Чтобы убедиться в том, что указанный путь является действительным путем к носителю, необходимо нажать кнопку Проверить . The Install from media checkbox provides a browse option once selected and you must click Verify to ensure the provided path is valid media.

Рекомендации для источника IFM: Guidelines for the IFM source:

  • Носитель, используемый параметром IFM, создается с cистема архивации данных Windows Server или Ntdsutil. exe из другого существующего контроллера домена Windows Server с той же версией операционной системы. Media used by the IFM option is created with Windows Server Backup or Ntdsutil.exe from another existing Windows Server Domain Controller with the same operating system version only. Например, нельзя использовать Windows Server 2008 R2 или предыдущую операционную систему для создания носителя для контроллера домена Windows Server 2012. For example, you cannot use a Windows Server 2008 R2 or previous operating system to create media for a Windows Server 2012 domain controller.
  • Исходные данные IFM должны быть из контроллера домена с возможностью записи. The IFM source data should be from a writable Domain Controller. Хотя источник из RODC технически будет работать для создания нового RODC, возникают ложные срабатывания предупреждений репликации, которые не реплицируются источником IFM RODC. While a source from RODC will technically work to create a new RODC, there are false positive replication warnings that the IFM source RODC is not replicating.

Подробнее об изменениях в IFM см. в разделе Изменения, касающиеся установки с носителя с помощью Ntdsutil.exe. For more information about changes in IFM, see Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки. If using media protected with a SYSKEY, Server Manager prompts for the image’s password during verification.

Ниже перечислены аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Дополнительные параметры . The Additional Options ADDSDeployment cmdlet arguments are:

Paths Paths

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot%. The default locations are always in subdirectories of %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути : The Paths ADDSDeployment cmdlet arguments are:

«Просмотреть параметры» и «Просмотреть скрипт» Review Options and View Script

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. This is not the last opportunity to stop the installation using Server Manager. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации. This page simply enables you to review and confirm your settings before continuing the configuration. На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт , предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. This process creates a valid and syntactically correct sample for further modification or direct use. Например: For example:

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). Единственным исключением является аргумент -safemodeadministratorpassword . The one exception to this is the -safemodeadministratorpassword argument. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета. To force a confirmation prompt omit the value when running cmdlet interactively

Для просмотра сведений о конфигурации воспользуйтесь необязательным аргументом Whatif с командлетом Install-ADDSDomainController. Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета. This enables you to see the explicit and implicit values of the arguments for a cmdlet.

Проверка предварительных требований Prerequisites Check

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера. This new phase validates that the server configuration is capable of supporting a new AD DS forest.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of serialized modular tests. При этом предлагаются рекомендуемые способы восстановления. These tests alert you with suggested repair options. Тесты можно выполнять необходимое число раз. You can run the tests as many times as required. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены. The domain controller installation process cannot continue until all prerequisite tests pass.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems. Подробнее о проверках предварительных требований см. в разделе Проверка предварительных требований. For more information about the prerequisite checks, see Prerequisite Checking.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента: You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory. Microsoft discourages skipping the prerequisite check as it can lead to a partial domain controller promotion or damaged AD DS forest.

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить . Click Install to begin the domain controller promotion process. Это последняя возможность отменить установку. This is last opportunity to cancel the installation. После того как процесс повышения роли начнется, отменить его будет невозможно. You cannot cancel the promotion process once it begins. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. The computer will reboot automatically at the end of promotion, regardless of the promotion results.

Установка Installation

При отображении страницы «Установка» начинается настройка доменного контроллера, которую невозможно остановить или отменить. When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы: Detailed operations display on this page and are written to logs:

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет: To install a new Active Directory forest using the ADDSDeployment module, use the following cmdlet:

Список обязательных и необязательных аргументов см. в разделе Подключение RODC с помощью Windows PowerShell. See Attach RODC Windows PowerShell for required and optional arguments.

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). The Install-addsdomaincontroller cmdlet only has two phases (prerequisite checking and installation). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -useexistingaccount и -credential. The two figures below show the installation phase with the minimum required arguments of -domainname, -useexistingaccount, and -credential. Обратите внимание на то, что командлет Install-ADDSDomainController, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли: Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically:

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion . To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Отключать перезагрузку не рекомендуется. Overriding the reboot is discouraged. Для правильной работы контроллер домена должен перезагрузиться. The domain controller must reboot to function correctly.

Результаты Results

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд. The domain controller will automatically reboot after 10 seconds.

Процесс создания RODC без предварительной подготовки RODC without Staging Workflow

На схеме показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера, чтобы создать контроллер домена только для чтения без предварительной подготовки в существующем домене Windows Server 2012. The following diagram illustrates the Active Directory Domain Services configuration process, when you previously installed the AD DS role and you have started the Active Directory Domain Services Configuration Wizard using Server Manager to create a new non-staged read-only domain controller in an existing Windows Server 2012 domain.

Создание RODC без предварительной подготовки с помощью Windows PowerShell RODC without Staging Windows PowerShell

Командлет ADDSDeployment ADDSDeployment Cmdlet Аргументы (аргументы, выделенныежирным шрифтом , являются обязательными. Arguments (Bold arguments are required. Аргументы, выделенныекурсивом , можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory). Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Install-AddsDomainController Install-AddsDomainController -SkipPreChecks -SkipPreChecks

-Имя_домена -DomainName

-SiteName -SiteName

-Credential -Credential

-Реадонлиреплика -ReadOnlyReplica

Аргумент -credential является обязательным только в том случае, если вы на данный момент не вошли в систему как член группы администраторов домена. The -credential argument is only required if you are not already logged on as a member of the Domain Admins group.

Развертывание RODC без предварительной подготовки RODC without Staging Deployment

Deployment Configuration Deployment Configuration

Повышение роли каждого контроллера домена начинается в диспетчере сервера на странице Конфигурация развертывания . Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана. The remaining options and required fields change on this page and subsequent pages, depending on which deployment operation you select.

Чтобы добавить контроллер домена только для чтения без предварительной подготовки в существующий домен Windows Server 2012, установите переключатель в положение Добавить контроллер домена в существующий домен и нажмите кнопку Выбрать в разделе Укажите сведения о домене для этой операции. To add an un-staged read-only domain controller to an existing Windows Server 2012 domain, select Add a domain controller to an existing domain and click the Select button to Specify the domain information for this domain. Диспетчер сервера автоматически запросит у вас действительные учетные данные. Вы также можете нажать кнопку Изменить. Server Manager automatically prompts you for valid credentials, or you can click Change.

Для подключения контроллера RODC необходимо членство в группе администраторов домена в Windows Server 2012. Attaching an RODC requires membership in the Domain Admins groups in Windows Server 2012. Мастер настройки доменных служб Active Directory позднее выдает предупреждение, если у текущих учетных данных нет соответствующих разрешений или если они не включены в группы. The Active Directory Domain Services Configuration Wizard prompts you later if your current credentials do not have adequate permissions or group memberships.

Командлет и аргументы для управления конфигурацией развертывания в модуле Windows PowerShell ADDSDeployment: The Deployment Configuration ADDSDeployment Windows PowerShell cmdlet and arguments are:

Параметры контроллера домена Domain Controller Options

На странице Параметры контроллера домена показаны возможности настройки нового контроллера домена. The Domain Controller Options page specifies the domain controller capabilities for the new domain controller. Они включают в себя DNS-сервер, Глобальный каталог и Контроллер домена только для чтения. The configurable domain controller capabilities are DNS server, Global Catalog, and Read-only domain controller. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS и глобального каталога для обеспечения высокой доступности в распределенных средах. Microsoft recommends that all domain controllers provide DNS and GC services for high availability in distributed environments. Глобальный каталог всегда выбран по умолчанию, а DNS-сервер выбран по умолчанию в том случае, если в текущем домене уже размещены службы DNS в контроллерах домена на основе запроса начальной записи зоны. GC is always selected by default and DNS server is selected by default if the current domain hosts DNS already on its DCs based on Start of Authority query.

Страница Параметры контроллера домена также позволяет выбрать из конфигурации леса соответствующее логичное имя сайта Active Directory. The Domain Controller Options page also enables you to choose the appropriate Active Directory logical site name from the forest configuration. По умолчанию выбирается сайт с наиболее подходящей подсетью. By default, it selects the site with the most correct subnet. Если существует только один сайт, он выбирается автоматически. If there is only one site, it selects that site automatically.

Если сервер не входит в подсеть Active Directory и имеется несколько сайтов Active Directory, выбор не производится и кнопка Далее останется неактивной до тех пор, пока не будет выбран сайт из списка. If the server does not belong to an Active Directory subnet and there is more than one Active Directory site, nothing is selected and the Next button is unavailable until you choose a site from the list.

Указанный пароль для режима восстановления служб каталогов должен соответствовать политике паролей, действующей для сервера. The specified Directory Services Restore Mode Password must adhere to the password policy applied to the server. Всегда выбирайте надежный, сложный пароль или, что еще лучше, парольную фразу. Аргументы Windows PowerShell ADDSDeployment, эквивалентные параметрам на странице Параметры контроллера домена: Always choose a strong, complex password or preferably, a passphrase.The Domain Controller Options ADDSDeployment Windows PowerShell arguments are:

Имя сайта уже должно существовать на момент ввода в качестве аргумента для -sitename. The site name must already exist when provided as an argument to -sitename. Командлет install-AddsDomainController не создает имена сайтов. The install-AddsDomainController cmdlet does not create site names. Для создания сайтов можно использовать командлет new-adreplicationsite. You can use cmdlet new-adreplicationsite to create new sites.

Если аргументы Install-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера. The Install-ADDSDomainController arguments follow the same defaults as Server Manager if not specified.

Аргумент SafeModeAdministratorPassword действует особым образом. The SafeModeAdministratorPassword argument’s operation is special:

Если этот аргумент не указан , командлет предлагает ввести и подтвердить скрытый пароль. If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета. This is the preferred usage when running the cmdlet interactively.

Например, чтобы создать контроллер RODC в домене corp.contoso.com с выводом запроса на ввод и подтверждением скрытого пароля, выполните следующую команду: For example, to create a new RODC in the corp.contoso.com and be prompted to enter and confirm a masked password:

Если аргумент указан со значением, это значение должно быть защищенной строкой. If specified with a value, the value must be a secure string. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета. This is not the preferred usage when running the cmdlet interactively.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host, чтобы запрашивать у пользователя ввод защищенной строки. For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:

Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим. As the previous option does not confirm the password, use extreme caution: the password is not visible.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. You can also provide a secure string as a converted clear-text variable, although this is highly discouraged.

Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. Finally, you could store the obfuscated password in a file, and then reuse it later, without the clear text password ever appearing. Например: For example:

Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Providing or storing a clear or obfuscated text password is not recommended. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Anyone running this command in a script or looking over your shoulder knows the DSRM password of that domain controller. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Anyone with access to the file could reverse that obfuscated password. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. With that knowledge, they can logon to a DC started in DSRM and eventually impersonate the domain controller itself, elevating their privileges to the highest level in an AD forest. Рекомендуется выполнить дополнительные действия для шифрования данных текстового файла с помощью System.Security.Cryptography, однако их рассмотрение выходит за рамки этой статьи. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей. The best practice is to totally avoid password storage.

RODC Options RODC Options

На странице Параметры RODC можно изменить следующие параметры: The RODC Options page enables you to modify the settings:

Делегированная учетная запись администратора. Delegated Administrator Account

Учетные записи, которым разрешено реплицировать пароли в RODC. Accounts that are allowed to replicate passwords to the RODC

Учетные записи, которым запрещено реплицировать пароли в RODC. Accounts that are denied from replicating passwords to the RODC

Делегированные учетные записи администратора получают локальные права администратора для RODC. Delegated administrator accounts gain local administrative permissions to the RODC. Эти пользователи могут действовать с привилегиями, эквивалентными группе администраторов локального компьютера. These users can operate with privileges equivalent to the local computer’s Administrators group. Они не являются членами групп администраторов домена или встроенных учетных записей администраторов домена. They are not members of the Domain Admins or the domain built-in Administrators groups. Этот параметр полезен при делегировании администрирования филиалом без выдачи разрешения на администрирование домена. This option is useful for delegating branch office administration without giving out domain administrative permissions. Настройка делегирования прав администратора не требуется. Configuring delegation of administration is not required.

Эквивалентный аргумент Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell argument is:

Учетные записи, которым не разрешено кэшировать пароли в контроллере RODC и которые не могут подключиться к доступному для записи контроллеру домена для проверки подлинности, не имеют доступа к ресурсам и функциональным возможностям Active Directory. Accounts that are not allowed to cache passwords on the RODC and cannot connect and authenticate to a writable domain controller cannot access resources or functionality provided by Active Directory.

Если параметр не изменяется, используются группы и значения по умолчанию: If not modified, the default groups and settings are used:

Эквивалентные аргументы Windows PowerShell ADDSDeployment: The equivalent ADDSDeployment Windows PowerShell arguments are:

Дополнительные параметры Additional Options

На странице Дополнительные параметры приводятся параметры конфигурации, позволяющие указать имя контроллера домена, используемого в качестве источника репликации. The Additional Options page provides configuration options to name a domain controller as the replication source, or you can use any domain controller as the replication source.

Также можно установить контроллер домена с помощью архивированных носителей, использовав параметр установки с носителя (IFM). You can also choose to install the domain controller using backed up media using the Install from media (IFM) option. При установке флажка Установка с носителя появляется возможность выбора носителя. Чтобы убедиться в том, что указанный путь является действительным путем к носителю, необходимо нажать кнопку Проверить . The Install from media checkbox provides a browse option once selected and you must click Verify to ensure the provided path is valid media.

Рекомендации для источника IFM: Guidelines for the IFM source:

Подробнее об изменениях в IFM см. в разделе Изменения, касающиеся установки с носителя с помощью Ntdsutil.exe. For more information about changes in IFM, see Ntdsutil.exe Install from Media Changes. Если носители защищены SYSKEY, диспетчер сервера запрашивает пароль образа во время проверки. If using media protected with a SYSKEY, Server Manager prompts for the image’s password during verification.

Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице «Дополнительные параметры»: The Additional Options ADDSDeployment cmdlet arguments are:

Paths Paths

Страница Пути позволяет переопределить расположение папок по умолчанию для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL. The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot%. The default locations are always in subdirectories of %systemroot%. Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице Пути : The Paths ADDSDeployment cmdlet arguments are:

Параметры подготовки Preparation Options

На странице Параметры подготовки выводится оповещение о том, что настройка доменных служб Active Directory включает в себя расширение схемы (forestprep) и обновление домена (domainprep). The Preparation Options page alerts you that the AD DS configuration includes extending the Schema (forestprep) and updating the domain (domainprep). Эта страница появляется только в том случае, если лес или домен не были подготовлены в ходе предыдущей установки контроллера домена Windows Server 2012 или путем запуска средства Adprep.exe вручную. You only see this page when the forest or domain has not been prepared by previous Windows Server 2012 domain controller installation or from manually running Adprep.exe. Например, мастер настройки доменных служб Active Directory подавляет эту страницу, если вы добавляете новую реплику контроллера домена в существующий корневой домен леса Windows Server 2012. For example, the Active Directory Domain Services Configuration Wizard suppresses this page if you add a new replica domain controller to an existing Windows Server 2012 forest root domain.

Расширение схемы и обновление домена не производятся после нажатия кнопки Далее. Extending the Schema and updating the domain do not occur when you click Next. Эти операции выполняются только во время этапа установки. These events occur only during the installation phase. На этой странице просто сообщается о событиях, которые будут происходить позднее в ходе установки. This page simply brings awareness about the events that will occur later in the installation.

На этой странице также проверяется, является ли текущий пользователь членом групп «Администраторы схемы» и «Администраторы предприятия». Членство в этих группах необходимо для расширения схемы и подготовки домена. This page also validates that the current user credentials are members of the Schema Admin and Enterprise Admins groups, as you need membership in these groups to extend the schema or prepare a domain. Если на странице указано, что текущие учетные данные не дают необходимых разрешений, нажмите кнопку Изменить, чтобы предоставить соответствующие учетные данные пользователя. Click Change to provide the adequate user credentials if the page informs you that the current credentials do not provide sufficient permissions.

Аргумент командлета ADDSDeployment, эквивалентный параметрам на странице «Дополнительные параметры»: The Additional Options ADDSDeployment cmdlet argument is:

Так же как и в предыдущих версиях Windows Server, при автоматической подготовке домена в Windows Server 2012 средство GPPREP не запускается. As with previous versions of Windows Server, Windows Server 2012’s automated domain preparation does not run GPPREP. Выполните команду adprep.exe /gpprep вручную для всех доменов, которые не были ранее подготовлены для Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Run adprep.exe /gpprep manually for all domains that were not previously prepared for Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2. Средство GPPrep следует запустить только один раз за историю домена, а не при каждом обновлении. You should run GPPrep only once in the history of a domain, not with every upgrade. Средство Adprep.exe не выполняет команду /gpprep автоматически, так как это может привести к повторной репликации всех файлов и папок из тома SYSVOL во всех контроллерах домена. Adprep.exe does not run /gpprep automatically because its operation can cause all files and folders in the SYSVOL folder to re-replicate on all domain controllers.

Средство RODCPrep запускается автоматически при повышении роли первого контроллера RODC без предварительной подготовки в домене. Automatic RODCPrep runs when you promote the first un-staged RODC in a domain. Этого не происходит при повышении роли первого доступного для записи контроллера домена Windows Server 2012. It does not occur when you promote the first writeable Windows Server 2012 domain controller. Если планируется развертывать контроллеры домена только для чтения, команду adprep.exe /rodcprep также можно выполнить вручную. You can also still manually run adprep.exe /rodcprep if you plan to deploy read-only domain controllers.

«Просмотреть параметры» и «Просмотреть скрипт» Review Options and View Script

Страница Просмотреть параметры позволяет проверить параметры перед установкой и убедиться, что они отвечают требованиям. The Review Options page enables you to validate your settings and ensure that they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. This is not the last opportunity to stop the installation using Server Manager. Эта страница позволяет просмотреть и подтвердить параметры перед продолжением конфигурации. This page simply enables you to review and confirm your settings before continuing the configuration.

На странице Просмотреть параметры диспетчера сервера расположена дополнительная кнопка Просмотреть скрипт , предназначенная для создания текстового файла в кодировке Юникод, содержащего текущую конфигурацию развертывания ADDSDeployment в виде единого скрипта Windows PowerShell. The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. This enables you to use the Server Manager graphical interface as a Windows PowerShell deployment studio. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Use the Active Directory Domain Services Configuration Wizard to configure options, export the configuration, and then cancel the wizard. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. This process creates a valid and syntactically correct sample for further modification or direct use. Например: For example:

Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). Server Manager generally fills in all arguments with values when promoting and does not rely on defaults (as they may change between future versions of Windows or service packs). Единственным исключением является аргумент -safemodeadministratorpassword . The one exception to this is the -safemodeadministratorpassword argument. Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета. To force a confirmation prompt, omit the value when running cmdlet interactively.

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Install-ADDSDomainController. Use the optional Whatif argument with the Install-ADDSDomainController cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета. This enables you to see the explicit and implicit values of the arguments for a cmdlet.

Проверка предварительных требований Prerequisites Check

Проверка предварительных требований — это новая функция настройки доменных служб Active Directory. The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера. This new phase validates that the server configuration is capable of supporting a new AD DS forest.

При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера последовательно выполняет серию модульных тестов. When installing a new forest root domain, the Server Manager Active Directory Domain Services Configuration Wizard invokes a series of serialized modular tests. При этом предлагаются рекомендуемые способы восстановления. These tests alert you with suggested repair options. Тесты можно выполнять необходимое число раз. You can run the tests as many times as required. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены. The domain controller process cannot continue until all prerequisite tests pass.

На странице Проверка предварительных требований также приводится важная информация, например сведения об изменениях в системе безопасности, затрагивающих предыдущие операционные системы. The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.

При использовании диспетчера сервера пропустить проверку предварительных требований нельзя, однако это можно сделать при использовании командлета развертывания доменных служб Active Directory с помощью следующего аргумента: You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:

Чтобы начать повышение роли контроллера домена, нажмите кнопку Установить . Click Install to begin the domain controller promotion process. Это последняя возможность отменить установку. This is last opportunity to cancel the installation. После того как процесс повышения роли начнется, отменить его будет невозможно. You cannot cancel the promotion process once it begins. По завершении повышения роли компьютер автоматически перезагрузится вне зависимости от результата процесса. The computer will reboot automatically at the end of promotion, regardless of the promotion results.

Установка Installation

Когда появляется страница Установка , это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы: Detailed operations display on this page and are written to logs:

Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет: To install a new Active Directory forest using the ADDSDeployment module, use the following cmdlet:

Список обязательных и необязательных аргументов см. в таблице Командлет ADDSDeployment в начале этого раздела. See the ADDSDeployment Cmdlet table at the begininng of this section for required and optional arguments.

Выполнение командлета Install-addsdomaincontroller включает только два этапа (проверка предварительных требований и установка). The Install-addsdomaincontroller cmdlet only has two phases (prerequisite checking and installation). На двух иллюстрациях ниже показан этап установки с минимальным необходимым набором аргументов: -domainname, -readonlyreplica, -sitename и -credential. The two figures below show the installation phase with the minimum required arguments of -domainname, -readonlyreplica, -sitename, and -credential. Обратите внимание на то, что командлет Install-ADDSDomainController, как и диспетчер сервера, напоминает об автоматической перезагрузке сервера после повышения роли: Note how, just like Server Manager, Install-ADDSDomainController reminds you that promotion will reboot the server automatically:

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion . To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.

Отключать перезагрузку не рекомендуется. Overriding the reboot is not recommended. Для правильной работы контроллер домена должен перезагрузиться. The domain controller must reboot to function correctly. Если выйти из контроллера домена, то снова войти в него в интерактивном режиме не удастся, пока он не будет перезапущен. If you log off the domain controller, you cannot log back on interactively until you restart it.

Результаты Results

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд. The domain controller will automatically reboot after 10 seconds.

источник

Читайте также:  Установка eurolock eht net

Популярные записи

Установка вот без прав админа
Установка заднего бампера на опель мокка
Установка бетонные кольца на колодец
Установка принтера в терминальной сессии
Установка прицела на маузер 98к
Установка кабеля под плинтус

Добавить комментарий