Dela via

Installera en ny barn- eller träddomän för Windows Server 2012 Active Directory (nivå 200)

Det här avsnittet beskriver hur du lägger till underordnade domäner och träddomäner i en befintlig Windows Server 2012-skog med hjälp av Serverhanteraren eller Windows PowerShell.

Arbetsflöde för under- och träddomän

Följande diagram illustrerar konfigurationsprocessen för Active Directory Domain Services när du tidigare installerade AD DS-rollen och du har startat konfigurationsguiden för Active Directory Domain Services med hjälp av Serverhanteraren för att skapa en ny domän i en befintlig skog.

Diagram som illustrerar konfigurationsprocessen för Active Directory Domain Services när du tidigare installerade AD DS-rollen.

Windows PowerShell för under- och träddomän

ADDSDeployment Cmdlet Argument (fetstilsargument krävs. Kursiv argument kan anges med hjälp av Windows PowerShell eller guiden AD DS-konfiguration.)
Install-AddsDomain -SkipPreChecks

-NewDomainName

-ParentDomainName

-SafeModeAdministratorPassword

-ADPrepCredential

-AllowDomainReinstall

-Confirm

-CreateDNSDelegation

-Credential

-DatabasePath

-DNSDelegationCredential

-NoDNSOnNetwork

-DomainMode

-DomainType

-Force

-InstallDNS

-LogPath

-NewDomainNetBIOSName

-NoGlobalCatalog

-NoNorebootoncompletion

-ReplicationSourceDC

-SiteName

-SkipAutoConfigureDNS

-SYSVOLPath

-Whatif

Note

Argumentet -credential krävs bara när du för närvarande inte är inloggad som medlem i gruppen Företagsadministratörer. Argumentet -NewDomainNetBIOSName krävs om du vill ändra det automatiskt genererade 15-teckensnamnet baserat på DNS-domännamnsprefixet eller om namnet överskrider 15 tecken.

Deployment

Distributionskonfiguration

Följande skärmbild visar alternativen för att lägga till en underordnad domän:

Skärmbild som visar alternativen för att lägga till en underordnad domän.

Följande skärmbild visar alternativen för att lägga till en träddomän:

Skärmbild som visar alternativen för att lägga till en träddomän.

Serverhanteraren påbörjar varje befordran av domänkontrollanter med sidan Distributionskonfiguration . Återstående alternativ och obligatoriska fält ändras på den här sidan och efterföljande sidor, beroende på vilken distributionsåtgärd du väljer.

Det här avsnittet kombinerar två diskreta åtgärder: befordran av underordnade domäner och befordran av träddomäner. Den enda skillnaden mellan de två åtgärderna är den domäntyp som du väljer att skapa. Alla andra steg är identiska mellan de två åtgärderna.

  • Om du vill skapa en ny underordnad domän klickar du på Lägg till en domän i en befintlig skog och väljer Underordnad domän. För Överordnat domännamn skriver eller väljer du namnet på den överordnade domänen. Skriv sedan namnet på den nya domänen i rutan Nytt domännamn . Ange ett giltigt, etikettbaserat underdomännamn som uppfyller DNS-domännamnskrav.

  • Om du vill skapa en träddomän i en befintlig skog klickar du på Lägg till en domän i en befintlig skog och väljer Träddomän. Skriv namnet på skogsrotdomänen och skriv sedan namnet på den nya domänen. Ange ett giltigt, fullständigt kvalificerat rotdomännamn; Namnet kan inte vara enkeletiketterat och måste använda DNS-domännamnskrav.

Mer information om DNS-namn finns i Namngivningskonventioner i Active Directory för datorer, domäner, webbplatser och organisationsenheter.

Konfigurationsguiden för Serverhanteraren Active Directory Domain Services uppmanar dig att ange autentiseringsuppgifter för domänen om dina aktuella autentiseringsuppgifter inte kommer från domänen. Klicka på Ändra för att ange domänautentiseringsuppgifter för befordran.

Kommandot ADDSDeployment för distributionskonfiguration och dess argument är:

Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>
-credential <pscredential>

Alternativ för domänkontrollant

Skärmbild som visar sidan Alternativ för domänkontrollant i konfigurationsguiden för Active Directory Domain Services.

Sidan Alternativ för domänkontrollant anger alternativen för domänkontrollanten för den nya domänkontrollanten. De konfigurerbara alternativen för domänkontrollanter är DNS-server och Global katalog. du kan inte konfigurera skrivskyddad domänkontrollant som den första domänkontrollanten i en ny domän.

Microsoft rekommenderar att alla domänkontrollanter tillhandahåller DNS- och GC-tjänster för hög tillgänglighet i distribuerade miljöer. GC väljs som standard och DNS väljs som standard om den nuvarande domänen redan är värd för DNS-server på sina domänkontrollanter, baserat på en Start-of-Authority-fråga. Du måste också ange en domänfunktionsnivå. Standardfunktionsnivån är Windows Server 2012 och du kan välja andra värden som är lika med eller större än den aktuella skogens funktionsnivå.

På sidan Alternativ för domänkontrollant kan du också välja det lämpliga logiska platsnamnet för Active Directory från konfigurationen i skogen. Som standard är platsen med det mest korrekta undernätet markerad. Om det bara finns en webbplats väljs den automatiskt.

Important

Om servern inte tillhör ett Active Directory-undernät och det finns fler än en Active Directory-plats väljs ingenting och knappen Nästa är inte tillgänglig förrän du väljer en plats i listan.

Det angivna lösenordet för återställningsläge för Katalogtjänster måste följa den lösenordsprincip som tillämpas på servern. Välj alltid ett starkt, komplext lösenord eller helst en lösenfras.

Argumenten för cmdleten Domain Controller Options ADDSDeployment är:

-InstallDNS <{$false | $true}>
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-SafeModeAdministratorPassword <secure string>
-Credential <pscredential>

Important

Platsnamnet måste redan finnas när det anges som ett värde för argumentet sitename . Cmdleten install-AddsDomainController skapar inte platsnamn. Du kan använda cmdleten new-adreplicationsite för att skapa nya webbplatser.

Cmdlet-argumenten Install-ADDSDomainController följer samma standardvärden som Serverhanteraren om de inte anges.

SafeModeAdministratorPassword-argumentets åtgärd är speciell:

  • Om det inte anges som ett argument uppmanar cmdleten dig att ange och bekräfta ett maskerat lösenord. Det här är den bästa användningen när du kör cmdleten interaktivt.

    Om du till exempel vill skapa en ny underdomän med namnet NorthAmerica i Contoso.com-skogen och uppmanas till att ange och bekräfta ett maskerat lösenord:

    Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName Contoso.com "DomainType Child

  • Om värdet anges med ett värde måste det vara en säker sträng. Det här är inte den bästa användningen när du kör cmdleten interaktivt.

Du kan till exempel manuellt fråga efter ett lösenord med hjälp av cmdleten Read-Host för att fråga användaren om en säker sträng:

-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Eftersom det föregående alternativet inte bekräftar lösenordet bör du vara mycket försiktig: lösenordet är inte synligt.

Du kan också ange en säker sträng som en konverterad klartextvariabel, även om detta inte rekommenderas.

-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Slutligen kan du lagra det fördunklade lösenordet i en fil och sedan återanvända det senare, utan att lösenordet för klartext någonsin visas. Till exempel:

$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Warning

Du rekommenderas inte att ange eller lagra ett tydligt eller fördunkkat textlösenord. Alla som kör det här kommandot i ett skript eller som tittar över axeln känner till DSRM-lösenordet för domänkontrollanten. Alla som har åtkomst till filen kan ångra det fördunklade lösenordet. Med den kunskapen kan de logga in på en domänkontrollant som startats i DSRM och så småningom personifiera själva domänkontrollanten, vilket höjer deras behörigheter till den högsta nivån i en AD-skog. Ytterligare en uppsättning steg som använder System.Security.Cryptography för att kryptera textfildata är tillrådligt men utanför omfånget. Det bästa sättet är att helt undvika lösenordslagring.

Modulen ADDSDeployment erbjuder ytterligare ett alternativ för att hoppa över automatisk konfiguration av DNS-klientinställningar, vidarebefordrare och rottips. Detta kan inte konfigureras när du använder Serverhanteraren. Det här argumentet spelar bara roll om du redan har installerat DNS Server-tjänsten innan du konfigurerar domänkontrollanten:

-SkipAutoConfigureDNS

DNS-alternativ och autentiseringsuppgifter för DNS-delegering

Skärmbild som visar sidan DNS-alternativ i konfigurationsguiden för Active Directory Domain Services.

På sidan DNS-alternativ kan du ange alternativa DNS-administratörsautentiseringsuppgifter för delegering.

När du installerar en ny domän i en befintlig skog – där du valde DNS-installation på sidan Alternativ för domänkontrollant – kan du inte konfigurera några alternativ. delegeringen sker automatiskt och oåterkalleligt. Du har möjlighet att ange alternativa administrativa DNS-autentiseringsuppgifter med behörighet att uppdatera den strukturen.

Windows PowerShell-argumenten för DNS-alternativ ADDSDeployment är:

-creatednsdelegation
-dnsdelegationcredential <pscredential>

Mer information om DNS-delegering finns i Förstå zondelegering.

Ytterligare alternativ

Skärmbild som visar sidan Ytterligare alternativ i konfigurationsguiden för Active Directory Domain Services.

Sidan Ytterligare alternativ visar NetBIOS-namnet på domänen och gör att du kan åsidosätta den. Som standard matchar NetBIOS-domännamnet den vänstra etiketten för det fullständigt kvalificerade domännamnet som anges på sidan Distributionskonfiguration . Om du till exempel angav det fullständigt kvalificerade domännamnet för corp.contoso.com är netBIOS-standarddomännamnet CORP.

Om namnet är högst 15 tecken och inte står i konflikt med ett annat NetBIOS-namn ändras det inte. Om det står i konflikt med ett annat NetBIOS-namn läggs ett tal till i namnet. Om namnet är mer än 15 tecken ger guiden ett unikt, trunkerat förslag. I båda fallen verifierar guiden först att namnet inte redan används via en WINS-sökning och NetBIOS-sändning.

Mer information om DNS-namn finns i Namngivningskonventioner i Active Directory för datorer, domäner, webbplatser och organisationsenheter.

Argumenten Install-AddsDomain följer samma standardvärden som Serverhanteraren om de inte anges. Åtgärden DomainNetBIOSName är speciell:

  1. Om argumentet NewDomainNetBIOSName inte har angetts med ett NetBIOS-domännamn och prefixdomännamnet med en etikett i argumentet DomainName är 15 tecken eller färre, fortsätter befordran med ett automatiskt genererat namn.

  2. Om argumentet NewDomainNetBIOSName inte har angetts med ett NetBIOS-domännamn och prefixdomännamnet med en etikett i argumentet DomainName är 16 tecken eller mer, misslyckas befordran.

  3. Om argumentet NewDomainNetBIOSName anges med ett NetBIOS-domännamn på högst 15 tecken fortsätter befordran med det angivna namnet.

  4. Om argumentet NewDomainNetBIOSName anges med ett NetBIOS-domännamn på 16 tecken eller mer misslyckas befordran.

Argumentet Additional Options ADDSDeployment cmdlet är:

-newdomainnetbiosname <string>

Paths

Skärmbild som visar sidan Sökvägar i konfigurationsguiden för Active Directory Domain Services.

På sidan Sökvägar kan du åsidosätta standardmappplatserna för AD DS-databasen, databastransaktionsloggarna och SYSVOL-resursen. Standardplatserna finns alltid i underkataloger för %systemroot%.

Cmdlet-argumenten Paths ADDSDeployment är:

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Granska alternativ och visa skript

Skärmbild som visar sidan Granskningsalternativ i konfigurationsguiden för Active Directory Domain Services.

På sidan Granskningsalternativ kan du verifiera inställningarna och se till att de uppfyller dina krav innan du startar installationen. Det här är inte den sista möjligheten att stoppa installationen när du använder Serverhanteraren. Det här är helt enkelt ett alternativ för att bekräfta inställningarna innan du fortsätter konfigurationen

Sidan Granskningsalternativ i Serverhanteraren innehåller också en valfri visa skriptknapp för att skapa en Unicode-textfil som innehåller den aktuella ADDSDeployment-konfigurationen som ett enda Windows PowerShell-skript. På så sätt kan du använda det grafiska gränssnittet serverhanteraren som en Windows PowerShell-distributionsstudio. Använd konfigurationsguiden för Active Directory Domain Services för att konfigurera alternativ, exportera konfigurationen och sedan avbryta guiden. Den här processen skapar ett giltigt och syntaktiskt korrekt exempel för ytterligare ändring eller direkt användning. Till exempel:

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomain `
-NoGlobalCatalog:$false `
-CreateDNSDelegation `
-Credential (Get-Credential) `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true

Note

Serverhanteraren fyller vanligtvis i alla argument med värden vid befordran och förlitar sig inte på standardvärden (eftersom de kan ändras mellan framtida versioner av Windows eller Service Pack). Det enda undantaget till detta är argumentet -safemodeadministratorpassword (som avsiktligt utelämnas från skriptet). Om du vill framtvinga en bekräftelsefråga utelämnar du värdet när du kör cmdleten interaktivt.

Använd det valfria Whatif-argumentet med cmdleten Install-ADDSForest för att granska konfigurationsinformationen. På så sätt kan du se de explicita och implicita värdena för argumenten för en cmdlet.

Installera ett nytt AD-barn

Kravkontroll

Skärmbild som visar sidan Kravkontroll i konfigurationsguiden för Active Directory Domain Services.

Kravkontrollen är en ny funktion i AD DS-domänkonfigurationen. Den här nya fasen verifierar att serverkonfigurationen kan stödja en ny AD DS-domän.

När du installerar en ny skogsrotsdomän anropar Serverhanterarens konfigurationsguide för Active Directory Domain Services en serie modulära tester som körs i sekvens. De här testerna varnar dig med föreslagna reparationsalternativ. Du kan köra testerna så många gånger som krävs. Domänkontrollantprocessen kan inte fortsätta förrän alla nödvändiga tester har godkänts.

Kravkontrollen innehåller också relevant information, till exempel säkerhetsändringar som påverkar äldre operativsystem.

Mer information om de specifika nödvändiga kontrollerna finns i Kravkontroll.

Du kan inte kringgå kravkontrollen när du använder Serverhanteraren, men du kan hoppa över processen när du använder cmdleten AD DS Deployment med hjälp av följande argument:

-skipprechecks

Warning

Microsoft avråder från att hoppa över den nödvändiga kontrollen eftersom det kan leda till en partiell befordran av domänkontrollanter eller skadad AD DS-skog.

Klicka på Installera för att påbörja befordran av domänkontrollant. Det här är sista möjligheten att avbryta installationen. Du kan inte avbryta befordran när den väl har påbörjats. Datorn startas om automatiskt i slutet av kampanjen, oavsett kampanjresultat.

Installation

Skärmbild som visar sidan Installation i konfigurationsguiden för Active Directory Domain Services.

När sidan Installation visas börjar konfigurationen av domänkontrollanten och kan inte stoppas eller avbrytas. Detaljerade åtgärder visas på den här sidan och skrivs till loggar:

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Om du vill installera en ny Active Directory-domän med modulen ADDSDeployment använder du följande cmdlet:

Install-addsdomain

Se Windows PowerShell för under- och träddomän för obligatoriska och valfria argument. Cmdleten Install-addsdomain har bara två faser (kravkontroll och installation). De två siffrorna nedan visar installationsfasen med de minsta obligatoriska argumenten -domaintype, -newdomainname, -parentdomainname och -credential. Observera hur Install-ADDSDomain precis som Serverhanteraren påminner dig om att befordran startar om servern automatiskt.

Skärmbild av ett terminalfönster som visar installationsfasen med de minsta obligatoriska argumenten -domaintype, -newdomainname, -parentdomainname och -credential.

Skärmbild av ett terminalfönster som visar installationsförloppet med de minsta obligatoriska argumenten -domaintype, -newdomainname, -parentdomainname och -credential.

Om du vill acceptera omstartsprompten automatiskt använder du argumenten -force eller -confirm:$false med valfri ADDSDeployment Windows PowerShell-cmdlet. Om du vill förhindra att servern startas om automatiskt i slutet av befordran använder du argumentet -norebootoncompletion .

Warning

Det rekommenderas inte att åsidosätta omstarten. Domänkontrollanten måste startas om för att fungera korrekt

Results

Skärmbild som visar sidan Resultat med meddelandet att datorn startas om.

Sidan Resultat visar lyckade eller misslyckade kampanjer och viktig administrativ information. Domänkontrollanten startas automatiskt om efter 10 sekunder.